La red de ladrones de criptomonedas desarticulada por la Unidad Central Operativa (UCO) de la Guardia Civil, que ha permitido la detención de cinco personas, incluido un colaborador del cabecilla asentado en València, tal como informó este martes en exclusiva Levante-EMV, diario que pertenece al mismo grupo que este medio, está acusada de robar 6 millones de euros en moneda virtual de una plataforma española de inversiones en este tipo de dinero, que tiene 100.000 usuarios en 22 países. El asalto informático se perpetró en agosto de 2020, pero, según ha informado hoy la Guardia Civil, empezó a planificarse y ejecutarse mucho antes.

De hecho, los ahora detenidos se colaron en el sistema informático de la empresa de una manera totalmente ingeniosa y novedosa: a través de una web de descargas piratas de películas. De este modo, un empleado de la firma hackeada metió sin saberlo un troyano en la firma, que se instaló en su ordenador camuflado entre los archivos que formaban la película que se descargó de manera ilegal en el ordenador del trabajo.

Haciendo gala de una paciencia reptiliana, los piratas esperaron seis meses a cometer el robo definitivo. En ese tiempo, y tras hacerse con el control absoluto del ordenador del empleado mediante la introducción del virus camuflado en la descarga de la película, pudieron espiar los "procedimientos, características y estructura de la empresa", según ha informado la Guardia Civil, accediendo por medio de una red de ordenadores interpuesta para dar la orden de transacción de criptomonedas por valor de 6.000.000 de euros.

Bloqueado 6 meses en billeteras virtuales

Ese dinero virtual fue transferido, como es habitual, a billeteras virtuales ('wallets'), donde suele quedarse bloqueado ('staking') durante un tiempo con la finalidad de recibir ganancias o recompensas. En ese lapso, el dueño del dinero no puede disponer libremente de él, imitando los bloqueos de muchos productos financieros clásicos.

Sin embargo, en este caso, los ladrones utilizaron el sistema de 'staking' para no levantar sospechas ante la la investigación policial que ya presuponían en marcha. Así, mantuvieron las criptomonedas inmovilizadas durante otro medio año más, tras lo cual iniciaron el movimiento del dinero, cuyo rastreo ha sido extremadamente complejo y para el que los expertos del Departamento de lucha contra el Cibercrimen de la UCO han contado con la colaboración de una empresa privada experta en ciberseguridad, que fue quien detectó los procesos de hackeo antes de interponer la denuncia.

Uno de los principales escollos en este tipo de investigaciones reside precisamente en la propia naturaleza de las criptomonedas, cuya trazabilidad es mucho más compleja que la del dinero de curso legal porque las transacciones están amparadas en el anonimato más puro.

Ciberdelincuentes de altos vuelos

Aún así, al analizar los procedimientos utilizados por los piratas informáticos, los investigadores se dieron cuenta, entre otras cosas por el tiempo que permanecieron dentro del sistema informático, de que se enfrentaban a cibercriminales altamente sofisticados, los conocidos como APT (Amenazas Persistentes Avanzadas).

Una vez concluido lo que consideraron el periodo de seguridad necesario, los hackers empezaron a mover los 6 millones de euros en criptoactivos usando un complejo entramado de billeteras electrónicas de blanqueo de capitales.

Realizando un trabajo clásico de investigación criminal, los agentes comenzaron a recorrer el camino de los delincuentes en sentido inverso. Así, llegaron al operador de la página web de descargas desde donde se ofertó la película con la que tentaron al empleado de la plataforma española de compra y custodia de criptomoneda, quien fue detenido después de que los agentes hallasen pruebas de que percibió su parte, evidentemente, en moneda virtual.

El movimiento del dinero

Continuando el recorrido, llegaron hasta cuatro de los internautas que supuestamente se prestaron a colaborar a cambio de dinero virtual, y que no guardaban relación aparente entre sí, según remarca la Guardia Civil en su comunicado.

Una vez identificados los sospechosos, los investigadores pusieron en marcha, en noviembre del año pasado, la primera fase de la bautizada como Operación 3Coin, con la detención e investigación de esas cuatro personas en Tenerife, Bilbao y Barcelona. Los agentes les intervinieron material informático "de gran interés para la investigación", así como criptomonedas por valor de 900.000 euros relacionadas con el robo.

Analizado todo el material intervenido en estos registros, los agentes pudieron constatar rastros de la supuesta autoría del ataque por parte de uno de los detenidos, localizando el malware de tipo troyano utilizado y la trazabilidad del ciberataque, así como los movimientos iniciales de las criptodivisas sustraídas y el pago en las mismas al titular de la página web de descargas desde donde se lanzó el virus.

La Guardia Civil revienta la puerta de un piso de Ciudad Ros Casares para detener al inquilino

La Guardia Civil revienta la puerta de un piso de Ciudad Ros Casares para detener al inquilino LEVANTE-EMV

Una vez constatada la supuesta autoría del ciberataque, la investigación se centró en la identificación de los posibles receptores de las criptodivisas sustraídas y su vinculación con el primero, llegando los investigadores hasta otro individuo, el cual recibió al menos 500.000 euros en criptodivisa robada, según el comunicado de la Guardia Civil.

Un chamán en València experto en el sapo bufo

Concluida esa fase, los agentes continuaron con la investigación y detectaron una cierta 'fuga de dinero' que tenía por destino València. Ese rastro les llevó hasta la parte menos 'ciber' del entramado: el presunto camello del cabecilla del robo. Así, según las fuentes citadas, el asalto al apartamento del edificio Ros Casares de València, del que informó ayer este diario, tenía por objetivo la detención de otra persona, "la cual ejercía un control sobre el supuesto autor a través del consumo de drogas vinculadas a rituales como el del sapo bufo", el mismo que mantiene investigado a Nacho Vidal por la muerte de un fotógrafo en su casa de Enguera, pese a que los últimos informes toxicológicos a partir de las muestras tomadas al cadáver del fallecido durante la autopsia podrían favorecer al actor porno.