El 'hackeo' de datos en el Ayuntamiento de León buscaba robar datos de la DGT
La red desmontada por la Guardia Civil, que llegó a 100 organismos, vendía al cibercrimen
El Ayuntamiento de León no era el fin, sino el medio. Los hackers detenidos por la Guardia Civil, dentro de la bautizada como operación «Oceansx», intentaron utilizar el sistema informático del consistorio de la capital leonesa no para quedarse con datos de los contribuyentes, sino como puerta de acceso al sistema de la Dirección General de Tráfico (DGT). No lo lograron, según auditó con posterioridad el Centro Criptológico Nacional (CCN-Cert), que fue el organismo estatal que dio el aviso después de que identificara dos intentos de traspasar los cortafuegos.
El hackeo del Ayuntamiento de León se produjo hace un año, aunque la operación se ha descubierto ahora con la detención por parte de la Benemérita de las dos personas a las que se acusa de la obtención de accesos no autorizados a redes informáticas y credenciales de accesos corporativos, tanto públicos como privados, de hasta un centenar de organismos. La documentación, conforme se cita en la información trasladada por la Guardia Civil, se ofertaban después para su venta en mercados del cibercrimen, en los que además se ofrecían contenido de bases de datos y conjuntos de datos comprometidos.
Dentro de esta operativa, la red pretendía conseguir los datos de la DGT por la puerta de comunicación de expedientes que mantiene abierta con el Ayuntamiento de León. La colaboración, como con más administraciones municipales, permite al consistorio intercambiar información sobre los vehículos y sus titulares para la gestión del impuesto de circulación, así como para el traslado de las multas impuestas por la Policía Local a los conductores.
Aunque los hackers no lograron pasar del ‘vestíbulo’ de acceso del Ayuntamiento de León hacia la DGT. Las claves para pasar, como advirtieron después con la auditoría del CCN-Cert, ya habían caducado y no les sirvieron, ni tampoco lograron hacerse con información comprometida de la administración municipal en ninguno de los otros sistemas propios conectados.
Dentro del protocolo fijado por el organismo estatal, el Ayuntamiento de León trasladó la advertencia a la Agencia de Protección de Datos, como es preceptivo en estos casos, y cumplió con las reclamaciones del CCN-Cert. Como respuesta, el organismo estatal, una vez auditado todo, certificó que los ciberdelincuentes no habían logrado acceder, ni tampoco se habían hecho con información de vecinos, ni contribuyentes, ni usuarios de servicios municipales.
La investigación ha terminado con un detenido en Asturias y otro en Sevilla, por el momento, y la identificación de evidencias de intentos de hackeo no sólo en León, sino también en los ayuntamientos de Salamanca, Vitoria, Bermeo y Basauri, entre otros, la Inspección Técnica de Vehículos de Asturias (Itvasa), la Universidad Autónoma de Madrid, las Diputaciones de Jaén y Málaga, el Servicio Cántabro de Salud, el Banco Atlántida, el Ministerio de Cultura de Argentina, el Ministerio de Salud de Perú y el Poder Judicial del Estado de Txascala en México, entre otras muchas, entre las que figuran además redes de farmacias.
Los ciberdelincuentes, como identificó la Guardia Civil, fueron localizados a partir de un canal de Telegram donde se mostraban accesos fraudulentos a varias administraciones públicas de relevancia. Tras analizar el contenido mediante técnicas de investigación tecnológica avanzadas y búsquedas en fuentes abiertas, informaron desde la Guardia Civil, se atribuyeron los ataques a un «actor nacional» del ámbito de la ciberdelincuencia, que actuaba bajo el seudónimo «guardiacivilx», pero que además usaba otras 14 identidades como «9bands», «banz9», «TheLich», «Crystal_MSF», «OUJA», «unlawz» o «teamfs0ciety».
El ciberdelincuente identificado como «guardiacivilx» se publicitaba como un vendedor de credenciales de acceso a servicios remotos y correos electrónicos corporativos. Con este cartel, ofrecía la venta privada de credenciales de acceso sobre un portal de consultas de vehículos de la Dirección General de Tráfico (DGT) e Itvasa. En el rastreo, los agentes lograron seguir la pista de una venta en la que solicitaba un pago de 13.000 dólares y le detuvieron en el momento de proceder. En ese momento, lograron evidencias de que la red, en la que los dos detenidos actuaban de forma coordinada, había intentado vender también una base de datos con información de más de 200.000 personas.