Por DiarioBitcoin   @diariobitcoin

La Guardia Civil resolvió un caso de hackeo y robo a una empresa de custodia de criptomonedas por valor de 6 millones de euros (USD $6,7 millones)

***

La Guardia Civil de España informó en comunicado de prensa esta semana que logró resolver un caso de hackeo y robo a una empresa de custodia de criptomonedas por valor de 6 millones de euros (USD $6,7 millones)

En la denominada Operación 3COIN, el organismo desarticuló a un grupo de ciberdelincuentes que en el verano de 2020 atacó una empresa española dedicada a la custodia de criptomoneda y les llegó a robar esa cantidad de dinero que en realidad pertenecía a miles de inversores.

Estos hechos fueron puestos en conocimiento del Departamento contra el Cibercrimen de la Unidad Central Operativa (UCO) de la Guardia Civil, que a la vista del elevado número de personas afectadas y del valor de lo sustraído, inició la investigación.

Según indica el organismo se trató de un hackeo “altamente sofisticado”.  Al respecto, destaca:

“Se hizo un seguimiento de los movimientos realizados por la criptomoneda sustraída enmascarada en un complejo sistema de blanqueo de capitales, quedó dificultada en gran medida por la razón de ser de la propia criptomoneda: el anonimato de las transacciones”.

Informó que se usó un malware tipo RAT (Remote Access Trojan), más conocido como Troyano, en los computadores de la empresa. Dado el tipo de malware como el tiempo que estuvieron dentro de la misma los autores, hizo pensar a  los investigadores que “detrás de este ataque pudieran estar autores del tipo APT (Amenazas Persistentes Avanzadas), vinculadas con sofisticados grupos de cibercriminales”.

Origen del ataque: una película pirata

Asimismo, dice la Guardia que a medida que los investigadores fueron profundizando en el origen del ataque a la empresa de custodia de criptoactivos, “se pudo concluir que el mismo tenía su origen en la descarga ilegal de una película de un portal de contenido multimedia ‘pirata’ por parte de un trabajador de la citada empresa”.

Informa que los archivos de esa película contenían un virus informático altamente sofisticado que permitió a los atacantes hacerse con el control absoluto del computador del empleado y usarlo como cobertura para acceder a la empresa. “Dicha descarga se produjo más de medio año antes de que se produjeran los hechos, permitiendo a los atacantes conocer con detalle todos los procesos internos de la mercantil y preparar el ataque informático”, añade.

Continúa explicando: “Dicho ataque se produjo en pleno verano, una vez que conocían todos los procedimientos, características y estructura de la empresa, accediendo por medio de una red de computadores  interpuesta para dar la orden de transacción de criptomonedas por valor de 6.000.000 de euros”.

Asimismo, las criptomonedas sustraídas fueron transferidas a billeteras bajo el control de los atacantes, “donde estuvieron inmovilizadas por más de seis meses tratando de no llamar la atención policial. Fue tras ese tiempo, una vez que se sintieron seguros, cuando empezaron a mover las criptomonedas usando un complejo entramado de billeteras electrónicas de blanqueo de capitales”. Todo, sin duda, muy preparado.

La investigación paso a paso

Tras las distintas vías de investigación abiertas por los agentes, se logró identificar al supuesto operador de la página web de descargas ilegales desde donde se distribuyó el virus informático que propició el ataque.

Otras vías de investigación tecnológica abiertas, permitieron identificar a cuatro personas más, que supuestamente recibieron parte de las criptomonedas sustraídas, todos ellos sin relación aparente.

Por todo ello, en noviembre de 2021, agentes Contra el Cibercrimen de UCO, llevaron a cabo cuatro registros domiciliarios en las provincias de Tenerife, Bilbao y Barcelona, y debtuvieron a cuatro personas, a las que se les intervino material informático, así como criptomonedas por valor de 900.000 euros, relacionadas con el robo.

Después de analizar el material intervenido en estos registros, los agentes pudieron constatar rastros de la supuesta autoría del ataque por parte de uno de los detenidos, localizaron el malware tipo troyano utilizado y la trazabilidad del ciberataque, así como los movimientos iniciales de las criptomonedas sustraídas y el pago en las mismas al titular de la página web de descargas desde donde se lanzó el virus.

Una vez constatada la supuesta autoría del ciberataque, la investigación se centró en la identificación de los posibles receptores de las criptomonedas sustraídas y su vinculación con el primero, llegando los investigadores hasta otro individuo, el cual recibió al menos 500.000 euros en criptomoneda robada.

Drogas involucradas

Dice la Guardia que esta misma semana, en la última fase de la operación hasta el momento, se ha procedido a la investigación de otra persona, la cual ejercía un control sobre el supuesto autor a través del consumo de drogas vinculadas a rituales como el del Sapo Bufo. Estos rituales consisten en fumar bufantoína, el veneno extraído del sapo de Sonora o bufo alvarius, uno de los alucinógenos más potentes que hay.

Dice la Guardia que tanto la víctima como la empresa de ciberseguridad que la asistió facilitaron un intercambio de información con gran fluidez, “lo que resultó de capital importancia en la resolución de esta investigación”.

La operación fue llevada a cabo por agentes del Departamento Contra el Cibercrimen de la Unidad Central Operativa de la Guardia Civil y dirigida por el Juzgado de Instrucción número 12 de Madrid.

Fuentes: Comunicado de la Guardia Civil, archivo

Versión de DiarioBitcoin

Imagen de Unsplash

ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.