La cadena de gimnasios Basic-Fit ha sufrido un robo de la información que afecta a aproximadamente un millón de sus socios en Europa. Entre los afectados hay clientes de sus gimnasios en España, Francia, Alemania y Países Bajos. Los datos sustraídos incluyen nombres y apellidos, direcciones, correos electrónicos, números de teléfono, fechas de nacimiento, números de cuenta bancaria e información sobre su membresía y consumo, según ha informado Basic-Fit a las víctimas a través de correo electrónico.

“Concretamente, incluye el tipo de membresía, el saldo de pagos, el número de pase de Basic-Fit, un identificador interno, los horarios y clubs de tus visitas recientes”, desglosa la empresa sobre este último punto. Los ciberdelincuentes también han accedido al tipo de dispositivo que los socios utilizaron para validar esas últimas visitas, como por ejemplo la marca del teléfono. Las contraseñas del servicio no se han visto afectadas, según la comunicación.

El acceso a los datos se produjo el pasado 8 de abril en el sistema encargado de registrar las visitas de los socios a los centros deportivos. El operador, que presta servicio a más de 4,5 millones de clientes en seis países europeos, ha detallado que sus herramientas de monitorización detectaron la intrusión y bloquearon el acceso. El sistema que gestiona su modelo de franquicias en otros países europeos opera de manera independiente y no se ha visto afectado por la filtración.

“Los hackers encontraron una vulnerabilidad en la seguridad de nuestro sistema”, ha explicado un portavoz de Basic-Fit a elDiario.es. “La solucionamos minutos después de detectar la brecha. Lamentablemente, la seguridad 100% no existe, tal y como confirma el NCSC (la agencia nacional de ciberseguridad del Reino Unido), que aconseja a las empresas que trabajen en su resiliencia”, añaden las mismas fuentes: “Los hackers no se han puesto en contacto con nosotros y, por lo que sabemos, los datos no se han publicado en ningún lugar”.

Ataques de suplantación de identidad

La empresa comunica a los afectados que no es “necesario” que tomen “ninguna medida inmediata”. No obstante, avisa que deben tener “cuidado con los posibles intentos de phishing”, una modalidad de ataque en la que los ciberdelincuentes suplantan la identidad de empresas e instituciones para ganarse la confianza de las víctimas y robar sus datos financieros o su dinero.

La acumulación de datos personales como las sustraídas en este tipo de incidentes, como cuentas bancarias, números de teléfono y fechas de nacimiento, facilita el diseño de los ganchos para engañar al objetivo. Los ciberdelincuentes utilizan detalles específicos como nombres completos o registros de actividad para generar un “sesgo de autoridad” y una sensación de urgencia que impida que sospeche de la interacción.

Además, el volumen de información filtrada permite la profesionalización de las estafas mediante centros de llamadas, donde los datos son vendidos a terceros o empleados para cometer fraudes financieros posteriores.

En caso de sospecha de haber clicado en un enlace fraudulento o de haber introducido datos bancarios en páginas que podrían estar operadas por ciberestafadores, la recomendación de las fuerzas de seguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía. El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.

Desde el miércoles por la noche y hasta la madrugada del próximo viernes, ciberespías de las principales empresas de spyware mundiales se reúnen en Barcelona en un encuentro secreto en el que participan empresas presuntamente vinculadas a la violación de derechos humanos. 

El evento, desvelado por este periódico en diciembre, se celebrará en un lugar indeterminado del barrio del Eixample de la capital catalana y en él se impartirán charlas sobre novedades y nuevos métodos para implementar software espía en dispositivos de ciudadanos, cargos públicos o cualquier otro objetivo de quien adquiera estos productos.

Fuentes del sector destacan, en todo caso, que uno de los platos fuertes del encuentro es el networking entre ciberespías así como la posibilidad de llegar a acuerdos comerciales entre empresas y clientes.

La reunión preocupa a algunas entidades de derechos humanos, como Amnistía Internacional o Access Now, especializada en derechos digitales, por el precedente que genera, por el aire de legitimidad que se les está dando a estas compañías a pesar de sus prácticas y por el hecho de que Barcelona se esté convirtiendo en la meca europea del ciberespionaje.

“Estos eventos buscan blanquear su legitimidad y animan a cada vez más proveedores de software espía a instalarse en ciudades europeas como bases de operaciones seguras”, explica Rand Hammoud, responsable global de vigilancia en Access Now.

Sobre el papel, las empresas que participarán en el evento se dedican a identificar vulnerabilidades en sistemas informáticos y dispositivos móviles, pero diversos expertos consultados afirman que esta descripción es un “eufemismo” para definir empresas que venden spyware a gobiernos y fuerzas de seguridad.

Tal y como desveló esta redacción, el encuentro está organizado por una compañía de spyware con sede en Barcelona pero fundada por un investigador israelí. La empresa, llamada Epsilon, está especializada en identificar vulnerabilidades de “día cero” —que nadie sabe que existen previamente— en teléfonos móviles y se jacta de ofrecer productos “zero-click”. Es decir, que pueden instalarse sin que la víctima tenga que clicar en ningún enlace ni aplicación. 

Lo que preocupa a las entidades es el hecho de que estas compañías hayan elegido Barcelona para instalar sus bases de operaciones, en una tendencia iniciada tras la pandemia y que ha llevado a decenas de ciberespías —buena parte de ellos israelíes— a instalarse y registrar sus empresas en la capital catalana.

Según algunas fuentes, uno de los objetivos de este traslado a Europa es la posibilidad de exportar sus productos a otros Estados miembro con menos restricciones que si lo hicieran desde Israel. Otras señalan que los Gobiernos europeos y sus agencias de seguridad son los mejores clientes de estas compañías al no tener desarrolladas por ellos mismos este tipo de herramientas. 

“Barcelona se ha convertido en los últimos años en un centro destacado para investigadores en seguridad”, apunta Donncha Ó Cearbhaill, responsable del Laboratorio de Seguridad de Amnistía Internacional. “Como ocurre habitualmente en el sector, se sabe poco sobre los clientes finales —gubernamentales o de otro tipo— de estas empresas”.

Desde Amnistía reclaman a los Estados Miembros de la UE y a las autoridades españolas “transparencia” sobre cualquier licencia de exportación concedida para la venta o exportación de productos de cibervigilancia de alto riesgo, como el spyware, y recuerdan que están sujetos a la normativa de exportaciones de armamento. 

“La aplicación débil de los controles de exportación genera un entorno permisivo en el que las empresas pueden operar desde Europa mientras exportan herramientas de vigilancia a gobiernos con graves vulneraciones de los derechos humanos”, incide Hammoud, de Access Now.

Empresas con un pasado turbio

Al frente de la compañía que organiza el evento aparece el francés Jeremy Fetiveau, un veterano del sector que trabajó anteriormente en Trenchant, una división de ciberseguridad del gigante de defensa estadounidense L3Harris.

Ni Fetiveau ni Epsilon han respondido a la solicitud de elDiario.es para comentar este artículo. El Ayuntamiento de Barcelona, por su parte, tampoco ha hecho ninguna declaración sobre la reunión que se celebra en la ciudad.

Otra compañía que estará en el evento es la israelí Radiant Research. Con sedes en Tel Aviv y Barcelona, emplea a veteranos de la unidad de ciberinteligencia militar de élite 8200, perteneciente a las Fuerzas de Defensa de Israel, junto con antiguos trabajadores de NSO, la empresa que desarrolló el software Pegasus.

La compañía vende sus productos a actores estatales en Occidente o a través de contratistas de defensa. “Desarrollamos capacidades cibernéticas avanzadas para un grupo selecto de agencias militares, de inteligencia y de aplicación de la ley”, señalan en su web. “Asumimos los desafíos de los que otros podrían apartarse”, añaden.

También participará en la reunión Paradigm Shift, sociedad registrada en 2024 por tres socios italianos que ofrece sus servicios a agencias de seguridad y fuerzas del orden.

Todos los fundadores de Paradigm Shift son antiguos empleados de Variston, una compañía señalada en 2023 por Google por proveer desde Barcelona software espía a un grupo de hackers que atacaba a ciudadanos de Emiratos Árabes Unidos.

“Solo quienes deben saberlo lo saben”. Así se describe el lugar en el que se celebrará en Barcelona, el próximo 15 de enero, el encuentro de ciberespionaje Offensive. Nadie sabe la localización exacta de la reunión: se comunicará a los asistentes a las ocho de la mañana de ese mismo día.

El reclamo para el encuentro es “Sol, marisco y ‘spyware’” y reunirá a ciberespías de todo el mundo en la capital catalana durante tres días, citados por una compañía de spyware con sede en Barcelona pero fundada por un investigador israelí. 

Son empleados y dirigentes de empresas de “ciberseguridad ofensiva”, un sector poco transparente que, sobre el papel, se dedica a identificar vulnerabilidades en sistemas informáticos y dispositivos móviles.

“Todo son eufemismos para definir lo que es un grito a voces: son empresas que venden spyware a gobiernos y a fuerzas de seguridad”, afirma un empleado del sector, que pide anonimato para hablar con elDiario.es.

El encuentro, cuyas charlas y conferencias no se podrán divulgar, pone de manifiesto hasta qué punto Barcelona se ha convertido en un hub internacional de hackers y empresas de ciberseguridad, con una notable presencia israelí.

“Barcelona se ha convertido en la capital europea de la ciberseguridad ofensiva”, afirmaba el periódico israelí Haaretz el pasado diciembre. El reportaje explicaba que al menos tres equipos de hackers de élite de ese país se habían instalado en la capital catalana, incluidos los primeros desarrolladores del programa Pegasus con el que se espió a decenas de cargos independentistas.

La reunión que se celebrará en Barcelona tiene un marcado sello israelí. La organiza la compañía Epsilon, fundada en 2024 y especializada en identificar vulnerabilidades de “día cero” —que nadie sabe que existen previamente— en teléfonos móviles. Epsilon se jacta de ofrecer productos “zero-click”. Es decir, que pueden instalarse sin que la víctima tenga que clicar en ningún enlace ni aplicación. 

Según el Registro Mercantil, uno de los socios de Epsilon es Daniel Shapiro, veterano israelí del ciberespionaje y cofundador de otra empresa de spyware en Tel Aviv llamada Bindency, cuyo producto estrella era un spyware de “zero-click” para infectar teléfonos. 

Al frente de esta compañía y como principal organizador del evento en Barcelona aparece el francés Jeremy Fetiveau, otro veterano del sector que trabajó anteriormente en Trenchant, una división de ciberseguridad del gigante de defensa estadounidense L3Harris.

Ni Fetiveau ni Epsilon han respondido a la solicitud de elDiario.es para comentar este artículo.

Otra compañía vinculada estrechamente al encuentro es la israelí Radiant Research. Con sedes en Tel Aviv y Barcelona, emplea a veteranos de la unidad de ciber inteligencia militar de élite 8200, perteneciente a las Fuerzas de Defensa de Israel, junto con antiguos trabajadores de NSO, la empresa que desarrolló el software Pegasus.

La compañía vende sus productos a actores estatales en Occidente o a través de contratistas de defensa. “Desarrollamos capacidades cibernéticas avanzadas para un grupo selecto de agencias militares, de inteligencia y de aplicación de la ley”, señalan en su web. “Asumimos los desafíos de los que otros podrían apartarse”, añaden.

También participará en la reunión Paradigm Shift, sociedad registrada en 2024 por tres socios italianos que ofrece sus servicios a agencias de seguridad y fuerzas del orden.

Todos los fundadores de Paradigm Shift son antiguos empleados de Variston, una compañía señalada en 2023 por Google por proveer desde Barcelona software espía a un grupo de hackers que atacaba a ciudadanos de Emiratos Árabes Unidos.

Una nueva vía para exportar spyware a Europa

¿Qué ha llevado a Barcelona a convertirse en la capital del spyware? ¿Por qué tantas empresas israelíes están abriendo sede en la capital catalana? 

Según datos de la Generalitat de Catalunya, entre 2020 y 2025 los empleados en empresas de ciberseguridad en Barcelona aumentaron un 50%, hasta superar los 10.000 trabajadores en más de 550 compañías a finales del año pasado. 

El sector está en auge: sólo en Catalunya el volumen de negocio alcanzó los 1.473 millones de euros en 2024.

“Los sueldos que pagan estas empresas de spyware a un investigador pueden ir de los 250.000 hasta los 500.000 euros anuales”, explica Marc Rivero, analista de ciberdelitos y coordinador del máster de ciberseguridad de la Universidad La Salle.

Rivero y otras fuentes del sector explican que un exploit —una herramienta que permite aprovechar una vulnerabilidad en un dispositivo o sistema— puede venderse por varios millones de euros. 

El pasado octubre, Apple ofreció hasta dos millones de dólares para quien detectara exploits que permitieran espiar sus dispositivos. “Hay mucho dinero y muy poca gente capaz de hacer este trabajo”, sostiene un empleado de una empresa de ciberseguridad.

Más allá del clima, la ciudad y el bajo coste de la vida en comparación a otras grandes capitales europeas, salir de Israel es otro gran reclamo para estas empresas, pues les abre la posibilidad de exportar spyware sin las restricciones que impone el Gobierno israelí ni el control a los productos de doble uso que llegan desde ese país. Haaretz también informaba el año pasado de cómo los cambios en la regulación israelí de la ciberseguridad habían llevado a muchas empresas a cerrar y reabrir en otros lugares. 

“Es un secreto a voces en el sector”, apunta la misma fuente. “Por eso hay tantas empresas israelíes que han venido aquí”. Rivero, por su parte, explica que una empresa creada en Europa puede tener más facilidades para comercializar sus productos a otros Estados miembros, pero matiza que si una agencia de inteligencia quiere un producto determinado le va a dar igual de dónde venga.

El mercado está cada vez más personalizado y los clientes ya no quieren comprar el mismo spyware que tienen otros países, sino productos desarrollados exclusivamente para ellos que generan grandes beneficios para estas compañías que investigan y localizan vulnerabilidades. 

Lo que sigue envolviendo a estas empresas es un manto de misterio: en ninguna de ellas aparece quién las dirige ni de quién son propiedad. Algunas incluso ni siquiera tienen página web y confían en el boca oreja de un sector en auge que tiene Barcelona como una de sus grandes centros operacionales. 

“Es un tema de seguridad operacional”, concluye Rivero. “No se puede saber quienes son los profesionales que han desarrollado una herramienta ofensiva para un Gobierno o agencia de seguridad”.

¿Quiere clonar la página web oficial de Hacienda para robar datos fiscales? Perfecto, este es nuestro porfolio. ¿Prefiere suplantar a cualquiera de los principales bancos de España y acceder directamente a las cuentas de sus clientes? Podemos personalizarlo para usted. ¿Le ha surgido algún problema a la hora de utilizar nuestras herramientas? Disponemos de un servicio técnico para ayudarle. Y no se preocupe si lo que necesita es asesoramiento para “robarle todo a las abuelas”: tenemos un canal específico para ello.

Parece ficción, pero es exactamente la lista de servicios de la última red de ciberdelincuentes detenidos en España. Al mando estaba un desarrollador conocido como GoogleXcoder, un ciudadano brasileño de 25 años que se convirtió en el posibilitador, sospecha la Guardia Civil, de muchas de las campañas de phishing que se han lanzado a nivel nacional desde 2023. Campañas que “han derivado en una cantidad importante de denuncias de personas afectadas, millones de euros sustraídos y el origen de una incipiente alarma social”, destacan los investigadores.

El phishing, como se conoce a los ataques de suplantación de identidad de empresas e instituciones públicas para engañar a las víctimas y quedarse con sus contraseñas o datos bancarios, se ha convertido en una de las ciberestafas más comunes. Son rápidas, relativamente sencillas y gracias a organizaciones como la de GoogleXcoder, muy accesibles para todo tipo de bandas.

Se puede definir como una empresa que se dedicaba a dar servicios criminales, en forma de kits para estafar

Alberto Rodao — jefe del Departamento Contra el Cibercrimen de la Unidad Central Operativa (UCO) de la Guardia Civil

“Es la representación perfecta del crimen como servicio”, explica a elDiario.es Alberto Rodao, jefe del Departamento Contra el Cibercrimen de la Unidad Central Operativa (UCO) de la Guardia Civil. “Se puede definir como una empresa que se dedicaba a dar servicios criminales, en forma de kits para estafar”.

Un modus operandi que refleja cómo ha evolucionado el crimen en España y aleja la imagen del solitario encapuchado frente a un ordenador. Los nuevos grupos utilizan tácticas profesionales para el ciberdelito, dejando atrás las campañas de phishing descuidadas y llenas de faltas de ortografía.

Crimen empaquetado

Los kits de estafa en los que se especializó esta organización eran, en la práctica, paquetes con todo lo necesario para llevar a cabo un ciberataque de phishing. Incluían los programas capaces de clonar los portales oficiales de cualquier organismo, diseñados para el robo de datos y contraseñas, así como herramientas para el envío masivo de mensajes (SMS y correos electrónicos). El objetivo era que cualquiera, aun con mínimos conocimientos técnicos, pudiera llevar a cabo estas estafas.

Su método para ponerlo a disposición de sus clientes también copiaba estrategias profesionales. “Él te hacía un paquete personalizado según lo que necesitaras. Era un experto en phishing, pero también hacía otros tipos de malware. Te ofrecía todo lo que un criminal podía necesitar para una campaña de phishing y lo cobraba como si fuera una licencia de software, por días. Tres días podían valer entre 200 y 300 euros”, revela Rodao.

En su cara más visible, estos programas incluían réplicas muy cuidadas de páginas oficiales (formularios, logos, textos) y un panel web desde el que los clientes de GoogleXcoder podían generar enlaces falsos, personalizar mensajes y seguir en tiempo real las credenciales y datos que iban llegando. No obstante, también incluían una parte oculta, ya que los datos que sus herramientas recogían también se desviaban hacia bases de datos bajo control del desarrollador.

“No era su negocio principal”, detalla el mando de la UCO, pero le eran de utilidad para mantener su anonimato. Gracias a los datos robados, utilizaba la identidad de las víctimas para contratar sus propias líneas de teléfono o tarjetas bancarias para disfrazar sus movimientos. También se desplazaba frecuentemente junto a su familia por distintas ubicaciones de España con el fin de “evitar su localización”.

Una operación de arriba a abajo

GoogleXcoder ofrecía sus servicios en Telegram, “el gran mercado del cibercrimen en los últimos años”, recuerda Rodao. La app ofrece anonimato y escasa colaboración con las autoridades, mientras que los canales donde la organización ofrecía sus herramientas de ciberataque eran de acceso privado. Sin embargo, con una cartera de clientes creciente, sus actividades empezaron a llamar la atención.

La UCO obtuvo “noticias de que el nick de esta persona estaba anunciando estos servicios” a través de varias fuentes. La repetición de “GoogleXcoder” en las declaraciones de los investigados llevó a los agentes a modificar el flujo tradicional de sus pesquisas. “Lo habitual es empezar por las víctimas”, aclara Rodao. Normalmente, una denuncia particular inicia el seguimiento del dinero, un rastro que permite “subir en la escala criminal” desde los escalones más bajos —las 'mulas' que reciben las transferencias— hasta los ejecutores.

En este caso, la UCO actuó “de arriba a abajo”. En lugar de perseguir las cientos de estafas individuales que emanaban de sus herramientas, decidieron ir directamente a por la fuente del problema. El objetivo era neutralizar al “cerebro”, al “desarrollador del malware” que proveía a todos los demás grupos. “Nos costó llegar hasta él y averiguar la persona que se escondía detrás del nick”.

Tras la detención, los agentes emprendieron el camino inverso. “Hemos intentado llegar a las víctimas”, confirma Rodao. El análisis de los dispositivos del detenido reveló la magnitud de su actividad. “En muchos casos, cuando contactamos con las personas cuyos datos habían sido robados, ni siquiera eran conscientes de ello”.

La operación, coordinada por el Juzgado de Instrucción número 1 de San Vicente de la Barquera (Cantabria), culminó con la realización de seis registros en domicilios en Valladolid, Zaragoza, Barcelona, Palma de Mallorca, San Fernando y La Línea de la Concepción. Actualmente, la investigación continúa abierta y no se descartan nuevas actuaciones.

“Robarle todo a las abuelas”

El nombre de uno de los canales de mensajería de GoogleXcoder resume la filosofía de la organización: “Robarle todo a las abuelas”. Es “llamativo”, admite Rodao. Es la definición de una estrategia de negocio. Las personas mayores son “víctimas principales” por una razón puramente mercantil: su brecha digital las convierte en el objetivo perfecto. “Están mucho menos familiarizadas” con el entorno digital y, por tanto, “son más fáciles de engañar”, explica el jefe del cibercrimen de la UCO.

Esta vulnerabilidad tiene un precio en el mercado negro. “Los paquetes de datos de personas mayores siempre están más cotizados”, revela el guardia civil.

Las estafas informáticas se han duplicado desde 2019. Aunque en el año 2024 fue el primero de la última década en que esta tipología de delito se redujo respecto al ejercicio anterior, este 2025 ha vuelto a aumentar. En suma, los ciberdelitos ya representan más de un 20% de toda la criminalidad que se da en España.

“La gente que se dedica a esto no tiene ninguna piedad”, sentencia Rodao. “No se cortan nada ni con las personas vulnerables, ni mayores, ni nada”. El único objetivo es el beneficio, sin importar las consecuencias para la víctima: “Aquí es el dinero y me da igual quién seas, cómo seas o en qué situación estés. El objetivo es sacar siempre el máximo dinero”.

Los especialistas recomiendan mantener la cabeza fría ante cualquier comunicación sospechosa. Los estafadores suelen aprovechar que las defensas de la víctima se relajan ante situaciones de urgencia. Ataques que cada vez cuentan con un mayor grado de perfección gracias a los datos personales robados. “Cuando tú sabes todo de una persona, en qué banco tiene contraseña, qué edad tiene, dónde, etc., te permite ejecutar un ataque muy elaborado”, recuerda el mando de la UCO.

En caso de sospecha de haber clicado en un enlace fraudulento o de haber introducido datos bancarios en páginas que podrían estar operadas por ciberestafadores, la recomendación de las fuerzas de seguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía. El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.

Durante los próximos tres días, Albacete se convertirá en el epicentro de los expertos en seguridad informática de España. La 13ª edición de la Navaja Negra Conference arranca este jueves con el cartel de ‘no hay billetes’ colgado tras agotarse las 900 entradas disponibles.

Y lo hará con un tema como protagonista de buena parte de las charlas: la inteligencia artificial y su papel en nuestras vidas, en una comunidad autónoma, Castilla-La Mancha, donde su Gobierno regional apuesta fuerte por los centros de datos, en particular en Talavera de la Reina. Ejemplo de ello fue el anuncio a principios de año de que Substrate AI tenía previsto implantar un centro de datos de inteligencia artificial en esta localidad.

Eso solo uno de los proyectos que se suman al que proyecta Meta (empresa matriz de Facebook, Instagram o Whatsapp) en el mismo lugar y del que no hay noticias recientes, a pesar de contar con el visto bueno del Gobierno regional desde hace un año. El pasado verano, el presidente regional Emiliano García-Page anunció que la empresa de Marck Zuckerberg ya había presentado el proyecto de reparcelación para instalarse en esta parte de la provincia de Toledo.

Usar “infraestructura construida en Europa” por “seguridad”

Rubén Ródenas, presidente de la Asociación Navaja Negra, la entidad que organiza la conferencia de cibreseguridad junto a la Universidad de Castilla-La Mancha (UCLM) y su Escuela Superior de Ingeniería Informática de Albacete, cree que estos centros de datos que las grandes tecnológicas tienen proyectados instalar en Europa, como los planeados en Talavera de la Reina, son una buena noticia, pero lamenta que ese esfuerzo inversor venga por parte de grandes compañías tecnológicas extracomunitarias.

“En Europa deberíamos de fomentar y ayudar a pymes que quieran emprender en esa línea a poder tener también centros de datos propios. No solamente de empresas americanas o chinas, que ya llegarán, y empezar a utilizar infraestructura construida en Europa y propia, que siempre va a estar más controlada y va a ser más segura”, asegura en declaraciones a elDiario.es Castilla-La Mancha.

En Europa deberíamos de fomentar y ayudar a pymes que quieran emprender en esa línea a poder tener también centros de datos propios

En ese sentido, y vinculándolo con el desarrollo de la inteligencia artificial, Ródenas afirma que “Europa se debería poner las pilas y a facilitar el camino a las empresas para que puedan empezar a crear modelos de inteligencia artificial que residan en Europa y que sean únicamente europeos y que podamos tener un control del mismo por la seguridad de todos”, asegura.

“La inteligencia artificial es un arma de doble filo”

Dada la importancia que la inteligencia artificial está cobrando, en Navaja Negra se explicará cómo se utiliza esta tecnología en el ámbito de la seguridad informática: los delincuentes para engañar a los usuarios y los expertos en ciberseguridad para desarrollar métodos de protección y defensa.

“La inteligencia artificial es un arma de doble filo”, explica Ródenas. “Por un lado, los delincuentes la utilizan para hackear, pero también están utilizándola las empresas para protegernos a todos los usuarios”, asegura.

Ródenas explica que los ciberdelincuentes se valen de la inteligencia artificial para clonar voces o imágenes, por lo que advierte a los usuarios que deben ser cuidadosos con los datos que suben a redes sociales para evitar caer en engaños.

“Esta información puede ser recopilada por los delincuentes para generar modelos tanto de voz como de vídeo que luego se utilicen para extorsionar a familiares, engañar a personas cercanas y de esta forma conseguir sus objetivos tanto de transferencias como de obtención de información bancaria, etc., haciéndose pasar por alguien cercano a nosotros”, advierte el experto en ciberseguridad.

Uno de los ponentes que intervendrá estos días en Navaja Negra es Josep Albors. Él es el responsable de Investigación y Concienciación de ESET España, además de profesor del Máster de Ciberseguridad en la Universidad Castilla-La Mancha. En una de sus dos charlas que ofrecerá durante la conferencia hablará de las técnicas que suelen emplear los ciberdelincuentes hoy en día: “Todas las que tienen que ver con robo de información. Concretamente, robo de credenciales. Y van dirigidos a empleados de empresas de todo tipo”, señala el experto.

Sobre la inteligencia artificial, Albors explica que la irrupción de esta tecnología ha ayudado a que “se baje el nivel de acceso para delincuentes sin muchos conocimientos previos”, ya que con ella es “más sencillo crear engaños más creíbles”. “Hay herramientas que permiten incluso automatizar y convencer al usuario para que proporcione información o haga unas acciones que no debería”, asegura Albors.

Sin embargo, la inteligencia artificial también ayuda a diseñar medidas de protección. Rubén Ródenas pone un ejemplo que se expondrá en la conferencia: “Tenemos una charla donde nos van a enseñar un modelo de inteligencia artificial entrenado que se encarga de hacer auditorías de forma autónoma. Estar 24/7 como si fuera un humano buscando todos los agujeros que puedan existir en las empresas para reportarlos y para solucionarlos”.

El público general también puede acercarse

La decimotercera edición de la Navaja Negra Conference es ya un congreso de ciberseguridad referente por los expertos, nacionales e internacionales, que ejercen como conferenciantes.

Se celebrará del 2 al 4 de octubre con más 50 ponentes y más de 30 horas de charlas y talleres. Además de abordar la inteligencia artificial, en la cita tecnológica también se hablará de la vulneración de sistemas de protección de videojuegos o del espionaje vía teléfono móvil, poniendo énfasis en modelos de hackeo que se realizan sin interacción humana.

“También tenemos una parte gratuita para toda la gente de Albacete. Pueden acercarse sin entrada y no hay que tener conocimientos de nada. Es solamente una primera toma de contacto en la ciberseguridad”, destaca Rubén Ródenas, presidente de la Asociación Navaja Negra.

Una nueva campaña de ciberataques contra objetivos españoles se ha desatado este fin de semana. Según ha podido comprobar elDiario.es, más de 700 correos electrónicos personales supuestamente pertenecientes a policías y guardias civiles han sido filtrados, mientras que los portales oficiales de La Moncloa, Policía Nacional, Guardia Civil, Casa Real o el Consejo General del Poder Judicial (CGPJ) han sufrido ataques que buscaban derribarlos. Grupos de hackers partidarios del Kremlin han reivindicado la acción, en venganza por la inclusión de uno de sus supuestos colaboradores en la lista de los más buscados de Europol.

Se trata de Enrique Arias Gil, un profesor madrileño de 37 años especializado en Seguridad Internacional y Cultura Islámica que tuvo una destacada presencia en medios de comunicación a principios de esta década, llegando a aparecer en varios programas de La 2 como experto en extremismos. La Audiencia Nacional ha dictado una orden internacional de busca y captura contra él acusado de apología del terrorismo, pertenencia a organización criminal y varios delitos de daños informáticos de carácter terrorista.

Los cargos están relacionados con su presunta colaboración con NoName057(16), uno de los comandos de hacktivistas prorrusos más activos que ha ciberatacado cientos de objetivos en España. También por su actividad en redes sociales, donde gestiona el canal de Telegram “Desinformador ruso”, creen los investigadores. Con más de 11.300 seguidores, este perfil ha jaleado las ofensivas de NoName y otros grupos dedicados a lanzar acciones de castigo contra los países que apoyan a Ucrania ante la invasión rusa.

“El cerco sobre él se estrechó a raíz de la operación contra NoName de julio, en la que se detuvo a varios individuos en Italia y Alemania por su relación con el grupo”, explica Rafael López, de Check Point, uno de los especialistas en ciberseguridad que más de cerca sigue a los comandos hacktivistas rusos. “Él no es un hacker, sino un experto en geopolítica y operaciones psicológicas de influencia. La labor que está haciendo para ellos es de inteligencia”, describe.

Los investigadores creen que Arias Gil se ha encargado de seleccionar objetivos para estos hacktivistas, cuya labor es ser el puño invisible de la política exterior de Vladímir Putin. Desde 2024 se encuentra en Rusia. “Tenéis 10 horas para rectificar y retirarme todos los cargos penales. O soltaré todos los datos de cada mortadelo coronel y de cada puta mortadela. Desde los más altos cargos, hasta la última prostituta”, publicó el canal de Desinformador ruso tras conocerse la orden de busca y captura.

“Nuestros amigos son una línea roja”

La amenaza pronto se convirtió en hechos. La inclusión de Arias Gil en la lista de los más buscados de la Europol ha desencadenado una campaña de ciberataques de grupos prorrusos contra objetivos españoles. El más grave hasta ahora es la filtración de las direcciones personales de correo electrónico de los agentes de la policía y guardia civil. En algunos casos ese email se distribuye junto a su nombre completo y rango en el cuerpo, mientras que en buena parte se incluye también una dirección IP asociada. Se trata de datos que pueden facilitar el rastreo completo de su identidad y la de sus familias.

Según los autores, la información habría sido extraída de los registros del congreso de ciberseguridad C1b3rWall. “C1b3rWall es el mayor congreso español de Seguridad Digital y CiberInteligencia, ofrecido por el Cuerpo Nacional de Policía (CNP) español, dentro de su Escuela Nacional de Policía y su División de Formación y Perfeccionamiento”, han reivindicado desde el grupo TwoNet, cuyo canal de Telegram ha sido ya eliminado. “¿Qué es lo que no se esperaban los organizadores de dicho congreso? Que nuestro camarada español en la sombra accedió a la base de datos de todos los participantes en dicho congreso”.

“¡Por Rusia! ¡Por Desinformador ruso!”, concluía el mensaje. Contactadas por este medio, fuentes oficiales del Ministerio del Interior han preferido no hacer declaraciones sobre la veracidad de los correos incluidos en la filtración o el supuesto topo que los grupos hacktivistas prorrusos habrían colocado en C1b3rWall.

Esa acción que fue seguida por una cadena de ataques de denegación de servicio, la ofensiva clásica de este tipo de grupos. En este caso los objetivos fueron las webs de los cuerpos de seguridad, la Moncloa, Casa Real o el CGPJ. “Ya habíamos enviado una advertencia anteriormente, y ahora decimos al Estado español: nuestros amigos son una línea roja”, ha publicado el grupo Mr. Hamza en Telegram, cuya cuenta también ha sido eliminada tras reivindicar la acción.

Este cibercomando añadía a su mensaje diversos enlaces que mostraban que esas webs habían llegado a quedar inactivas. “Son los ataques típicos que llevan haciendo varios años, cuyo objetivo es saturar la página hasta que se caiga. A veces lo logran, pero el bloqueo suele durar muy pocos segundos, hasta que salta la protección”, explica Rafael López. “Ellos lo venden como un logro, aunque suele tener muy poco impacto. Lo más peligroso es que utilicen ese tipo de ataques como maniobra de distracción para colarse por otros lados”, avisa.

Arias Gil defiende su inocencia

A pesar de las ofensivas de los grupos hacktivistas en protesta por su orden de detención internacional, Arias Gil ha publicado varios mensajes en el canal de Desinformador ruso defendiendo su inocencia. “Habéis ido contra un hombre inocente y contra la persona equivocada. Todo lo que está ocurriendo es una respuesta. Vais a parar todo esto. O, si no, comenzaréis a poneros las manos sobre la cabeza; porque continuaré, poco a poco (no es broma), hasta llegar al Borbón Felipe. Tengo los datos y pruebas de todos y cada uno de vosotros”, afirma.

Según sus publicaciones, Arias Gil habría obtenido esos datos gracias a su colaboración con las fuerzas de seguridad españolas. “Yo antes era un patriota español. Trabajé como operativo de Inteligencia, como analista de Inteligencia y como profesor universitario en materia de Inteligencia”, ha asegurado. “Investigué a terroristas, a radicales y a criminales, tanto en internet, como mezclándome entre ellos. Ayudé siempre lo mejor que pude. Y formándome muchísimo, para intentar hacer, lo mejor posible, mi antigua labor”.

El supuesto colaborador de los grupos prorrusos afirma que tuvo que “ocultar su forma de pensar” dadas las sospechas del resto de agentes de que “era un prorruso”. Señala como punto de inflexión “las caceroladas contra Pedro Sánchez” de mayo de 2020, en las que habría sido identificado por “dos policías españoles de información”, según su relato. Asegura que a partir de entonces “aumentaron los seguimientos y las escuchas”. “El último año que estuve en España, comenzaron las amenazas y las extorsiones”, continúa.

Arias Gil defiende que las acusaciones contra él no tienen pruebas y se basan en “publicar noticias y opiniones” a favor de los grupos prorrusos. El grupo NoName057(16), con el que se le vincula, también ha publicado un mensaje este lunes para defenderlo: “Se le atribuye la creación/coordinación/facilitación de las actividades de nuestro grupo. En realidad, él simplemente estaba republicando nuestras publicaciones”.

Se calcula que NoName ha realizado unos 500 ciberataques contra instituciones y empresas españolas y que fue uno de los actores clave acusados de sabotear las elecciones generales de 2023, llegando a realizar “filtraciones de datos de credenciales de usuarios, principalmente de distintas entidades proveedoras del proceso electoral, partidos políticos y medios de comunicación”, según recogió el informe del Departamento de Seguridad Nacional.

La Policía Nacional investiga una nueva filtración, la tercera, de datos personales que afecta, en este caso, al presidente del Gobierno, Pedro Sánchez, y a la presidenta de Extremadura, María Guardiola, entre otros dirigentes, según ha informado esta noche la Cadena SER y han confirmado a EFE fuentes policiales.

Según la emisora, del presidente del Gobierno se ha filtrado su Documento Nacional de Identidad; su fecha de nacimiento y la dirección de su domicilio particular, aunque no su teléfono móvil.

Guardiola se ha mostrado este viernes “muy tranquila”, aunque ha asegurado que no tiene información “más allá” de lo que se ha publicado“, ha dicho a preguntas de los medios a su entrada a la Asamblea de Extremadura, donde este viernes se celebra la segunda jornada del debate sobre el estado de la región.

María Guardiola ha dicho no sabe nada de la investigación y ha afirmado que tiene “una vida muy limpia, muy transparente, tengo una familia normal, soy una madre entregada, una buena hija y una buena mujer” y por ello no tiene “miedo alguno”.

“Me parece muy triste que tengamos que estar con este tipo de historias, pero, en fin, muy tranquila y con la cabeza alta siempre”, ha concluido.

Más filtraciones

Los hackers han filtrado un documento, donde, refiere la SER, también se incluye información personal del presidente andaluz, Juanma Moreno; la exalcaldesa de Barcelona, Ada Colau y datos de 3.000 afiliados de Podemos para acceder a su web privada.

El juez de la Audiencia Nacional Francisco de Jorge ya abrió una investigación de una segunda filtración, a través de un canal de Telegram, de datos personales hallada por la Policía, que afecta a varios ministros, a la presidenta del Congreso, Francina Armengol, al presidente de la Generalitat de Cataluña, Salvador Illa, y a implicados en el caso Koldo.

Fuentes jurídicas informaron a EFE de que el magistrado ha incorporado esta segunda filtración a la investigación que abrió la semana pasada sobre una primera difusión, que afectó a otros miembros del Gobierno como la vicepresidenta María Jesús Montero, los ministros Fernando Grande-Marlaska, Óscar Puente, Luis Planas, Diana Morant, Ana Redondo y Elma Saiz, y también exdirigentes del PP como María Dolores de Cospedal o Rafael Catalá, entre otros. Al abrir el procedimiento, el magistrado acordó mantenerlo bajo secreto.

La primera se produjo el pasado jueves, 19 de junio, desde un canal de Telegram con más de 92.000 seguidores. Los mensajes con esos datos aparecieron publicados a primera hora de la mañana por un usuario que se identifica en el canal con seudónimo y se republicaron por otro usuario una hora después.

El pasado sábado por la tarde se produjo la segunda brecha de seguridad, que afecta a datos personales como DNI, móvil, dirección de correo e incluso domicilio de la vicepresidenta Yolanda Díaz, del ministro Félix Bolaños, la presidenta del Congreso, Francina Armengol; el presidente catalán, Salvador Illa, o la líder de Podemos, Ione Belarra.

Entre los afectados también se encuentran periodistas, así como el ex número tres del PSOE Santos Cerdán, el exministro José Luis Ábalos, su exasesor Koldo García y el empresario y presunto comisionista Víctor de Aldama, los cuatro investigados en el Tribunal Supremo por el denominado caso Koldo. EntAsimismo, se investiga la difusión de datos personales también de unos 300 militantes socialistas.

La presunta organización criminal que integran el hacker Alcasec y el ex número dos de Interior con el PP Francisco Martínez elaboraba “perfiles” de personas e instituciones a partir de la información que robaba de bases de datos confidenciales. Una vez elaborados esos “perfiles” los ponía a la venta, informan fuentes jurídicas.

La Comisaría General de Información de la Policía detuvo este mares José Luis Huertas, alias 'Alcasec', a Francisco Martínez y a otras dos personas acusados de los delitos de organización criminal, revelación de secretos y blanqueo de capitales. Alcasec, Martínez y un tercer detenido se encuentran en dependencias de la Policía, en el 'cuartel general' de Canillas, a la espera de pasar a disposición judicial en el día de mañana. El cuarto implicado está detenido en Andorra y se iniciará el proceso para su extradición.

La información sustraída se conseguía mediante ciberataques e intrusiones informáticas reiteradas que se planificaban contra sistemas de organismos públicos y privados y que han sido ejecutadas de forma sostenida durante años.

La presunta organización criminal habría desarrollado una infraestructura tecnológica sofisticada y altamente compartimentada, diseñada para maximizar la extracción, almacenamiento, procesamiento y explotación de los datos que obtenían de forma ilícita, minimizando su exposición jurídica y operativa, informan las citadas fuentes.

A partir de esa acumulación progresiva de datos, añaden, la organización elaboraba perfiles detallados de personas e instituciones con el objetivo de maximizar su capacidad de control, explotación estratégica y comercialización de información sensible.

La investigación se inició a raíz de la denuncia de una institución pública que sufrió un acceso ilícito a sus servicios informáticos, lo que originó la exfiltración masiva de datos personales de titulares de líneas de teléfono móvil. La causa ha contado con la cooperación de las autoridades andorranas y suizas. Fuentes policiales confirman que se trata de un ataque al punto neutro al Consejo General del Poder Judicial, a través del cual se accedió a datos del Ministerio de Hacienda o a otros datos reservados de los Cuerpos y Fuerzas de Seguridad del Estado. Este ciberataque realizado por Alcasec se encuentra judicializado y la Fiscalía le pide tres años de cárcel. Lo que se investiga en esta nueva pieza es la venta de los datos que de ahí se sustrajeron.

La policía investiga a Martínez en dos líneas. Por una parte, los agentes investigan que el pirata informático hubiera suministrado a Martínez información obtenida a través de sus ciberataques en su etapa posterior al Ministerio del Interior, informan a elDiario.es fuentes policiales. Los agentes han registrado el domicilio de Martínez en Madrid. De otro lado, los investigadores indagan en los trabajos de Martínez como abogado, después de su etapa en Interior, y que habría realizado para José Luis Huertas, conocido como 'Alcasec', fuera de la legalidad.

Fuentes próximas a Martínez aseguran que Martínez fue abogado de Alcasec cuando el 'hacker' era menor de edad. Con posterioridad, le prestó su servicios profesionales para constituir dos sociedades. La Policía, según fuentes del entorno de Martínez, investiga si Alcasec usó esas sociedades para blanquear un dinero procedente del delito. El entorno del ex secretario de Estado de seguridad defiende que Martínez ni administró esas sociedades, ni las gestionó, ni llevó su contabilidad. En este sentido afirman que el abogado cobró 1.500 euros por ese servicio y que es la única factura que la Policía maneja en contra del ex número dos de Interior.

La guerra cibernética entre Rusia y Ucrania comenzó mucho antes de que las tropas del Kremlin pusieran sus botas sobre el terreno en febrero de 2022. Sin embargo, con el inicio de las hostilidades del mundo físico salieron a la luz nuevos cibercomandos cuyo objetivo iba más allá de las operaciones militares. “Aparecimos en la esfera pública al comienzo de la Operación Militar Especial de Rusia. Fue entonces cuando unimos fuerzas y decidimos salir de las sombras. No nos interesaba la fama, nos motivaba el deseo de hacer justicia y defender el honor de nuestra Patria, Rusia, en el espacio de la información, que es lo que seguimos haciendo hasta el día de hoy”, dicen desde NoName057(16).

NoName057(16) es el grupo de este tipo más activo contra objetivos españoles. El sector de la ciberseguridad les denomina hacktivistas (hackers activistas) y ellos aseguran que son voluntarios, aunque este es uno de los muchos puntos controvertidos acerca de estos comandos. Realizan ataques de perfil bajo, especialmente de denegación de servicio, que pueden bloquear webs y tumbar servicios digitales. Aunque de impacto limitado, las ofensivas de NoName057(16) traen de cabeza a las fuerzas de seguridad, ya que en estos dos años han logrado derribar páginas oficiales de ministerios, ayuntamientos, diputaciones o medios de comunicación.

La última ha sido este mismo marzo, en venganza por el compromiso español de apoyar la defensa de Ucrania cuando concluya el proceso de paz. El propio Pedro Sánchez lo reconoció la pasada semana en una visita oficial a Finlandia. “Estamos hablando con Finlandia también de ciberseguridad. Tuvimos la semana pasada un ciberataque que llegaba de Rusia”, reflejó ante su homólogo nórdico. “Nuestra amenaza no es una Rusia que lleve sus tropas por los Pirineos a la península, es una amenaza más híbrida, con ciberataques. Por tanto, lo que tenemos que hacer es no hablar solo de gasto en defensa, sino en seguridad”, insistió a su regreso, encajando la ciberseguridad en el debate sobre aumentar el gasto militar.

A pesar de la creciente preocupación oficial, no existen cifras claras sobre el impacto real de estos ataques en términos económicos o de seguridad nacional. Las autoridades no han publicado estimaciones sobre los costes derivados de las interrupciones de servicios digitales ni sobre los recursos destinados a contrarrestarlos, mientras que la actual Estrategia de Seguridad Nacional, de 2021, hace referencia a las acciones de guerra híbrida pero no a los hacktivistas ni a las consecuencias para la ciberseguridad de la invasión rusa de Ucrania.

La que se lleva a cabo contra estos grupos es una guerra de engaños y juegos de sombras en la que se emplean avanzadas herramientas para anonimizar el rastro digital de los atacantes, que los defensores intentan deshacer. Se lleva a cabo entre especialistas que, en raras ocasiones, se dan cita entre las trincheras para departir. Es lo que ha ocurrido cuando dos de estos grupos de hacktivistas han accedido a entrevistarse con un experto en ciberseguridad español, Rafael López, que ha compartido las trascripciones con elDiario.es.

Un fragmento de la conversación del portavoz de NoName057(16) con el experto en ciberseguridad español Rafael López.

“Que nos llamen como quieran, lo importante es que nos respeten y nos teman. Pero, en serio, nosotros nos consideramos ante todo un virus, el virus de la justicia, por muy patético que suene. Con nuestras acciones, mostramos la verdadera actitud del gobierno europeo hacia sus ciudadanos”, afirman desde NoName057(16) en su conversación con el experto.

Guerra de propaganda

Ambas partes ganan con la conversación. El comando pro-Putin, una forma de impulsar su propaganda sobre Ucrania y sobre las supuestas consecuencias que tiene interponerse en los deseos geoestratégicos del Kremlin. “Es muy simple: el objetivo principal es detener la financiación del neonazismo ucraniano. Cada euro o dólar que no se gaste en la guerra puede salvar muchas vidas”, transmite NoName057(16).

Los defensores, por su parte, les ofrecen una nueva plataforma para que los atacantes digan demasiado o cometan un error que permita capturarlos. El pasado verano la Guardia Civil detuvo a tres personas en Manacor, Huelva y Sevilla por, presuntamente, colaborar con las ofensivas del grupo. “La particularidad de los ciberataques llevados a cabo por NoName057(16) es que son realizados mediante un software desarrollado por el propio grupo, bautizado como 'DDoSia', que es utilizado de forma voluntaria por individuos que apoyan los fines de esta organización hacktivista”, detalló entonces la Guardia Civil.

“Por supuesto, podemos entrar en casi cualquier lugar si queremos. Le damos un papel importante al trabajo analítico: seleccionamos cuidadosamente los objetivos de los ataques y los escenarios de impacto en el enemigo para causar el máximo daño”, presumen los miembros del grupo en su entrevista con López.

“En cuanto a los líderes de Europa... Bueno, es un grupo de personas perdidas que no entienden con quién o con qué están tratando. Si creen que están seguros, tenemos que decepcionarlos: no, no es así. Estamos en todas partes. Cualquiera que se oponga a los rusos está firmando un billete de ida sin regreso. No nos importa quién decidió jugar con fuego; siempre defenderemos a los nuestros y destruiremos todo lo que se interponga en nuestro camino. ¿Quieres probar suerte? Bueno, buena suerte. La necesitarás”, continúan.

Ellos siempre intentan mantener un perfil muy alto, enseñando las plumas como un pavo real para atraer cuantos más adeptos, mejor

Rafael López — experto en ciberseguridad

Este tipo de declaraciones no pillan por sorpresa a sus adversarios. “Tienen un ego enorme y con cada ataque satisfactorio se van retroalimentando, algo muy común entre los activistas”, dice López sobre sus interlocutores. “Tienen un montón de afiliados y mucha gente que les está diciendo constantemente que son buenísimos. Están atacando a la OTAN y la OTAN les teme, están saliendo en prensa, te nombran las fuentes de inteligencia. Ellos saben que hay grupos de trabajo creados con la misión de intentar cazarlos”.

Fue el propio grupo el que empezó a seguir al experto en redes sociales a raíz de que este explicara sus actividades en los medios, lo cual este aprovechó para iniciar la comunicación. “Ellos siempre intentan mantener un perfil muy alto, enseñando las plumas como un pavo real para atraer a cuantos más adeptos. Ellos basan su fuerza en sus conocimientos, pero también en tener muchos voluntarios que les ayudan, incluso dentro de los países donde actúan”.

A la caza de voluntarios

Los ataques de denegación de servicio como los que practica NoName057(16) se basan en sobrecargar un sistema, como un servidor o una red, con un exceso de tráfico o solicitudes de datos falsas, haciendo que deje de funcionar correctamente o se cuelgue. Los atacantes avanzados usan múltiples dispositivos para lanzar el ataque simultáneamente, dificultando su detección y defensa. Para eso, los activistas necesitan voluntarios que sumen sus dispositivos a la ofensiva, como presuntamente hacían los tres detenidos en julio en España.

“Los grupos de cibercrimen de corte activista, y más aún los de corte prorruso, buscan sobre todo publicidad, nombre, reputación. De ahí el discurso de que ellos son los mejores, que van en serio, que no tienen ningún tipo de freno y que pueden hacer lo que les dé la gana”, contextualiza Ainoa Guillén, especialista en Inteligencia de amenazas cibernéticas. “¿Qué quieren conseguir? Pues básicamente reclutar nuevos perfiles, porque ellos siempre están intentando reclutar gente que se sume a sus filas”.

En nuestra lucha contra Occidente, cada persona que se pone de nuestro lado en las barricadas es importante para nosotros

NoName057(16)

Durante su entrevista con López, el grupo pro-Putin no deja pasar la oportunidad de presumir del éxito de sus campañas de reclutamiento. “Vemos que en Europa hay muchas personas valientes y reflexivas que se unen a nosotros, y esto nos motiva aún más y nos da esperanza en la restauración de un mundo justo. En nuestra lucha contra Occidente, cada persona que se pone de nuestro lado en las barricadas es importante para nosotros”, afirman.

“En cuanto al número de nuestras ciberfuerzas, responderemos con una cita favorita del poeta clásico ruso Alexander Blok: Millones están con vosotros. Nosotros tenemos oscuridad, y oscuridad, y oscuridad. ¡Intentad luchar contra nosotros!”, contestan al ser preguntados al respecto por el especialista español.

Financiación externa

“Cada uno de nosotros tiene su propio capital y queremos gastar parte de estos fondos en algo real y contribuir a la historia. Muchos de nosotros trabajamos en empleos bastante ordinarios. Te puedes encontrar de todo en nuestras filas, desde un profesor hasta un trabajador de carga. Porque para nosotros, todos son importantes”, aseguran desde NoName057(16) sobre sus integrantes y su financiación. Los expertos lo ponen en duda: “Dependen del GRU, que es el servicio de inteligencia ruso”, recuerda López.

Otra de las razones que impiden a los especialistas confiar en la imagen activista que ellos proclaman es que grupos como NoName07(16) retribuyen a los voluntarios con criptomonedas cuando participan en sus acciones. “No es creíble”, coincide Guillén. “Si no reciben fondos directamente del Estado ruso, pueden financiarse con actividades de cibercrimen. O incluso algo legal... Lo que está claro es que no puede salir de su bolsillo. Echa cuentas: si retribuyen con 50 o 100 dólares a los voluntarios, participan decenas en cada acción y lanzan operaciones casi todos los días...”.

No es creíble que no tengan financiación externa. Si no reciben fondos directamente del Estado ruso, pueden financiarse con actividades de cibercrimen

Ainoa Guillén — especialista en Inteligencia de amenazas

También está el dominio de las herramientas de anonimización de la que hacen gala sus miembros, lo que no concuerda con integrantes con empleos “ordinarios”. “Ellos se especializan en una rama llamada Opsec, que es la seguridad operativa. Es el que se basa en ocultar su rastro y mantener el anonimato. Hay grupos que incluso fundaron academias propias donde enseñaban sus técnicas y, como docente, he de decir que tenían programas incluso mejores que los nuestros”, refleja la especialista.

Pese a todo, la del activismo es una de las narrativas clave de estos grupos. También de Z-Pentest, otro de los más activos en España en los últimos tiempos, que también han sido recientemente entrevistados por López: “Cada vez que escuchamos algo sobre que estamos patrocinados por algún gobierno, nos reímos tanto que nos sale el café por la nariz. ¡No dependemos del presupuesto de ningún país!”.

Ciberataques contra infraestructuras críticas

Z-Pentest reivindicó los ataques de principios de marzo contra la Casa Real, La Moncloa, el Departamento de Seguridad Nacional, la propia Policía Nacional y varios ministerios. Se cree que el grupo es de origen serbio, pero también es un arma más de la diplomacia ciber del Kremlin. “Siempre estamos del lado de Rusia, no hace falta adivinarlo”, dicen en su entrevista con López: “Cualquiera que se oponga a los rusos está firmando un billete de ida sin regreso”.

Z-Pentest ha hecho ataques de denegación de servicio como los de NoName057(16), pero también ha mostrado capacidades de tener un impacto mucho mayor. En colaboración con otros grupos, Z-Pentest accedió a sistemas que gestionan bombas de petróleo y tanques de almacenamiento en Texas, demostrando su capacidad para manipular funciones críticas en infraestructuras industriales.

Un fragmento de la conversación del portavoz de Z-Pentest con el experto en ciberseguridad español Rafael López.

Durante su conversación con el experto español, su portavoz presume de poder hackear incluso sistemas de la industria militar. “Sí, por supuesto que los hay”, contestan cuando López pregunta si ya han comprometido plataformas de armas: “Pero no lo anunciamos a los cuatro vientos, a diferencia de aquellos que declaran abiertamente su seguridad y luego se preguntan por qué todo de repente salió mal. Guardamos silencio porque el silencio es nuestra mejor arma. Entramos por cualquier hueco, ya sea una vulnerabilidad en el sistema, un eslabón débil en la seguridad o simplemente una contraseña estúpida. Mientras alguien cree que todo está bajo control, nosotros ya estamos dentro, estudiando, analizando, esperando”.

“El mejor momento para atacar es cuando la víctima está convencida de que nadie la tocará. Y cuando ese momento llega… Bueno, el espectáculo comienza”, añaden.

No buscamos dañar a los civiles. Pero si la situación requiere decisiones difíciles, haremos lo que sea necesario

Z-Pentest

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EEUU reflejó en un informe de 2024 cómo los hacktivistas prorrusos habían fijado su punto de mira en los sistemas de tecnología operativa a pequeña escala tanto en Norteamérica como en Europa, “especialmente en los sectores de agua y aguas residuales, presas, energía y alimentos y agricultura”. “Tratan de poner en peligro los sistemas de control industrial modulares y expuestos a Internet a través de sus componentes de software, como las interfaces hombre-máquina, aprovechando el software de acceso remoto y las contraseñas predeterminadas”, alertó la Agencia.

Z-Pentest es además uno de los grupos que ha subido el tono del discurso sobre las consecuencias para la población civil de sus ataques. “No buscamos dañar a los civiles. Pero si la situación requiere decisiones difíciles, haremos lo que sea necesario. Y nos da igual quién se queje ante la ONU, publique mensajes indignados o grabe apelaciones emocionales después. No nos preocupamos por las consecuencias. Las consecuencias deberían temernos a nosotros”, dicen en su entrevista con López.

“Son grupos peligrosos”, confirma el experto. “Son grupos que están muy radicalizados, que hay que tenerlos muy en cuenta en el panorama actual de ciberguerra que existe porque su radicalización, la especialización y la profesionalización que tienen a la hora de atacar y de reclutar los hacen un enemigo muy importante”, concluye.

El Ayuntamiento de Irún (Gipuzkoa) ha informado de que este miércoles se ha detectado un ataque cibernético generalizado dirigido, entre otras administraciones y entidades, a la web municipal, que ha quedado paralizada durante varias horas. La Cyberzaintza confirma que ha habido un ciberataque y que ya se ha puesto en contacto con los técnicos.

Según han explicado desde el Consistorio irundarra, tan pronto como ha sido detectado este ataque, desde el Servicio Municipal de Informática se ha trabajado para resolver la situación, logrando finalmente restituir la web municipal por la tarde tras varias horas sin funcionamiento normal. En cualquier caso, en torno a las 18:00 horas, la página web seguía dando problemas.

No obstante, a la vista de que las dificultades técnicas sufridas durante varias horas ha podido afectar a la tramitación a través de la sede electrónica municipal, el Ayuntamiento ha aprobado la ampliación de los plazos administrativos cuya fecha de vencimiento coincida con la jornada de hoy hasta las 23:59 horas del jueves, según recoge Europa Press.

La Diputación de Gipuzkoa y tanto el Ayuntamiento de Donostia como el de Hondarribia también han reportado problemas a lo largo del miércoles, pero las tres páginas web han vuelto ya a funcionar con normalidad. La Diputación confirma el ciberataque a varias Administraciones públicas del Estado, pero asegura que se ha neutralizado, “como pasa a diario”. “La web se ha caído algo menos de cinco minutos. Los sistemas de control han funcionado y se ha restablecido la normalidad”, explican.

El Corte Inglés ha informado a sus clientes de que un proveedor externo ha sufrido un acceso no autorizado a datos personales de clientes del comercio “si bien la información vulnerada no permite a terceros operar ni realizar pagos con su tarjeta”, según explica la compañía.

La empresa de grandes almacenes recalca que la información a la que se ha accedido de forma no autorizada consiste en “datos identificativos y de contacto, así como números de tarjetas para compras sólo en El Corte Inglés”. “En cualquier caso, dicha información no permite a terceros operar ni realizar pagos con su tarjeta de El Corte Inglés”, aclara el comunicado.

El Corte Inglés señala que “el incidente se identificó y se subsanó de forma inmediata a través de sus protocolos de detección y seguridad y se le ha requerido a dicho proveedor la aplicación de medidas adicionales que prevengan este tipo de incidentes a futuro”. Además, los hechos han sido puestos en conocimiento de “las autoridades competentes”.

Según la empresa de distribución, “los clientes podrán seguir utilizando su tarjeta con total seguridad en tiendas, en web y en la aplicación”.

Asimismo, como repiten bancos y otras compañías El Corte Inglés insiste en que “nunca contactará con los clientes por ningún medio electrónico ni telefónico para solicitar contraseñas, códigos de seguridad o información de carácter personal”.

 Bybit.com, un portal de Internet de compraventa de criptomonedas, está pidiendo ayuda a las “mentes más brillantes” en temas de ciberseguridad para recuperar los 1.500 millones de dólares (unos 1.200 millones de euros) que unos hackers le robaron la semana pasada en el que se considera el mayor atraco digital de la historia.

Bybit comunicó que un atacante se hizo con el control de una cartera en ethereum (una de las monedas digitales más populares, después del bitcoin) y transfirió sus contenidos a una dirección desconocida.

Con sede en Dubai, Bybit trató de tranquilizar a los clientes asegurando que sus tenencias de criptodivisas estaban a salvo. El director ejecutivo y cofundador de la empresa, Ben Zhou, explicó en redes sociales que la empresa reembolsaría a todos los afectados, incluso si no se recuperaban las criptomonedas robadas. “Bybit es solvente incluso si no se recupera lo perdido por el hackeo, todos los activos de los clientes están respaldados 1 a 1, podemos cubrir la pérdida”, publicó en la red social X.

Según Zhou, la empresa tiene 20.000 millones de dólares en activos de clientes [unos 19.000 millones de euros] y puede cubrir cualquier cantidad no recuperada con fondos propios o acudiendo a préstamos de socios. Con más de 60 millones de usuarios en todo el planeta Bybit es la segunda Bolsa de criptomonedas del mundo por volumen de operaciones.

La noticia del robo provocó un aumento en las solicitudes de retirada de fondos. Zhou escribió que habían recibido más de 350.000 solicitudes de clientes para retirar los fondos, una cantidad que podría generar retrasos en su tramitación.

Según Bybit, el hackeo se produjo cuando la empresa hacía una transferencia rutinaria de ethereums desde una cartera “fría” (en una máquina desconectada de Internet) hacia una cartera “caliente” (en una máquina conectada a Internet) para cubrir las operaciones del día. Un atacante vulneró los controles de seguridad y transfirió los activos en ese momento. Según Zhou, el resto de carteras alojadas en el portal no se han visto afectadas.

Tras conocerse la noticia del pirateo el viernes, el precio del ethereum cayó en casi un 4%, pero desde entonces se ha recuperado prácticamente por completo.

Para tratar de recuperar los fondos hackeados, la empresa ha hecho un llamamiento a “las mentes más brillantes en ciberseguridad y en análisis de criptomonedas”. Como recompensa está ofreciendo el 10% de lo que logren recuperar. Eso podría significar hasta 140 millones de dólares en recompensa [unos 134 millones de euros], si se recupera todo lo pirateado.

“Bybit está decidida a superar el contratiempo y a transformar de manera radical nuestra infraestructura de seguridad, a mejorar su liquidez y a ser un socio fiable para nuestros amigos en la comunidad de criptomonedas”, dijo Zhou en un comunicado.

El hackeo supone un revés para un sector de las criptomonedas que en los últimos meses había repuntado debido al regreso de Donald Trump a la Casa Blanca con la promesa de desregularlo para convertir a Estados Unidos en la “capital mundial de las criptomonedas”.

Se desconoce la identidad del hacker pero algunos informes sugieren la posibilidad de que sean piratas informáticos del gobierno de Corea del Norte. De ahí es el Grupo Lazarus, al que se le atribuyen atracos espectaculares como el robo de 615 millones de dólares [unos 587 millones de euros], en el año 2022, al proyecto de blockchain Ronin Group.

Una investigación conjunta de la Guardia Civil, la Policía Nacional y el CNI ha permitido detener en Calpe (Alicante) a un “peligroso” hacker, español de 18 años, por acceder a servicios informáticos de entidades públicas y privadas, entre las que se encuentra la Guardia Civil, el Ministerio de Defensa o la OTAN.

Según ha informado el Ministerio del Interior, al detenido se le acusa por su presunta participación en los delitos de descubrimiento y revelación de secretos, acceso ilícito a sistemas informáticos, daños informáticos y blanqueo de capitales.

Fuentes policiales consultadas por Europa Press han detallado que el detenido es un joven español de 18 años que accedió a las bases de datos de los organismos públicos y privados para, posteriormente, en algunos casos tratar de vender la información a través de la 'darkweb', aunque su motivación principal era lanzar los ciberataques como un “desafío personal”.

Autodidacta que actuó en solitario

Detrás de los 40 ciberataques usando diferentes pseudónimos se encuentra un joven que estudió un módulo de Formación Profesional (FP) que los investigadores encuadran en un perfil de “friki autodidacta que actuaba en solitario, sin ser manipulado por nadie”, según explican las fuentes de la investigación.

Entre los objetivos del hacker, que acaba de estrenar la mayoría de edad, también figuran la Fábrica Nacional de Moneda y Timbre, el Ministerio de Educación, Formación Profesional y Deportes, la Generalitat Valenciana, diferentes universidades españolas, bases de datos de la OTAN y del Ejército de Estados Unidos, así como otras empresas y entidades internacionales.

El joven hacker fue detenido el pasado 28 de enero y ha quedado en libertad con medidas cautelares de retirada de pasaporte, obligación de comparecencia judicial cada 15 días y prohibición de salir de España.

Actuaba desde el domicilio familiar en Calpe, donde los agentes practicaron un registro, mostrando una “actitud de colaboración y sin mostrar animadversión ni a los policías ni a ninguna de las administraciones atacadas”.

Agentes de la UCO y el CNI, tras la pista del hacker

Durante el registro, los agentes han intervenido 50 cuentas de criptomonedas con un valor de 2.000 euros y diverso material informático, el cual está siendo analizado por los especialistas, que no descartan el esclarecimiento de otros hechos delictivos.

En la investigación se ha constatado que el detenido accedía a un bot de la red social Telegram para, previo pago de 500 dólares, acceder a credenciales de organismos previamente comprometidas. “Una vez dentro, tenía una gran capacidad para moverse por el sistema”, apuntan las fuentes de la investigación, que también señalan que su inexperiencia le llevó a “malvender” los datos que obtenía, lo que también generó sospechas desde el lado de los potenciales compradores.

La operación ha sido realizada de manera conjunta por agentes de la Unidad Central Operativa (UCO) de la Guardia Civil y de la Comisaría General de Información (CGI) y de la Unidad de Ciberdelincuencia de la Policía Nacional, contando con la colaboración del Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI).

En el ámbito internacional se ha contado con la colaboración de Europol y Homeland Security Investigations (HSI) de Estados Unidos, en una investigación que desembocó con el arresto del sospechoso y puesta a disposición del Juzgado de instrucción de guardia de Denia.

Dejaba su 'firma' tras el ataque

La investigación se inicia en 2024 a raíz de una primera denuncia recibida por la Policía Nacional de una asociación empresarial madrileña relacionada con el sector del turismo que fue víctima de uno de estos hackeos que, aunque desde el anonimato, se caracterizó no sólo por extraer los datos sino también porque el autor dejó el portal desfigurado, mostrando un mensaje en el que se podía leer que habían hackeado el sistema.

Tras estos hechos y a lo largo del año 2024, esta persona fue realizando numerosos ciberataques, entre los que destaca el ataque a la Fábrica Nacional de Moneda y Timbre que motivó que se sumara el Servicio de Información de la Policía a la investigación, así como otros al Servicio Público de Empleo Estatal, el Ministerio de Educación, Formación Profesional y Deportes.

También atacó a diferentes universidades españolas, así como a bases de datos de la OTAN, el Ejército de los Estados Unidos, la Dirección General de Tráfico, la Generalitat Valenciana, Naciones Unidas, la Organización Internacional de Aviación Civil, al Ministerio de Defensa y su último ataque reivindicado, a la Guardia Civil.

Este último ataque a la Guardia Civil, ejecutado a finales de diciembre de 2024, propició que la Unidad Central Operativa (UCO) de la Guardia Civil se sume a la investigación y se identifique al autor, llevándose a cabo la explotación operativa de forma conjunta por ambos cuerpos policiales.

Los investigadores creen que el detenido, “con profundos conocimientos de informática”, había conseguido configurar un complejo entramado tecnológico mediante el uso de aplicaciones anónimas de mensajería y de navegación mediante las cuales habría conseguido ocultar su rastro y dificultar así su identificación.

De esta forma, se ha constatado que accedió a bases de datos con información personal de empleados y clientes, así como documentos internos que posteriormente eran vendidos o publicados libremente en foros.

Piratas informáticos de China han logrado penetrar en los sistemas informáticos de decenas de empresas de telecomunicaciones de todo el mundo, una brecha de seguridad que los especialistas en ciberataques de Microsoft han bautizado como Salt Typhoon. Los ciberdelincuentes han conseguido un acceso sin precedentes. Además de ver quién enviaba mensajes de texto a quién, o quién hacía llamadas de teléfono a quién, y cuándo, lograron algo mucho más difícil de lograr en cualquier ciberataque: acceder al contenido de algunos mensajes.

El ciberataque afectó a tres de las principales empresas de telecomunicaciones de Estados Unidos. Interceptaron comunicaciones de autoridades del Gobierno, en Washington DC, y pudieron acceder a registros de navegación por Internet en poder de esas mismas empresas de telecomunicaciones. Los piratas informáticos intentaron, y es posible que lo hayan conseguido, piratear el teléfono de Donald Trump y de JD Vance, así como los del personal de campaña de Kamala Harris.

Incluso el programa de escuchas telefónicas de Estados Unidos ha sido violado, donde accedieron a registros de llamadas almacenadas. “El peor pirateo de las telecomunicaciones en la historia de nuestro país”, dijo un senador de Estados Unidos. En la misma semana, la gigante británica de telecomunicaciones BT comunicó que había esquivado “un intento de comprometer” su servicio de conferencias.

En ocasiones bajo el nombre de FamousSparrow, el grupo de piratas lleva activo desde el año 2020. Según la empresa de ciberseguridad Eset, ha atacado a organizaciones gubernamentales de Israel, Arabia Saudí, Brasil, Canadá, Guatemala y Burkina Faso. Los hoteles son su otro objetivo favorito y contra ellos ha lanzado ataques incluso más agresivos que contra los gobiernos. El grupo ha acosado los sistemas informáticos de hoteles en todos los países mencionados, robando sus datos. También en hoteles del Reino Unido, Francia, Lituania y Taiwán.

Según los servicios de espionaje de Estados Unidos, la brecha Salt Typhoon lleva abierta entre uno y dos años. Investigadores independientes de ciberseguridad y analistas estadounidenses atribuyen el ciberataque al gobierno de China en Pekín, que niega estar involucrado.

Los asesores de seguridad nacional de Estados Unidos están pidiendo a sus empleados que no usen aplicaciones de SMS tradicionales, y que hagan todas sus comunicaciones por aplicaciones de mensajería cifrada como Signal, WhatsApp y FaceTime. Es un buen consejo. Las agencias de seguridad de Australia, Nueva Zelanda y Canadá han emitido advertencias similares.

¿Es este pirateo parte de una respuesta más elaborada y coordinada en la escalada entre China y Estados Unidos por la guerra comercial de los chips? Este lunes, Pekín abrió una investigación contra Nvidia por monopolio. La semana pasada, las autoridades chinas prohibieron la exportación a Estados Unidos de minerales esenciales en la fabricación de semiconductores, como el galio y el germanio. Y a principios de año, Estados Unidos prohibió la venta a China de los chips más avanzados.

Con su poder regulador sobre Nvidia, TSMC y otras fabricantes de semiconductores, Washington busca mantener una ventaja geopolítica con la inteligencia artificial (no es posible crear buenos modelos de inteligencia artificial sin chips potentes). China está en desventaja porque no es capaz de copiar a Nvidia ni de destronarla, ¿significa eso que el pirateo fue una respuesta de China? Es posible, pero piratear redes de telecomunicaciones no parece tan relacionado con la industria de los semiconductores como para hacer llegar el mensaje: 'Dadnos vuestros chips o si no...'.

Si Pekín hubiera pirateado el teléfono de Jensen Huang [el CEO de Nvidia], eso sí habría sido un paso y un salto a más represalias en la guerra comercial. Para mí, lo de Salt Typhoon solo es espionaje a la antigua usanza.

El veto a TikTok privaría de derechos a los estadounidenses, pero se mantiene

Un tribunal de apelaciones de Estados Unidos confirmó el viernes que se mantiene el proyecto de ley para vetar a TikTok en EEUU o forzar a su venta. La empresa de redes sociales ha dicho que presentará un recurso ante el Tribunal Supremo.

Este es el informe de mi colega Dara Kerr, que esta semana empezó a trabajar para The Guardian:

Un tribunal federal de apelaciones dictaminó el viernes que se mantiene la ley que obliga a la inmensamente popular empresa de redes sociales a vender sus activos a una compañía no china para evitar su prohibición total en el país. La decisión es el último giro en una batalla que lleva años librándose entre el gobierno de EEUU y ByteDance, la dueña de TikTok con sede en China. El plazo para vender la aplicación TikTok vence el 19 de enero. Si no cumple, ByteDance tendrá que enfrentar su prohibición en el país.

“Los millones de usuarios de TikTok tendrán que encontrar medios alternativos de comunicación”, dijo el juez Douglas Ginsburg. “Esa molestia es atribuible a la amenaza comercial híbrida [de China] a la seguridad nacional de Estados Unidos, no al gobierno de Estados Unidos, que durante varios años buscó junto a TikTok una forma de encontrar una solución alternativa”.

TikTok presentó el lunes un recurso de urgencia contra la prohibición y un comunicado expresando su confianza en un fallo del Tribunal Supremo de EEUU que “proteja la libertad de expresión”. También dijo que la ley se basaba en “información hipotética”, algo que es cierto: EEUU no ha demostrado que en TikTok haya contenidos manipulados por China. La brecha de Salt Typhoon demuestra que China es capaz de ir más allá de lo hipotético para aventurarse en actos mayúsculos de injerencia global.

La falta de pruebas con que se argumenta la prohibición/venta forzosa no es ningún secreto. Tampoco para el tribunal. “El gobierno reconoce que carece de información específica que demuestre que China ha coaccionado en el pasado, o está coaccionando ahora, a TikTok para que manipule sus contenidos en Estados Unidos. De hecho, la argumentación del gobierno se refiere al riesgo de que China manipule contenidos en la plataforma de manera encubierta”, dice el texto de la sentencia.

“La base de la ley no es que haya habido manipulación, sino el riesgo de que se produzca, la posibilidad de que se produzca”, explica la sentencia, que también se refiere a que la empresa “nunca ha negado de manera rotunda que haya manipulado contenidos en la plataforma TikTok por orden de China”.

El juez Sri Srinivasan, miembro del panel de tres jueces que dictó la sentencia, reconoció la posible merma en los derechos de expresión de los usuarios estadounidenses si la empresa no vendía TikTok y la red social tenía que cerrar en EEUU. “Muchos estadounidenses pueden perder el acceso a un medio de expresión, un lugar donde formar comunidades, y hasta una forma de generar ingresos”, escribió.

TikTok es utilizada por unos 170 millones de estadounidenses que podrían verse privados de un medio de expresión y de acceso a la información. Pero el juez Srinivasan escribió también que, en última instancia, el proyecto de ley no atentaba contra la Primera Enmienda [referida a la libertad de expresión], especificamente por la cláusula que incorpora la posibilidad de vender la red social.

“Impedir que una nación rival manipule los contenidos de manera encubierta también es atender a un interés apremiante del gobierno. Los demandantes [TikTok] objetan por dos razones, ninguna de ellas convence”, escribió Srinivasan.

¿Cuánto dinero invirtieron las tecnológicas en las presidenciales de EEUU?

Dicho de otro modo: ¿cuánto poder de influencia trataron de comprar las empresas tecnológicas? A continuación, el informe de mis colegas Lauren Aratani y Raphael Hernandes:

Silicon Valley aportó más de 230 millones de dólares [unos 219 millones de euros] a las elecciones presidenciales estadounidenses de 2024, según un análisis del periódico The Guardian. La mayor parte viene de la donación gigantesca que Elon Musk hizo a la campaña de Donald Trump: 118 millones de dólares [unos 113 millones de euros].

En estas elecciones, los defensores de las criptomonedas se han mostrado especialmente activos en su pelea anti regulación, metiendo dinero en la elección presidencial y también en las principales elecciones al Congreso.

Las empresas tecnológicas más importantes donaron 133 millones a Trump:

- 118 millones de dólares [unos 113 millones de euros] donados por Elon Musk, dueño Tesla, de SpaceX y de X (antes Twitter). Su patrimonio neto se estima en 350.000 millones de dólares [unos 334.000 millones de euros].

- 5 millones de dólares [unos 4,8 millones de euros] de Marc Andreessen, el fundador multimillonario del fondo de capital riesgo Andreessen Horowitz (también conocido como a16z). Ben Horowitz, cofundador de a16z, apoyó primero a Trump pero luego se pasó a Harris.

- 5 millones de dólares [unos 4,8 millones de euros] de Jan Koum, el fundador de WhatsApp que hizo casi toda su fortuna en 2014, cuando vendió la aplicación a Facebook por 19.000 millones de dólares [unos 18.100 millones de euros].

Harris recibió 71 millones de dólares:

- 39 millones de dólares [unos 37,2 millones de euros] del cofundador de Facebook Dustin Moskovitz, que en 2008 abandonó la red social y creó la empresa de software para trabajo en equipo Asana.

- 17 millones de dólares [unos 16,2 millones de euros] de Reid Hoffman, cofundador de LinkedIn.

- 11 millones de dólares [unos 10,5 millones de euros] de Chris Larsen, el presidente multimillonario de la empresa de criptomonedas Ripple.

Trump ya está siendo una bendición para las criptomonedas, con el bitcoin alcanzando los 100.000 dólares [unos 95.400 euros]. Para el nuevo cargo de máximo responsable en inteligencia artificial y criptomonedas de la Casa Blanca, el presidente electo ha elegido a David Sacks, ex ejecutivo de PayPal, confidente de Musk y el principal defensor de Trump en Silicon Valley.

Paul Atkins, ávido defensor de las criptomonedas y ex miembro de la SEC, será su hombre en la presidencia del organismo regulador de los mercados financieros de EEUU. No hay que esforzarse mucho para imaginar un menor escrutinio gubernamental que durante el mandato de su predecesor, Gary Gensler, crítico de las criptomonedas.

Las donaciones de campaña de la industria de las criptomonedas parecen estar generando ya importantes ganancias en el sector, tanto para los que enviaron su dinero al presidente electo como para los que no.

El supuesto robo de datos a la Agencia Tributaria por parte del grupo de hackers Trinity, que han realizado ataques de tipo ransomware, ha devenido en un bulo más de los que corren por redes sociales y son recogidos por algunos medios de comunicación sin contrastar. Fuentes de la Agencia Tributaria (AEAT) señalan que “el incidente reportado no afecta a esta organización, sino que de acuerdo con la información de la que dispone la Agencia parece haber afectado a una entidad privada del ámbito de la asesoría fiscal y laboral”.

La Agencia Tributaria señala que “sus sistemas no han sido vulnerados y que los datos de los contribuyentes bajo su custodia no se han visto comprometidos en ningún momento”.

A pesar de la contundencia del desmentido de la AEAT, las redes sociales se llenaron de mensajes señalando que la Agencia Tributaria había sufrido un ataque por parte de este grupo, que ha sido el culpable del robo de datos a empresas de sanidad privada en Estados Unidos.

Sin embargo, la Agencia Tributaria negó desde el primero momento que los sistemas de protección de su infraestructura digital hubieran sido traspasados por estos ciberdelincuentes. “Desde la publicación el pasado domingo 1 de diciembre de la noticia sobre una presunta filtración de datos atribuida al grupo Trinity, conocido por sus ataques de tipo ransomware, la Agencia Tributaria ha trabajado intensamente para verificar si sus sistemas podían haber sido comprometidos. Tras un análisis exhaustivo, se confirma que no existe evidencia alguna de que sus sistemas o los datos bajo su custodia hayan sido afectados”, señalaba la Agencia en un comunicado.

“El grupo Trinity, que reivindicó la acción, no ha contactado en ningún momento con la Agencia Tributaria para solicitar rescate ni para demostrar la supuesta posesión de datos de los contribuyentes. Durante la investigación, se tuvo acceso a información sobre el posible contenido que este grupo podría haber obtenido, comprobándose que no correspondía a datos custodiados por la Agencia Tributaria”, señala el organismo público.

Fuentes del sector confirman que se trataría de una pequeña gestoría ubicada en Málaga. Además, señalan que los supuestos 38 millones que los ciberdelincuentes de Trinity habían informado como supuesto cobro son parte del bulo.

Un incidente de seguridad detectado el pasado 9 de julio en las páginas web de los hospitales Clínico San Cecilio y Virgen de las Nieves, en la capital granadina, así como en las del Área de Gestión Sanitaria Sur de la provincia y del Distrito Granada-Metropolitano ha afectado a datos como DNI o correos electrónicos de unos 50.000 profesionales sanitarios, sin impactar en infraestructuras críticas ni en servicios asistenciales.

No hay comprometida información de pacientes ni de carácter bancario, según ha informado este lunes el Servicio Andaluz de Salud (SAS). Todo ello después de que el atacante pidiera un rescate por valor de 2.500 dólares en bitcoin que no se pagó.

Mientras recaba toda la información, la Junta de Andalucía ha comunicado el incidente vía correo electrónico a los profesionales afectados recomendándoles “prestar especial atención ante posibles comunicaciones o requerimientos de datos que les puedan llegar mediante correo electrónico, terminales móviles u otros medios, para evitar eventuales suplantaciones”.

Tras un primer análisis, se han encontrado indicios de filtración de datos, como nombres y apellidos, DNI, teléfonos, categoría profesional, correo corporativo, credenciales de usuario corporativo y contraseñas cifradas de unos 50.000 profesionales del SAS, no todos en activo.

Desde que se detectara el incidente, el SAS, a través de la Subdirección de Tecnologías de la Información y la Comunicación, junto con el servicio provincial de Granada, está actuando “con máxima coordinación, tanto a nivel interno como externo, creando comisiones y comités de trabajo” con el objetivo de “implementar las acciones necesarias para restablecer los servicios y llevar a cabo el proceso de restauración y protección de los datos”.

Denuncia a la Policía Nacional

Inmediatamente el SAS ha comenzado la gestión del incidente con los organismos reguladores, así como con las Fuerzas y Cuerpos de Seguridad del Estado. Fuentes conocedoras de la investigación abierta consultadas en Salud por Europa Press han apuntado a que se han denunciado los hechos si bien no constan otras denuncias a nivel particular de profesionales que hayan sido posibles víctimas de suplantación.

Los datos que han podido ser sustraídos se remontan hasta a siete u ocho años atrás, por lo que se pide especial cuidado ante las comunicaciones que puedan llegar a los profesionales no solo por correo electrónico, sino también a través de móvil o correo postal. Las webs de los hospitales granadinos y el de Motril, así como las otras afectadas, siguen en tareas de mantenimiento, han agregado estas fuentes.

El atacante pidió 2.500 dólares en bitcoin en 48 horas para no publicar los datos, que no se pagó, como estipula la normativa, una petición de rescate que se puso en conocimiento de las autoridades competentes, también en el ámbito estatal. El SAS ha procedido a la actualización de servidores, y a cambiar contraseñas y restringir el acceso a bases de datos.

Según detalla el comunicado, los hechos salieron a la luz cuando un atacante mandó un correo al webmaster de la web del San Cecilio y a otros destinatarios, indicando que había detectado supuestamente “una vulnerabilidad en la página mediante la cual podía ejecutar código malicioso y tomar el control de la base de datos si no se abonaba un rescate económico”.

Ante este hecho, se procedió a “aislar los servidores y las webs afectadas, dejándolas en mantenimiento, así como otros servicios online provinciales”, han detallado desde la Junta.

En relación con la disponibilidad, las páginas web y servicios afectados se encuentran inactivos hasta que no finalicen las tareas de investigación, han destacado. Desde el primer momento, se cuenta tanto con los medios humanos necesarios como con las herramientas para la detección y respuesta ante este tipo de incidentes.

El Grupo de Investigación y Análisis de Tráfico (GIAT) de la Guardia Civil investiga desde hace varios días un posible ciberataque a la base de datos de conductores de la Dirección General de Tráfico (DGT) después de que saltaran las alarmas de que el organismo podría haber sido víctima de ciberdelincuentes.

La investigación aún no ha constatado que los ciberdelincuentes se hayan hecho con los datos del total de conductores registrados en la base de la DGT y que, según ha adelantado El Confidencial, habrían sido puestos a la venta en un foro especializado en compraventa de información robada en ataques informáticos. De ser así, los hackers se habrían hecho con los datos de 27 millones de conductores.

Según el medio, la información robada incluiría matrículas, nombres completos, DNIs, domicilios y detalles del seguro vigente. Además de vender el paquete completo de datos, los hackers ofrecerían también la posibilidad de consultar datos específicos como si se tratara de un buscador. Aunque se desconoce el precio exacto de la base de datos, este podría alcanzar varios millones de euros.

La naturaleza de la información potencialmente hackeada, de datos tan concretos, es extremadamente útil para la actividad delictiva de los ciberdelincuentes, que los emplean en suplantaciones de identidad, phishing y otro tipo de estafas. Según las fuentes que cita El Confidencial, la fecha de publicación de los datos indica que probablemente provienen de un ciberataque reciente a la DGT. También que todo apunta a un actor nacional como responsable, igual que en los ataques recientes al Banco Santander, Iberdrola y Telefónica.

Sin embargo, fuentes de Tráfico han confirmado a la agencia Efe que ya se han identificado varios usuarios sospechosos que han intentado entrar en la base de datos para recabar información, a los que se les ha cortado el acceso, y cuya identidad ha sido puesta en conocimiento de la GIAT. El organismo ha explicado también a la agencia Europa Press que “constantemente” llegan informaciones a Tráfico sobre accesos indebidos, que de forma inmediata corta y da traslado del caso al GIAT de la Guardia Civil, que investiga todo aquello relacionado con la seguridad vial y el transporte.

La DGT ha precisado que un importante número de instituciones tienen acceso a su base de datos, como es el caso de los ayuntamientos, y que, “en muchas ocasiones”, los ciberdelincuentes anuncian la venta de esta información que en realidad no tienen. “Son falsos”, indican fuentes de la DGT, que reconocen que también hay casos en los son “ciertos”.

Los ciberataques ya no son un hecho aislado, sino el día a día del entorno digital. Según Datos 101, en 2023 los ciberataques en España crecieron un 30% alcanzando la cifra de 40.000 diarios. Un incremento que se dejó notar especialmente en el sector tecnológico y financiero, recoge el último informe de Mastercard. Estos dos objetivos, junto a las administraciones públicas, concentraron el 62% de las ofensivas. La firma de ciberseguridad S21 Sec coloca a España como el octavo país más atacado por ciberdelincuentes el año pasado.

Se suele decir que la mejor defensa es un buen ataque, y el terreno de la ciberseguridad no es una excepción. Uno de los métodos de prevención más efectivos y a veces desconocidos que adoptan las empresas, especialmente las más grandes, es contratar a hackers para que las ataquen. Y que lo hagan tal y como haría un ciberdelincuente.

Es una práctica que se conoce como “hacking ético” y que se encarga a profesionales especialmente preparados para ello. “Las empresas lo utilizan para identificar vulnerabilidades o agujeros antes de que los piratas o actores maliciosos lo hagan, los exploten y puedan causar una brecha de seguridad e impactar en el propio negocio”, explica a elDiario.es Omar Benbouazza, especialista en esta rama de la ciberseguridad.

Se suele decir que los hackers tienen diferentes sombreros. Están los del sombrero negro (black hat), los ciberdelincuentes que atacan organizaciones para enriquecerse. Los de sombrero blanco, que las protegen. Y los de sombrero rojo, que son los que intentan penetrar en organizaciones con las mismas tácticas que utilizan los hackers de sombrero negro, pero con el objetivo de que las empresas y administraciones puedan anticiparse a ellos.

A todo hacker le gusta ponerse un sombrero rojo de vez en cuando. Uno de los últimos eventos donde más de un centenar de ellos se juntaron para pasar toda la noche intentando penetrar en empresas voluntarias fue en la RootedCON, uno de los congresos de ciberseguridad más importantes de España que se celebró este marzo en Madrid. Benbouazza, coorganizador del encuentro, explica que los primeros hackers llegaron sobre las 9 de la noche y los últimos se marcharon a las 8 de la mañana. “Se repartió bastante dinero”, adelanta.

No porque los hackers robaran nada, sino porque las compañías participantes, voluntarias, reparten recompensas entre los que logran detectar vulnerabilidades. Esa noche se detectaron hasta 44 agujeros de seguridad; uno de ellos “crítico”, de esos que si es un sombrero negro el que lo descubre el ataque termina protagonizando titulares en los periódicos. Un “hackéame como puedas” preventivo.

Benbouazza avisa que no se puede contar mucho más ya que lo que ocurre en estos eventos está protegido con estrictas cláusulas de confidencialidad. Esos agujeros ahora deben ser solventados y esas soluciones, testadas para asegurar su eficacia. “Hubo nueve empresas participantes, la mayoría de ellas internacionales, del sector de la banca, cripto, retail, inteligencia artificial, software, ciberseguridad...”, desvela.

Se trata de una práctica en la que los expertos en ciberseguridad comparten en muchas ocasiones los mismos espacios que los ciberdelincuentes. Se informan en los mismos foros e incluso debaten, sin llegar a desvelar nunca su identidad. Así es como se enteran de sus últimas prácticas y así es como, en ocasiones, se producen fichajes, tanto en un sentido como en otro: ciberdelincuentes que fichan por las fuerzas de seguridad y hackers de sombrero blanco que dejan su trabajo y se mudan a lugares como Tailandia.

“Nunca se suele saber si lo hacen porque dejan la profesión... o porque se han pasado al otro lado”, dice David Marqués, uno de esos profesionales acostumbrados a tratar con ciberdelincuentes para tratar de anticiparse a ellos.

Líneas rojas

El truco de los hackers éticos es imitar a los malos todo lo posible. Aunque hay ciertas líneas rojas. “Nunca se utiliza la vida personal de los empleados, que es algo que los ciberdelincuentes no dudarían en hacer”, asevera Marqués, jefe de operaciones en la península ibérica de la firma de ciberseguridad Advens. “Tiene que ser ético, tiene que ser concertado con la empresa, tiene que ser sin invadir la intimidad del empleado”, resume.

Más allá de eso, la imaginación es el límite. A veces, la contratación de servicios red team (como se les denomina en el sector de la ciberseguridad en referencia al color del sobrero hacker) termina en hackeos de película. “No puedo dar detalles de la empresa, pero una vez lo que hicimos fue colarnos en las oficinas de un banco y colocar un keylogger [un dispositivo que registra las pulsaciones y roba contraseñas] entre el ordenador y el teclado de un empleado. No era detectable y no pudieron pararlo de ninguna manera”, presume.

Y es los ejercicios de hacking ético no se limitan a testar la infraestructura digital de las organizaciones, sino también su seguridad física para acceder a la información. “Hubo una gran compañía de logística que el ejercicio de red team fue colarse en sus almacenes e intentar robar o manipular información. Simplemente diciendo 'hola', pudimos llegar hasta los servidores y pinchar lo que nos dio la gana”, recuerda el experto.

“Hay veces que son ejercicios de meses. Hemos llegado a estar hasta cinco años”, explica. En una de esas comprobaciones de larga duración, su equipo compró un dominio de nombre muy similar a la empresa que los había contratado. “Lo hicimos muy silencioso para que nadie denunciara que habíamos comprado un dominio parecido. A los tres meses una aplicación en su Teams [la plataforma de trabajo online de Microsoft] gracias a una vulnerabilidad de Teams que ya se ha corregido. De esa manera cualquier usuario podía ver esa aplicación que llevaba a nuestro dominio”, expone.

“Entonces mandamos un correo a todos los empleados diciendo que se había publicado una nueva aplicación de gestión de nóminas. En realidad lo que tenía era un robo de token. Un token en Office es tu sesión de usuario. Teniendo ese token me puedo hacer pasar por ti sin tener tu contraseña. Robamos el token de 180 empleados de un total de 1.500”, recuerda Advens.

Este es un punto que también enfatiza Benbouazza: la importancia de la conciencia y la capacitación de los empleados en la prevención de ataques. “El 10% de los agujeros de seguridad se producen por el phishing en las empresas. Eso es que recibes el correo electrónico, lo abres o tiene un adjunto o haces clic en un enlace ahí”, resume. Una práctica de seguridad básica.

En medio de este constante juego de gato y ratón entre empresas y ciberdelincuentes, el hacking ético emerge como una herramienta más para anticiparse y combatir los ciberataques antes de que se produzcan. Una especie de vacuna digital para evitar que los ciberdelincuentes vayan siempre un paso por delante.

El Tribunal Supremo ha sentenciado que un informático tendrá que entrar en prisión por paralizar durante una semana el Banco Santander con un ciberataque denominado “bomba lógica” después de que en 2017 su empresa, una subcontrata de la entidad, decidiera “prescindir de sus servicios”. Los jueces, según ha sabido elDiario.es, han confirmado su condena de tres años de cárcel por causar el “caos” en el banco de Ana Patricia Botín, un ataque informático que tumbó 3.178 ordenadores de 839 oficinas y más de un centenar de puestos de caja durante casi una semana.

El caso, tal y como reveló este periódico, se remonta a marzo de 2017. El acusado trabajaba como informático y administrador de red en la ciudad financiera del Banco Santander en Boadilla del Monte, a través de la subcontrata Norma 4 Servicios Informáticos que a su vez prestaba servicios para Produban, empresa del propio banco. Uno de los primeros días de ese mes creó en el sistema interno del banco lo que se conoce como una “bomba lógica”: un código malicioso que se inscribe en secreto en una red informática a la espera de su activación en un momento específico para dañar el sistema.

Ese momento llegó unas semanas más tarde. La “bomba lógica”, según declaran probado en firme los tribunales, fue activada y sembró lo que el propio Tribunal Supremo define como el “caos” en el Banco Santander: seis días con 3.178 ordenadores inutilizados, 839 oficinas prácticamente bloqueadas y más de un centenar de cajeros automáticos afectados. Los peritos del proceso judicial cifraron el perjuicio al banco en 292.237,86 euros.

Los hechos probados de las resoluciones del caso explican por qué este informático decidió llevarse por delante el sistema informático de uno de los bancos más grandes del mundo: la empresa había “prescindido de sus servicios”. “Por ello”, dice el Supremo, instaló la “bomba lógica” que estalló con toda su fuerza días después en las tripas de la entidad. Él siempre ha alegado que no fue despedido sino que fue trasladado a otro banco, el BBVA, y que no tenía motivos para perpetrar ninguna venganza.

En un primer momento la Audiencia Provincial de Madrid le impuso un año y nueve meses de prisión, condena que no hubiera implicado su entrada obligatoria en la cárcel, pero el Tribunal Superior de Justicia aumentó la sanción a tres años de presidio, lo que sí puede llevar a su encarcelamiento obligatorio al haber sido confirmada recientemente por el Tribunal Supremo.

Tres años de cárcel y una multa de casi 100.000 euros, con su entonces empresa respondiendo de forma subsidiaria de una indemnización de 33.000 euros al Santander por los perjuicios causados. En su recurso, entre otros argumentos, el informático afirmaba que él “no ganaba nada con el sabotaje” y el Supremo contesta: “Fue el recurrente quien instaló una bomba lógica en el sistema del banco”.

Comité de crisis en Boadilla

A lo largo del juicio, la jefa de seguridad de la empresa del Santander explicó que esa mañana “se detectó que tres mil y pico ordenadores de más de 800 oficinas no arrancaban” y que se convocó un “comité de crisis”. La conclusión que sacaron fue que el condenado introdujo la “bomba lógica” a través de la máquina de salto. Todo el ataque había partido de un fichero de Excel y el informático, después, intentó borrar su rastro.

En su último recurso ante el Supremo, el informático condenado alegaba, entre otras cosas, que no existían pruebas de que él hubiera suplantado a otro usuario dentro del sistema para cubrir sus pasos, que es “extraño” que ninguna imagen de las cámaras de seguridad de la ciudad financiera del banco acredite que él estaba allí, que él “no ganaba nada con el sabotaje” y que, finalmente, todo era una investigación “manipulada” por la empresa del Santander “con el fin de evadir sus responsabilidades en el fallo de seguridad, intentando encontrar rápidamente un culpable, fuese quien fuese”. 

El Supremo contesta que la velocidad para “encontrar al culpable del caos ocasionado” no excluía “la posible responsabilidad de la empresa y de sus sistemas informáticos”. El condenado fue “la única persona” que estuvo ese día en las instalaciones según los registros y aunque alegue que no fue despedido de Norma 4 sí lo fue de Produban, la empresa del banco, “pasando a prestar servicios en BBVA”.

Los jueces no dudan de su culpabilidad: “Fue el recurrente quien instaló una bomba lógica en el sistema del banco, que determinó que el día 21 de marzo de 2017 se produjera la inhabilitación e inutilización de forma simultánea de 3.168 equipos informáticos del Banco de Santander en toda España provocando la falta de operatividad de los equipos afectados entre los días 21 a 27 de marzo y afectando a la actividad de 839 oficinas”, resume la sentencia.

Parte del debate procede de cuando el Tribunal Superior de Madrid aumentó su condena hasta los tres años de cárcel al aplicar una versión más grave del delito de daños informáticos, al entender que usó un programa informático específico para reventar la red de ordenadores de las sucursales del Banco Santander. El Supremo, en la sentencia firme del caso, avala esta consideración.

“El concepto de bomba lógica proviene del término en inglés LogicBomb, y no es sino un programa informático (un conjunto de líneas de código) que se instala en una computadora y permanece oculto hasta cumplirse una o más condiciones preprogramadas para entonces ejecutar una acción. Es un programa maligno que se activa al momento de realizar una acción”.

Concluyen los jueces, por tanto, que el método que usó este informático “integra sin lugar a duda la modalidad agravada” del Código Penal para este tipo de delitos.

La pesadilla empezó con una entrada y registro. Y ha durado siete años, hasta que la Audiencia de Barcelona ha archivado el caso del 'hackeo' masivo al Sindicato de Mossos d'Esquadra (SME) tras constatar que, pese a todo el tiempo transcurrido, el material probatorio contra dos investigados era “frágil” y “endeble”.

El abogado de uno de los investigados, Carles Sánchez Almeida, no tiene dudas: “Fueron cabezas de turco”. Se basa el letrado, y la Audiencia de Barcelona le da la razón, en que el único indicio obtenido contra su cliente y la otra investigada –su pareja en el momento de los hechos– en siete años de investigación fue que disponían de un proxy, esto es, un servidor que anonimiza la navegación en Internet. Ambos son ingenieros.

El caso se remonta a 2016. En un contexto marcado por la contundencia de la policía catalana para reprimir protestas sociales, el Sindicat de Mossos d'Esquadra (SME) sufrió un ataque informático y se difundieron datos personales de 5.000 agentes y exagentes de la policía catalana (nombres, apellidos, números de teléfono y cuentas bancarias).

El ataque fue reivindicado por el 'hacker' Phineas Fisher. La intromisión incluyó la usurpación de la cuenta de Twitter del sindicato, desde donde se enviaron tuits llamando a una huelga de policías y emitieron un falso comunicado anunciando la “refundación” del SME en un “Sindicato de Mossos d'Esquadra para los Derechos Humanos”.

Al margen de la burla de los piratas informáticos hacia el sindicato, la Justicia tomó cartas en el asunto para investigar los delitos cometidos por los 'hackers' al destapar datos personales de miles de uniformados. El juzgado de instrucción 33 de Barcelona abrió una causa por revelación de secretos y en enero de 2017 ordenó registrar el domicilio que compartían ambos ingenieros en Barcelona, y otro en Salamanca de un tercer investigado. En 2022, con el visto bueno de la Fiscalía de delitos informáticos de Barcelona, les dejó a un paso del banquillo.

Sin embargo, en una decisión inusual –lo más habitual es que la instancia superior avale la decisión de sentar en el banquillo de los jueces instructores, y ya en el juicio se resuelva el caso–, la Audiencia de Barcelona ha revocado la decisión del juzgado de proponer juzgar a los dos ingenieros.

Solo disponían de un proxy

En su auto, del pasado octubre, los magistrados de la sección 9ª de la Audiencia de Barcelona concluyen que, al contrario que lo expuesto por el juez instructor, “no se refiere de la instrucción del caso ninguna actuación concreta” de los dos ingenieros “con los ignorados autores del ataque”. Todo ello pese a la “intensa y exhaustiva” investigación policial.

Recuerda –y transcribe de forma literal– la Audiencia de Barcelona que el propio informe final de los Mossos concluyó que en los dispositivos confiscados por orden judicial a ambos ingenieros “no se localizó evidencia directamente relacionada” con el ataque, pese a lo cual los dos investigados fueron procesados. Es más, los togados resaltan que, según la investigación de la policía catalana, el ataque al sindicato se produjo mediante un servidor ubicado en Francia y otras ubicaciones extranjeras, y que los dos ingenieros vivían en Barcelona.

El indicio en que se basó el juez para procesar a los dos ingenieros fue el mencionado servidor proxy, que según varios atestados de los Mossos “podría tener relación” con el ataque y con el acceso a “varias páginas web del mundo 'hacker'” por parte de uno de los investigados. Pero esta hipótesis de investigación, agregan los jueces, no ha podido ser confirmada, lo que debe conducir el caso al archivo.

Almeida, letrado con varios lustros de experiencia en delitos informáticos, tilda de “peligrosa” la posibilidad de que la Justicia hubiera aceptado la teoría del fiscal sobre el servidor que tenían los dos ingenieros. “Ello convertiría a cualquiera que tuviera un proxy en un potencial 'hacker'”, alerta el abogado, que celebra la decisión judicial.

Sobre este extremo, la Audiencia de Barcelona se muestra rotunda: “El hecho de configurar un proxy para ocultar una verdadera identificación no permite establecer un indicio de complicidad o cooperación, ni menos de autoría, respecto del gravísimo ataque informático sufrido por la base de datos del sindicato policial”.

“Nada en la investigación”, ahondan los jueces, “conecta” a los ingenieros con los autores del ataque. El desierto probatorio hace que los jueces decidan no sentar en el banquillo a los dos investigados “ante la inexistencia de indicios para continuar técnicamente con la acusación”. “No está justificado ni es admisible que se extienda el perjuicio que implica mantener un procedimiento sin elementos de cargo”, apostillan los magistrados.

Es más, para los togados resulta también necesario poner fin a la causa con el objetivo de “evitar juicios innecesarios que dilapidarían energías no solo procesales sino también económicas y personales”. Pese a la rotundidad de la Audiencia de Barcelona, el fiscal recurrió al Supremo para reabrir la causa, pero finalmente el pasado febrero el representante del Ministerio Público desistió de su propio recurso. Una maniobra que, critica Almeida, “alargó el sufrimiento” para ambos investigados. Finalmente el caso se ha archivado. El mayor 'hackeo' a un sindicato policial de España seguirá teniendo un autor desconocido. Al menos para la Justicia.