La Guardia Civil ha detenido a cinco personas por hackear en el verano de 2020 a una empresa española ubicada en Madrid dedicada a la custodia de criptodivisas y robar seis millones de euros en criptomonedas de miles de inversores.
Se trata de la operación 3COIN, que ha resuelto el primer caso en España de estas características, dirigida por el Juzgado de Instrucción número 12 de Madrid y que ha sido desarrollada en Bilbao, Tenerife y Barcelona, informa la Guardia Civil.
Los investigadores descubrieron que el origen del ataque fue una descarga ilegal por parte de un trabajador de la empresa de una película de un portal de contenido multimedia pirata.
Los archivos que conformaban esa película contenían un virus informático altamente sofisticado que permitió a los atacantes hacerse con el control absoluto del ordenador del empleado y usarlo como cobertura para acceder a la empresa.
Dicha descarga se produjo más de medio año antes de que se produjeran los hechos y permitió a los atacantes conocer con detalle todos los procesos internos de la empresa y preparar sus acciones.
Las criptomonedas, inmovilizadas durante medio año
El ataque se produjo en pleno verano, una vez que los miembros del grupo conocían todos los procedimientos, características y estructura de la empresa y por medio de una red de ordenadores interpuesta dieron la orden de transacción de criptomonedas por valor de seis millones de euros.
Las criptomonedas sustraídas fueron transferidas a billeteras bajo el control de los atacantes, donde estuvieron inmovilizadas durante más de seis meses para no llamar la atención de la policía.
Una vez que se sintieron seguros empezaron a mover las criptomonedas usando un complejo entramado de billeteras electrónicas de blanqueo de capitales.
Los agentes pudieron identificar en Barcelona al supuesto operador de la página web de descargas ilegales desde la que se distribuyó el virus informático que propició el ataque.
Otras vías de investigación tecnológica permitieron identificar a cuatro personas más que supuestamente recibieron parte de las criptomonedas sustraídas, todos ellos sin relación aparente.
Por ello agentes contra el Cibercrimen de la Unidad Central Operativa (UCO) de la Guardia Civil llevaron a cabo cuatro registros en Tenerife, Bilbao y Barcelona y procedieron a la detención de estas cuatro personas a las que se les intervino material informático de gran interés para la investigación, así como criptomonedas por valor de 900.000 euros relacionadas con el robo.
Identificando a los ladrones
Analizado todo el material intervenido en estos registros los agentes constataron rastros de la supuesta autoría del ciberataque por parte de uno de los detenidos y localizaron el "malware" tipo troyano utilizado, los movimientos iniciales de las criptodivisas sustraídas y el pago al titular de la página web de descargas desde la que se lanzó el virus.
Una vez constatada la supuesta autoría del ciberataque la investigación se centró en la identificación de los posibles receptores de las criptodivisas sustraídas y su vinculación con el primero y los investigadores llegaron hasta otro hombre que recibió al menos 500.000 euros en criptodivisa robada.
En la última fase de la operación, esta semana, se ha procedido a la investigación de otra persona que ejercía un control sobre el supuesto autor del ciberataque a través del consumo de drogas vinculadas a rituales como el del sapo bufo.
La Guardia Civil advierte de que el mundo de la criptomoneda, pese a sus múltiples aspectos positivos, entraña diferentes peligros tanto para usuarios como para empresas de servicios del sector.
Destaca que ha sido clave para la resolución de este caso la plena disposición de la empresa víctima del ciberataque y la colaboración del sector privado de la ciberseguridad.