El hacker de 16 años que pirateó empresas y plataformas VOD, detenido en Madrid
Organismos públicos, entidades privadas e incluso una aplicación sanitaria sobre pruebas del Covid-19 han sido sus objetivos.
Podría parecer el guión de una serie de Netflix, pero la realidad siempre supera la ficción: Agentes de la Policía Nacional han detenido a un prolífico hacker que desde finales de 2019, quebrantó la seguridad de numerosas entidades públicas y privadas. Presuntamente, el arrestado habría accedido ilegítimamente a los servidores de empresas, tanto nacionales como internacionales y de toda índole, así como a entidades públicas españolas autonómicas y locales. Y eso en pleno confinamiento por una pandemia global y con sólo 16 años.
Cibercriminal de 16 años
Con una investigación oficial en marcha desde finales de 2019, tras la denuncia de una “destacada plataforma internacional de distribución de contenidos audiovisuales de vídeo bajo demanda” -está claro que solo puede ser una de las 4 actuales más conocidas: Netflix, HBO, Amazon Prime Video o Disney+-, el cibercriminal adolescente creó en tan solo tres días cerca de 141.000 cuentas fraudulentas para acceder al servicio televisivo de esa plataforma hackeada durante 14 días.
Para la creación de esos perfiles “se aportaron numeraciones de tarjetas bancarias de origen fraudulento que provocaron un perjuicio económico en la empresa de unos 450.000 Euros”. Las gestiones permitieron identificar dos perfiles de una importante red social, cuyo propietario se atribuía la comisión de la ciberestafa, repartiendo entre sus seguidores los beneficios del acceso gratuito al servicio de video en streaming.
Pocos días después, se recibió una nueva denuncia, en esta ocasión provenía de una empresa de alquiler de bicicletas situada en Madrid, y que informaba acerca de que habían sufrido un ataque informático a sus sistemas que les había impedido prestar servicios durante horas. El presunto autor del ciberataque dejó constancia de su autoría, mediante un mensaje que se podía leer en las pantallas de los propios dispositivos de gestión de alquiler situados en la vía pública.
Pillado en Madrid en pleno hackeo
Los investigadores tuvieron conocimiento que, en fechas posteriores, nuevos ataques tuvieron por objeto una consultoría española, encargada de dar soporte informático a importantes empresas implantadas en territorio nacional. La intrusión se produjo al más puro estilo de una película: Usando un poste de auto-venta situado en “el interior de un local de una afamada cadena de restaurantes de comida rápida”. En este ataque en particular, el hacker pudo tener acceso a bases de datos de varias empresas.
Con escasos días de diferencia entre ataque y ataque, una nueva denuncia aportó a los agentes especializados en la lucha contra la ciberdelincuencia los datos necesarios para ubicar al responsable de los actos ilícitos. A pesar de "las meticulosas y extensas medidas de autoprotección que el pirata informático llevaba a cabo para perpetrar cada ataque", finalmente los investigadores le pillaron, pudiendo corroborar su identidad y centrar su ubicación en un céntrico distrito madrileño.
De hecho, en el momento de su detención la Policía Nacional abortó el ataque contra la base de datos de "una conocida empresa de paquetería" que estaba hackeando el chico en ese instante. Los agentes han detectado que, en plena crisis sanitaria del COVID-19, habría publicado en uno de sus perfiles la imagen de una aplicación sanitaria dedicada a la prescripción de pruebas y recetas así como los datos personales de varias personas, a los que habría tenido acceso ilícito en uno de sus ataques.
Hackeando durante la cuarentena y jactándose de ello
Aunque todavía está por determinar el alcance de cada uno de los cibertataques que habría realizado, se puede afirmar que “las plataformas afectadas contenían información de carácter personal y su acceso ilícito permitía al atacante no solo conocer la información contenida en esos ficheros sino también su modificación”. Entre las bases de datos exfiltradas se encuentran las de empresas de diversa índole así como plataformas de gestión de educación de varias consejerías que contendrían datos de carácter personal de alumnos y profesores.
Ante la prolífica actividad delictiva, así como la publicación de mensajes en sus redes sociales advirtiendo de nuevos e importantes ciberataques, y dado que la situación actual de confinamiento de la población genera una mayor vulnerabilidad por depender en gran medida de los sistemas de telecomunicación, “los policías solicitaron la inmediata autorización judicial para la entrada y registro en el domicilio del investigado”.
¿Vendió datos a la Dark Web?
En el registro de la vivienda los agentes hallaron numerosas evidencias de los hechos investigados, destacando la existencia de diversas herramientas de software dedicadas "a la comisión de ciberataques en todas sus fases". Igualmente, se descubrieron indicios de numerosos hackeos culminados durante los meses previos y asaltos que habían sido dirigidos objetivos de diversa naturaleza como:
- Compañías de transporte y logística
- Empresas de telecomunicación
- Plataformas de gestión de educación
- Corporaciones del ámbito privado y público a nivel autonómico y local.
Debido a la enorme cantidad de información contenida en el material intervenido, no se puede descartar que de tras su análisis se hallen "nuevas trazas de ciberataques" o de otras conductas delictivas, como "la venta de los datos extraídos ilegalmente en mercados clandestinos o en la Dark Web".