Agentes de la Unidad Central Operativa (UCO) de la Guardia Civil han detenido a dos personas en Asturias y Sevilla como supuestas responsables de un centenar de ciberataques a entidades privadas o a administraciones públicas como las diputaciones de Jaén y Málaga. Según ha informado la Guardia Civil en nota de prensa, las detenciones ocurrieron en otoño y la investigación da por cierto que ambas personas, bajo el seudónimo 'Guardiacivilx', efectuaron ciberataques sobre Itvasa, Ayuntamientos de León, Salamanca, Vitoria, Bermeo y Basauri entre otros, así como a la Universidad Autónoma de Madrid, Diputaciones de Jaén y Málaga, Servicio Cántabro de Salud, Banco Atlántida, Ministerio de Cultura de Argentina, Ministerio de Salud de Perú, Poder Judicial del Estado de Txascala en México, entre muchas otras, destacando también su interés por el robo de información de redes de farmacias. Ambos detenidos ejecutaban las acciones delictivas de manera coordinada. Se publicitaban como un vendedor de credenciales de acceso a servicios remotos y correos electrónicos corporativos, ofreciendo la venta privada de credenciales de acceso sobre un portal de consultas de vehículos de la Dirección General de Tráfico (DGT) e Itvasa. Para ello, el actor solicitó inicialmente un pago de 13.000 dólares , siendo detenido en el momento de proceder a la citada venta. Además, se ha podido comprobar que trató de vender una base de datos con información de más de 200.000 personas. Paralelamente se pudieron analizar diferentes cuentas de criptodivisas vinculadas a este «actor nacional», corroborando que gran parte de ellas se dirigían o provenían de distintos exchangers (casa de cambio de criptomonedas), desde donde se habrían materializado los pagos de la venta de varios paquetes con estas credenciales de acceso obtenidas ilegalmente. Los dos detenidos son presuntos responsables de la obtención de accesos no autorizados a redes informáticas y credenciales de accesos corporativos, tanto públicos como privados, ofreciendo la venta de los mismos, y de bases de datos y conjuntos de datos comprometidos en mercados del cibercrimen. La investigación se inició tras relacionar una serie de ciberataques con la información obtenida de los análisis realizados en determinados materiales intervenidos en investigaciones anteriores, localizando un canal de Telegram donde se mostraban accesos fraudulentos a varias administraciones públicas de relevancia.
