Policial

Cinco detenidos por hackear y robar en una empresa de custodia de criptomonedas

Están valoradas en 6 millones de euros

Imagen de una representación de un bitcoin en un ordenador portátil / EFE — La Audiencia Nacional investigará la mayor estafa piramidal con criptomonedasEfe

Publicado por

Creado: 23.02.2022 | 09:15

Actualizado: 23.02.2022 | 09:15

La Guardia Civil ha desarticulado un grupo de ciberdelincuentes que el verano del 2020 atacó una empresa dedicada a la custodia de criptodivisas, materializando el robo de 6 MEUR en criptomonedas. Estas pertenecían a miles de inversores. Los datos recogidos inicialmente apuntaban hacia el uso de un sofisticado 'malware' y el tiempo utilizado dentro del apresto hizo pensar a los policías que detrás del ataque había autores del tipo APT (Amenazas Persistentes Avanzadas), vinculadas con sofisticados grupos de cibercriminales. Más en adelante se concluyó que el origen del ataque se encontraba en la descarga ilegal de una película de un portal de contenido multimedia 'pirata', por parte de un trabajador de la citada empresa.

Los archivos de la película tenían un virus informático altamente sofisticado que permitió a los atacantes hacerse con el control absoluto del ordenador del trabajador y lo utilizó como cobertura para acceder. La descarga tuvo lugar más de medio año antes de que se produjeran los hechos, permitiendo a los atacantes conocer con detalle todos los procesos internos de la mercantil y preparar el ataque informático.

El ataque se produjo finalmente el verano del 2020, accediendo por una red de ordenadores interpuesta para dar la orden de transacción de criptomonedas por valor de 6 MEUR. Las criptomonedas sustraídas fueron transferidas a monederos controlados por los atacantes, donde permanecieron inmovilizadas más de medio año para no llamar la atención policial. Fue después de este periodo de tiempo, una vez se sintieron seguros, cuando empezaron a mover las criptomonedas utilizando un complejo entramado como monederos electrónicos de blanqueo de capitales.

La investigación permitió identificar el supuesto operador de la página web de descargas ilegales desde donde se distribuyó el virus informático, así como cuatro personas más que supuestamente recibieron parte de las criptomonedas. Estas personas no tenían relación aparente entre ellas.

Registros en Tenerife, Bilbao y Barcelona

Con todo eso, el noviembre pasado se llevaron a cabo cuatro registros domiciliarios en Tenerife, Bilbao y Barcelona. Estos finalizaron con la detención de cuatro personas, a las que se los intervino material informático y criptomonedas relacionadas con el robo por valor de 900.000 euros.

Con el análisis del material intervenido, los agentes pudieron constatar rastros de la supuesta autoría del ataque por parte de uno de los detenidos, localizando el malware utilizado y la trazabilidad del ciberataque. También se encontraron los movimientos iniciales hechos con las criptomonedas y el pago al titular de la página web de descargas.

Posteriormente, la investigación se centró en la identificación de los receptores de las criptodivisas robadas y su vinculación con el autor del ciberataque. Así llegaron a un quinto individuo, que había recibido como mínimo 500.000 euros en criptodivisa robada.

Esta semana, en el marco de la última fase de la operación hasta el momento, se ha investigado otra persona, que ejercía un control sobre el supuesto autor a través del consumo de drogas vinculadas a rituales.

La operación ha sido dirigida por el juzgado de instrucción número 12 de Madrid. La Guardia Civil ha destacado la importancia en la colaboración de la víctima y de una empresa experta en ciberseguridad. El cuerpo policial ha asegurado que es el primer caso resuelto de estas características con cinco detenidos.