La descarga por un empleado de una película en su ordenador propicia el robo de seis millones de euros en criptomonedas

La Guardia Civil ha desarticulado un grupo de ciberdelincuentes que en el verano de 2020 atacó una empresa española dedicada a la custodia de criptodivisas, de las que robó 6.000.000 € pertenecientes a miles de inversores. Los hechos fueron puestos en conocimiento del Departamento contra el Cibercrimen de la Unidad Central Operativa (UCO) de la Guardia Civil, el cual, a la vista del elevado número de personas afectadas y del valor de lo sustraído, inició con absoluta prioridad esta investigación.

El ataque, altamente sofisticado, según se puso de manifiesto en las pesquisas, enmascaraba un complejo sistema de blanqueo de capitales mque hacía muy difícil la investigación dado el anonimato de las transacciones. Por los datos recabados inicialmente, como el uso de un sofisticado malware tipo RAT (Remote Access Trojan) más conocido como Troyano, el movimiento lateral en los ordenadores de la empresa, y el tiempo que estuvieron dentro de la misma los autores, hizo pensar que detrás de este ataque pudieran estar autores del tipo APT (Amenazas Persistentes Avanzadas), vinculadas con sofisticados grupos de cibercriminales.

A medida que los agentes fueron profundizando en el origen del ataque se pudo concluir que el mismo tenía su origen en la descarga ilegal de una película de un portal de contenido multimedia “pirata”, por parte de un trabajador de la citada empresa. Los archivos que conformaban esa película contenían un virus informático altamente sofisticado que permitió a los delincuentes hacerse con el control absoluto del ordenador del empleado y usarlo como cobertura para acceder a la entidad.

Dicha descarga se produjo más de medio año antes de que se produjeran los hechos, permitiendo a los atacantes conocer con detalle todos los procesos internos de la mercantil y preparar el robo informático. Dicho ataque fue en pleno verano, una vez que conocían todos los procedimientos, características y estructura de la empresa, accediendo por medio de una red de ordenadores interpuesta para dar la orden de transacción de criptomonedas por valor de 6.000.000 de euros.

Las criptomonedas sustraídas fueron transferidas a billeteras bajo el control de los ciberdelincuentes, donde estuvieron inmovilizadas por más de seis meses tratando de no llamar la atención policial. Fue tras ese tiempo, una vez que se sintieron seguros, cuando empezaron a mover las criptomonedas usando un complejo entramado de billeteras electrónicas de blanqueo de capitales.

Los agentes identificaron al supuesto operador de la página web de descargas ilegales desde donde se distribuyó el virus informático. Otras vías de investigación tecnológica abiertas, permitieron identificar a cuatro personas más, que supuestamente recibieron parte de las criptomonedas sustraídas, todos ellos sin relación aparente.

En noviembre de 2021, agentes Contra el Cibercrimen de UCO, llevaron a cabo cuatro registros domiciliarios en las provincias de Tenerife, Bilbao y Barcelona, procediendo a la detención e investigaciónd de cuatro personas, a las que se les intervino material informático de gran interés para la investigación, así como criptomonedas por valor de 900.000 €, relacionadas con el robo.

Analizado todo el material intervenido en estos registros, los agentes pudieron constatar rastros de la supuesta autoría del delito por parte de uno de los detenidos, localizando el malware tipo troyano utilizado y la trazabilidad del ciberataque, así como los movimientos iniciales de las criptodivisas sustraídas y el pago en las mismas al titular de la página web de descargas desde donde se lanzó el virus.

La investigación se centró entonces en la identificación de los posibles receptores de las criptodivisas sustraídas y llegaron hasta otro individuo, el cual recibió al menos 500.000 € en criptodivisa robada. Esta misma semana, en la última fase de la operación hasta el momento, se ha procedido a la investigación de otra persona, la cual ejercía un control sobre el supuesto autor a través del consumo de drogas vinculadas a rituales como el del Sapo Bufo. El rito del Sapo Bufo consiste en fumar bufantoína, el veneno extraído del sapo de Sonora o bufo alvarius, uno de los alucinógenos más potentes de cuantos se encuentran en la naturaleza. Durante la ceremonia, se fuma cristalizada en una pipa.