La Guardia Civil ha detenido a cinco personas por hackear a una empresa de custodia de criptodivisas y robar seis millones de euros en criptomonedas de miles de inversores. Se trata del primer caso resuelto en España de estas características. La operación se desarrolló en las provincias de Santa Cruz de Tenerife, Vizcaya y Barcelona.
Se trata de la operación 3COIN. Se ha ha desarticulado un grupo de ciberdelincuentes que en el verano de 2020 atacó una empresa española dedicada a la custodia de criptodivisas y materializó el robo, según informa la Guardia Civil.
Los investigadores descubrieron que el origen del ataque fue una descarga ilegal por parte de un trabajador de la empresa de una película de un portal de contenido multimedia pirata.
Los archivos que conformaban esa película contenían un virus informático altamente sofisticado que permitió a los atacantes hacerse con el control absoluto del ordenador del empleado. Lo usaron para acceder a la empresa.
La descarga se produjo más de medio año antes de que se produjeran los hechos. Permitió a los atacantes conocer con detalle todos los procesos internos de la empresa y preparar sus acciones.
Las criptomonedas estuvieron inmovilizadas durante más de seis meses
El ataque se produjo en pleno verano, una vez que los miembros del grupo conocían todos los procedimientos, características y estructura de la empresa. Por medio de una red de ordenadores interpuesta dieron la orden de transacción de criptomonedas por valor de seis millones de euros.
Las criptomonedas sustraídas fueron transferidas a billeteras bajo el control de los atacantes. Estuvieron inmovilizadas durante más de seis meses para no llamar la atención de la policía.
Una vez que se sintieron seguros empezaron a mover las criptomonedas. Para ello, usaron un complejo entramado de billeteras electrónicas de blanqueo de capitales.
Los agentes pudieron identificar en Barcelona al supuesto operador de la página web de descargas ilegales desde la que se distribuyó el virus informático que propició el ataque.
Otras vías de investigación tecnológica permitieron identificar a cuatro personas más que supuestamente recibieron parte de las criptomonedas sustraídas, todos ellos sin relación aparente.
Se efectuaron registros en Tenerife
Agentes contra el Cibercrimen de la Unidad Central Operativa (UCO) de la Guardia Civil llevaron a cabo cuatro registros en Tenerife, Bilbao y Barcelona y procedieron a la detención de estas cuatro personas. Se les intervino material informático de gran interés para la investigación, así como criptomonedas por valor de 900.000 euros relacionadas con el robo.
Analizado todo el material intervenido en estos registros los agentes constataron rastros de la supuesta autoría del ciberataque por parte de uno de los detenidos. Localizaron el «malware» tipo troyano utilizado, los movimientos iniciales de las criptodivisas sustraídas y el pago al titular de la página web de descargas desde la que se lanzó el virus.
Una vez constatada la supuesta autoría del ciberataque la investigación se centró en la identificación de los posibles receptores de las criptodivisas sustraídas y su vinculación con el primero. Los investigadores llegaron hasta otro hombre que recibió al menos 500.000 euros en criptodivisa robada.
Advierten del peligro de las criptomonedas
En la última fase de la operación, se ha procedido a la investigación de otra persona. Ejercía un control sobre el supuesto autor del ciberataque a través del consumo de drogas vinculadas a rituales como el del sapo bufo.
La Guardia Civil advierte de que el mundo de la criptomoneda, pese a sus múltiples aspectos positivos, entraña diferentes peligros tanto para usuarios como para empresas de servicios del sector.
Destaca que ha sido clave para la resolución de este caso la plena disposición de la empresa víctima del ciberataque y la colaboración del sector privado de la ciberseguridad.