La Guardia Civil ha desarticulado un grupo de ciberdelincuentes que en el verano de 2020 atacó una empresa española dedicada a la custodia de criptodivisas, robando seis millones€ en criptomonedas pertenecientes a miles de inversores. La operación, que se ha saldado con cico detenidos, es la primera de estas características resuelta en España.

El Departamento contra el Cibercrimen de la Unidad Central Operativa (UCO) de la Guardia Civil, detectó el uso de un sofisticado malware tipo RAT (Remote Access Trojan). Y que el ciberataque tuvo su origen en la descarga ilegal de una película de un portal de contenido multimedia ‘pirata’, por parte de un trabajador de la empresa. Los archivos que conformaban esa película contenían un virus informático altamente sofisticado que permitió a los atacantes hacerse con el control absoluto del ordenador del empleado y usarlo como cobertura para acceder a la empresa.

La descarga se produjo más de medio año antes de que se produjeran los hechos, permitiendo a los atacantes conocer con detalle todos los procesos internos de la empresa y preparar el ataque informático.

Las criptomonedas sustraídas fueron transferidas a billeteras bajo el control de
los atacantes, donde estuvieron inmovilizadas por más de seis meses tratando de no llamar la atención. Una vez que se sintieron seguros, cuando empezaron a mover las criptomonedas usando un complejo entramado de billeteras electrónicas de blanqueo de capitales.

Los agentes pudieron identificar al supuesto operador de la página web de descargas ilegales desde donde se distribuyó el virus informático que propició el ataque. Otras vías de investigación permitieron identificar a cuatro personas más, que supuestamente recibieron parte de las criptomonedas sustraídas, todos ellos sin relación aparente.

En noviembre de 2021, agentes contra el Cibercrimen de UCO llevaron a cabo cuatro registros domiciliarios en las provincias de Tenerife, Bilbao y Barcelona, procediendo a la detención e investigación de 4 personas, a las que se les intervino material informático y criptomonedas por valor de 900.000€ relacionadas con el robo.

Una vez analizado todo el material intervenido en estos registros, los agentes pudieron
constatar rastros de la supuesta autoría del ataque por parte de uno de los detenidos, localizando el malware tipo troyano utilizado y la trazabilidad del ciberataque, así como los movimientos iniciales de las criptodivisas sustraídas y el pago en las mismas al titular de la página web de descargas desde donde se lanzó el virus.

Constatada la supuesta autoría del ciberataque, la investigación se centró en la identificación de los posibles receptores de las criptodivisas sustraídas y su vinculación con el primero, llegando los investigadores hasta otro individuo, el cual recibió al menos 500.000 euros en criptodivisa robada.

Esta misma semana, en la última fase de la operación hasta el momento, se ha procedido a la investigación de otra persona, la cual ejercía un control sobre el supuesto autor a través del consumo de drogas vinculadas a rituales como el del ‘Sapo Bufo’.