La investigación, iniciada tras una filtración en la dark web, involucra a múltiples agencias y afecta a entidades estratégicas a nivel nacional e internacional. El sujeto fue puesto en libertad tras comparecer ante un tribunal de ese país, pero fue confiscado su pasaporte para impedir que salga del territorio.
La policía española detuvo en Alicante a un presunto cibercriminal acusado de perpetrar 40 ataques cibernéticos contra organizaciones críticas, entre las que se incluyen la Guardia Civil Española, el Ministerio de Defensa de ese país, la OTAN, el Ejército de Estados Unidos y varias universidades.
Según informaron medios españoles, el sospechoso fue presentado ante un tribunal y, tras la retirada de su pasaporte para impedir su salida del país, quedó en libertad.
La pesquisa que dio con detención se inició a principios de 2024, luego de que un informe sobre una filtración de datos de una asociación empresarial de Madrid señalara la presencia de información comprometida en foros de la dark web. Se reveló que el individuo operaba utilizando múltiples alias para ofuscar su rastro digital.
En el comunicado emitido por la policía española se lee que «utilizando hasta tres seudónimos diferentes, el sospechoso atacó organizaciones gubernamentales internacionales, accediendo a bases de datos que contenían información personal de empleados y clientes, así como documentos internos que luego eran vendidos o publicados libremente en foros.»
Además de la asociación madrileña, las autoridades han confirmado que durante 2024 se vulneraron las La Fábrica Nacional de Moneda y Timbre; el Servicio Público de Empleo Estatal; el Ministerio de Educación, Formación Profesional y Deportes; varias universidades españolas; una serie de bases de datos de la OTAN y del ejército de los Estados Unidos; la Dirección General de Tráfico; la Generalitat Valenciana; las Naciones Unidas; la Organización de Aviación Civil Internacional (OACI); la Guardia Civil; y el Ministerio de Defensa de España.
En el foro de hackers BreachForums circularon publicaciones relacionadas con estos ataques, en las que un actor de amenazas intentó vender o filtrar la información robada. En varios casos, el mismo actor afirmó haber comercializado con éxito los datos a otros grupos, especialmente aquellos dirigidos a la OTAN, al ejército de los Estados Unidos y a las entidades españolas de Defensa y Seguridad.
En uno de estos incidentes, correspondiente a la Organización de Aviación Civil Internacional y que informamos en semanas anteriores, el atacante publicó los datos sustraídos en BreachForums utilizando el alias «natohub». Las acusaciones sobre esta filtración fueron confirmadas oficialmente en fechas posteriores.
A pesar de haber empleado tecnologías de anonimización para evadir a las autoridades, la investigación logró rastrear al sospechoso con el apoyo de expertos del Centro Criptológico Nacional (CCN), del Centro Nacional de Inteligencia (CNI), la Europol y el Servicio de Investigaciones de Seguridad Nacional de Estados Unidos (HSI).
Durante la redada en la residencia del sospechoso se incautaron varias computadoras, dispositivos electrónicos y unas 50 cuentas de criptomonedas que albergaban diversos activos digitales.
Las autoridades han declarado que, por el momento, no se descarta vincular al sospechoso con otros delitos o identificar cómplices.
En cuanto a las posibles sanciones, el presunto atacante podría enfrentar cargos por descubrimiento y revelación de secretos, acceso ilegal a sistemas informáticos, daños informáticos y blanqueo de dinero, delitos que conllevan una pena máxima de 20 años de prisión según la legislación española.