Detenido en Alicante un hacker de 18 años por acceder a datos de la Guardia Civil, Defensa y la OTAN

Una investigación conjunta de la Guardia Civil, la Policía Nacional y el CNI ha permitido detener en Calpe (Alicante) a un “peligroso” hacker, español de 18 años, por acceder a servicios informáticos de entidades públicas y privadas, entre las que se encuentra la Guardia Civil, el Ministerio de Defensa o la OTAN.

Según ha informado el Ministerio del Interior, al detenido se le acusa por su presunta participación en los delitos de descubrimiento y revelación de secretos, acceso ilícito a sistemas informáticos, daños informáticos y blanqueo de capitales.

Fuentes policiales consultadas por Europa Press han detallado que el detenido es un joven español de 18 años que accedió a las bases de datos de los organismos públicos y privados para, posteriormente, en algunos casos tratar de vender la información a través de la 'darkweb', aunque su motivación principal era lanzar los ciberataques como un “desafío personal”.

Autodidacta que actuó en solitario

Detrás de los 40 ciberataques usando diferentes pseudónimos se encuentra un joven que estudió un módulo de Formación Profesional (FP) que los investigadores encuadran en un perfil de “friki autodidacta que actuaba en solitario, sin ser manipulado por nadie”, según explican las fuentes de la investigación.

Entre los objetivos del hacker, que acaba de estrenar la mayoría de edad, también figuran la Fábrica Nacional de Moneda y Timbre, el Ministerio de Educación, Formación Profesional y Deportes, la Generalitat Valenciana, diferentes universidades españolas, bases de datos de la OTAN y del Ejército de Estados Unidos, así como otras empresas y entidades internacionales.

El joven hacker fue detenido el pasado 28 de enero y ha quedado en libertad con medidas cautelares de retirada de pasaporte, obligación de comparecencia judicial cada 15 días y prohibición de salir de España.

Actuaba desde el domicilio familiar en Calpe, donde los agentes practicaron un registro, mostrando una “actitud de colaboración y sin mostrar animadversión ni a los policías ni a ninguna de las administraciones atacadas”.

Agentes de la UCO y el CNI, tras la pista del hacker

Durante el registro, los agentes han intervenido 50 cuentas de criptomonedas con un valor de 2.000 euros y diverso material informático, el cual está siendo analizado por los especialistas, que no descartan el esclarecimiento de otros hechos delictivos.

En la investigación se ha constatado que el detenido accedía a un bot de la red social Telegram para, previo pago de 500 dólares, acceder a credenciales de organismos previamente comprometidas. “Una vez dentro, tenía una gran capacidad para moverse por el sistema”, apuntan las fuentes de la investigación, que también señalan que su inexperiencia le llevó a “malvender” los datos que obtenía, lo que también generó sospechas desde el lado de los potenciales compradores.

La operación ha sido realizada de manera conjunta por agentes de la Unidad Central Operativa (UCO) de la Guardia Civil y de la Comisaría General de Información (CGI) y de la Unidad de Ciberdelincuencia de la Policía Nacional, contando con la colaboración del Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI).

En el ámbito internacional se ha contado con la colaboración de Europol y Homeland Security Investigations (HSI) de Estados Unidos, en una investigación que desembocó con el arresto del sospechoso y puesta a disposición del Juzgado de instrucción de guardia de Denia.

Dejaba su 'firma' tras el ataque

La investigación se inicia en 2024 a raíz de una primera denuncia recibida por la Policía Nacional de una asociación empresarial madrileña relacionada con el sector del turismo que fue víctima de uno de estos hackeos que, aunque desde el anonimato, se caracterizó no sólo por extraer los datos sino también porque el autor dejó el portal desfigurado, mostrando un mensaje en el que se podía leer que habían hackeado el sistema.

Tras estos hechos y a lo largo del año 2024, esta persona fue realizando numerosos ciberataques, entre los que destaca el ataque a la Fábrica Nacional de Moneda y Timbre que motivó que se sumara el Servicio de Información de la Policía a la investigación, así como otros al Servicio Público de Empleo Estatal, el Ministerio de Educación, Formación Profesional y Deportes.

También atacó a diferentes universidades españolas, así como a bases de datos de la OTAN, el Ejército de los Estados Unidos, la Dirección General de Tráfico, la Generalitat Valenciana, Naciones Unidas, la Organización Internacional de Aviación Civil, al Ministerio de Defensa y su último ataque reivindicado, a la Guardia Civil.

Este último ataque a la Guardia Civil, ejecutado a finales de diciembre de 2024, propició que la Unidad Central Operativa (UCO) de la Guardia Civil se sume a la investigación y se identifique al autor, llevándose a cabo la explotación operativa de forma conjunta por ambos cuerpos policiales.

Los investigadores creen que el detenido, “con profundos conocimientos de informática”, había conseguido configurar un complejo entramado tecnológico mediante el uso de aplicaciones anónimas de mensajería y de navegación mediante las cuales habría conseguido ocultar su rastro y dificultar así su identificación.

De esta forma, se ha constatado que accedió a bases de datos con información personal de empleados y clientes, así como documentos internos que posteriormente eran vendidos o publicados libremente en foros.