La Guardia Civil resuelve un caso de robo de 6 millones de euros en criptomonedas

  • Actualidad

Guardia Civil - operacion 3COIN

La Guardia Civil ha desarticulado un grupo de ciberdelincuentes que en el verano de 2020 atacó una empresa española dedicada a la custodia de criptodivisas, a la que robó 6 millones de euros pertenecientes a miles de inversores. Ha sido clave para la resolución del caso la plena disposición de la víctima y la colaboración del sector privado de la ciberseguridad.

Recomendados: 

Impacto financiero de Lacework Leer

Nuevas reglas de seguridad para aplicaciones web y API Leer

La Guardia Civil ha desarticulado un grupo de ciberdelincuentes que en el verano de 2020 atacó una empresa española dedicada a la custodia de criptodivisas, robando 6 millones de euros en criptomonedas pertenecientes a miles de inversores. Estos hechos notificados al Departamento contra el Cibercrimen de la Unidad Central Operativa (UCO) de la Guardia Civil, inició una investigación compleja debido, en parte, al anonimato de las transacciones con las monedas digitales.

Detalles de la operación 3COIN
Según ha explicado el cuerpo de seguridad, a medida que los investigadores fueron profundizando en el origen del ataque a la empresa de custodia de criptoactivos, se pudo concluir que tenía su origen en la descarga ilegal de una película de un portal de contenido multimedia “pirata”, por parte de un trabajador de la citada empresa.

Los archivos contenían un virus informático altamente sofisticado que permitió a los atacantes hacerse con el control absoluto del ordenador del empleado y usarlo como cobertura para acceder a la empresa. Dicha descarga se produjo más de medio año antes de que se produjeran los hechos, permitiendo a los atacantes conocer con detalle todos los procesos internos de la mercantil y preparar el ataque informático.

Una vez llevado a cabo, las criptomonedas sustraídas fueron transferidas a billeteras bajo el control de los atacantes, donde estuvieron inmovilizadas por más de seis meses tratando de no llamar la atención policial. Fue tras ese tiempo, una vez que se sintieron seguros, cuando empezaron a mover las criptomonedas usando un complejo entramado de billeteras electrónicas de blanqueo de capitales.

Fruto de las distintas vías de investigación abiertas por los agentes, se identificó al supuesto operador de la página web de descargas ilegales desde donde se distribuyó el virus informático que propició el ataque. Otras vías de investigación tecnológica abiertas, permitieron identificar a cuatro personas más, que supuestamente recibieron parte de las criptomonedas sustraídas, todos ellos sin relación aparente.

Por todo ello, en noviembre de 2021, agentes Contra el Cibercrimen de UCO, llevaron a cabo cuatro registros domiciliarios en las provincias de Tenerife, Bilbao y Barcelona, procediendo a la detención e investigación de cuatro personas, a las que se les intervino material informático de gran interés para la investigación, así como criptomonedas por valor de 900.000 euros, relacionadas con el robo.

Analizado todo el material intervenido en estos registros, los agentes pudieron constatar rastros de la supuesta autoría del ataque por parte de uno de los detenidos, localizando el malware tipo troyano utilizado y la trazabilidad del ciberataque, así como los movimientos iniciales de las criptodivisas sustraídas y el pago en las mismas al titular de la página web de descargas desde donde se lanzó el virus.

Una vez constatada la supuesta autoría del ciberataque, la investigación se centró en la identificación de los posibles receptores de las criptodivisas sustraídas y su vinculación con el primero, llegando los investigadores hasta otro individuo, el cual recibió al menos 500.000 euros en criptodivisa robada.

En la última fase de la operación hasta el momento, se investigó a otra persona, que ejercía un control sobre el supuesto autor a través del consumo de drogas vinculadas a rituales como el del Sapo Bufo.