La Guardia Civil ha detenido a 17 personas e investiga a otras 10 por una macroestafa a entidades públicas y privadas de la provincia de Huesca mediante correos electrónicos fraudulentos, mediante el sistema conocido como BEC (Business Email Compromise). La operación, que lleva por nombre Solapado, ha sido llevada por la Unidad Orgánica de Policía Judicial (UOPJ) de la Comandancia en la capital altoaragonesa. En concreto, se les acusa de 31 delitos de estafa, 15 delitos de blanqueo de capitales, 7 delitos de falsificación de documentos y 1 delito de usurpación de estado civil, a diferentes empresas de 16 localidades de la provincia de Huesca

A principios del año 2024, dentro de los planes de prevención y respuesta que lleva a cabo el Instituto Armado, detectaron un aumento de denuncias de estafas tecnológicas con un mismo patrón, mediante el sistema BEC. Se trata de un tipo de ciberataque en el que los delincuentes se hacen pasar por personas de confianza dentro de una organización, generalmente a través de correos electrónicos, para engañar a los empleados de empresas y entidades públicas y así lograr que realicen transferencias de dinero o compartan información confidencial. En estos casos, modificaban facturas para conseguir transferencias de dinero a cuentas corrientes controladas por los estafadores.

Las víctimas de las ciberestafas eran mayoritariamente empresas de distinto rango y varias instituciones públicas, en total unas veinte. Las localidades afectadas son AÍnsa, Alcalá de Gurrea, Alquézar, Altorricón, Barbastro, Benasque, Binéfar, Canfranc Estación, Fiscal, Fraga, Laspaúles, Monzón, Panticosa, Peraltilla, Sabiñánigo y Tamarite de Litera y la cantidad total estafada de más de 1.000.000 €.

Los agentes, tras el análisis técnico de los archivos y documentación aportada en las denuncias, pudieron averiguar el modus operandi seguido por los posibles autores y cómo conseguían engañar a las empresas estafadas, desviando el dinero a una cuenta fraudulenta y posteriormente a otras distintas cuentas bancarias para evitar el seguimiento policial.

Para la comisión de estos ciberdelitos, los estafadores se valían de la técnica EAC (Email Account Compromise), que consiste en comprometer la cuenta de correo electrónico, al poseer las credenciales de acceso y control total del email. Eso suponía una ventaja para el ciberdelincuente, al poder tener el acceso a toda la información que su víctima poseía en su correo electrónico, historial de correos, destinatarios comunes, archivos adjuntos, enviados y recibidos, firma, configuraciones, etc. Así mismo, se aseguraban de mantener el acceso a la cuenta en el tiempo, creando reglas de reenvío de correos o cambiando los permisos, de esta forma, monotorizaban a la víctima y podían realizar una inteligencia certera de su gestión de pagos.

Con este conocimiento y capacidad de acceso, los ciberestafadores enviaban correos convincentes en nombre de las víctimas en el momento más adecuado y así lograr sus objetivos. Así mismo, los agentes pudieron comprobar que algunos de los supuestos autores, utilizaban documentación falsa para la apertura de cuentas bancarias donde se recibía el dinero estafado. De esta forma, los investigadores pudieron realizar una precisa labor de trazabilidad bancaria, lo que permitió el bloqueo y recuperación de unos 437.449 €.

Finalmente, después de un año de investigación, entre los pasados meses de mayo y agosto, los agentes pudieron identificar, localizar y detener a los posibles autores, mediante un operativo coordinado, en las provincias de Alicante, Almería, Barcelona, Córdoba, Gerona, La Rioja, Lérida, Lugo, Madrid, Málaga, Navarra y Pontevedra, así como en los países de Alemania y Portugal, a 27 personas, siendo 17 detenidas y 10 investigadas, de diversas nacionalidades y edades comprendidas entre los 25 y 55 años

El Equipo @ de la UOPJ de la Comandancia de la Guardia Civil de Huesca, instruyó las correspondientes diligencias que fueron entregadas junto con los detenidos, en los diferentes Juzgados de Instrucción de Guardia de Barbastro, Boltaña, Fraga, Huesca, Jaca y Monzón, quedando los detenidos en libertad con cargos, menos tres que ya estaban anteriormente en prisión, debiendo los 10 investigados presentarse a la Autoridad Judicial cuando estime conveniente.

Consejos para prevenir estas estafas

La Guardia Civil ha includo un listado de consejos a las empresas de la provincia de Huesca para prevenir este tipo de fraudes:

La organización FACUA-Consumidores en Acción ha ampliado este martes su denuncia ante la Fiscalía de Criminalidad Informática contra la agencia de viajes fantasma anunciada por Vito Quiles porque sostienen que la imagen incrustada en la página web de UtopiaViajes donde se asegura que ha sido “incautada por el FBI” es falsa.

Así, la asociación solicita ahora a la Fiscalía que, además de investigar si los hechos cometidos por el responsable de la empresa son constitutivos de delito de estafa, valore si la simulación de que la web ha sido intervenida por el FBI, el Departamento de Justicia de EEUU y el Servicio de Información e Investigación Fiscal (FIOD) encaja en el tipo delictivo de la falsedad documental.

FACUA asegura que ha verificado que la imagen que aparece en la web con los logotipos de los citados organismos “ha sido en realidad robada de una de las numerosas páginas que realmente interviene el FBI e incorporada directamente al servidor donde está alojada utopiaviajes.com, propiedad de un proveedor de hosting de Islandia”, han explicado en un comunicado. Por contra, cuando la Oficina Federal de Investigación estadounidense incauta un dominio de internet, lo redirecciona a sus propios servidores.

FACUA también ha puesto en conocimiento de la Fiscalía un documento elaborado por el abogado de Vito Quiles el pasado 6 de agosto y, según afirma, enviado a UtopiaViajes. El documento fue remitido por Quiles este lunes al programa Mañaneros 360 de TVE con la intención de justificar que no había mantenido una actitud pasiva al conocer que la supuesta agencia se había quedado con el dinero de sus clientes sin prestarles los servicios contratados.

En el texto que Quiles asegura haber remitido al domicilio social en Londres de UtopiaViajes dice que llevaba “meses” siendo conocedor de “múltiples quejas” y “denuncias públicas” contra la empresa por “presuntas prácticas comerciales ilícitas o fraudulentas”. En el citado mensaje, el abogado de Quiles afirma que este “mantuvo una colaboración con su empresa [UtopiaViajes LTD] en calidad de imagen pública y apoyo promocional, en virtud de un acuerdo por el cual cedía temporalmente sus derechos de imagen para su utilización en campañas publicitarias y contenidos promocionales”. El anuncio protagonizado por el ultraderechista se emitió en Instagram el 7 de julio, pese a que en su escrito pone de manifiesto que en esa fecha ya conocía la existencia de quejas y denuncias contra el negocio.

---------------------------------

Corrección:

Una primera versión de esta noticia informaba de la clausura la web de la supuesta agencia de viajes anunciada por Vito Quiles con el texto de un teletipo de Europa Press que se hacía eco de un comunicado de Facua. Se ha modificado el texto tras la corrección de Facua.

El Teniente Coronel Jefe de Operaciones de la X Zona de la Guardia Civil, Enrique Guerrero, el Comandante Jefe de Policía Judicial e Información, Joaquín Martínez, y el portavoz del Instituto Armado, Miguel Ángel Sáez, han comparecido este miércoles para informar sobre los resultados de la operación “Vinteox”, en la que han sido detenidas dos personas por delitos relacionados con graves vulneraciones del honor, la intimidad personal y el acceso ilícito a sistemas informáticos. Los detenidos, dos hombres de 23 años, se dedicaban a grabar vídeos de contenido sexual a mujeres jóvenes, algunas de ellas incluso menores en el momento de las grabaciones, para luego difundirlos entre grupos cerrados de WhatsApp y Telegram.

La operación se inició en marzo, cuando los agentes detectaron varios grupos cerrados en una plataforma de mensajería, donde se organizaban “quedadas virtuales” para compartir imágenes de carácter muy íntimo, principalmente de mujeres jóvenes, sin su conocimiento ni consentimiento.

En estos espacios se aleccionaba a los participantes a los que se les daba instrucciones sobre cómo obtener dicho contenido, mediante engaño, suplantación o intrusión en dispositivos personales, además de fomentar la creación y el intercambio constante del material en un contexto de absoluta impunidad y anonimato. “A los participantes de estos grupos, a los que accedían con invitación, se les exigía un número determinado de vídeos porque si no se les expulsaba”, ha apuntado el portavoz.

“Los dos detenidos grababan a las mujeres sin conocimiento ni consentimiento y luego difundían el material entre los grupos como mero objetos sexuales. Eran dos lobos con piel de cordero”, ha calificado porque se aprovechaban de la relación de confianza que tenían con sus víctimas para grabarlas. Entre ellas “hay amigas de universidad compañeras de piso e incluso del entorno sentimental”. En algunos casos mantenían relaciones sentimentales con las víctimas para recurrir a videollamadas de contenido sexual y poder capturar pantallas o grabar las llamadas sin autorización. Para ello empleaban aplicaciones externas diseñadas para registrar la actividad en pantalla sin que la otra persona lo supiera.

Hasta el momento, la Guardia Civil ya ha localizado a 27 víctimas, 13 de ellas riojanas también de Albacete, Guipúzcoa, Navarra, Palencia, Soria, Vizcaya y Zaragoza. Las investigaciones continúan abiertas y de hecho la Guardia Civil tiene identificadas otra veintena de mujeres víctimas. También se sigue investigando los grupos cerrados a cuyos usuarios les han mandado una advertencia: “que tengan cuidado porque mañana quizás la Guardia Civil llame a su casa”. En uno de estos grupos, Sáinz ha calculado que podría haber entre 500-1.000 personas.

Además del análisis de los dispositivos intervenidos, los agentes han localizaron 33 vídeos de origen extranjero, con indicios de haber sido obtenidos en países como Asia, Sudamérica o Rusia, que mostraban escenas de abusos sexuales y violaciones, algunas de ellas cometidas contra mujeres menores de edad.

Las imágenes y vídeos de las víctimas eran clasificados en carpetas independientes, organizadas según varios criterios como el nombre de la víctima, su lugar de residencia o el tipo de relación que mantenía con cada una de ellas (amistosa, sentimental, académica, etc.). Además, se ha podido constatar que parte de este material fue intercambiado o vendido a terceros con fines personales o económicos.

A los detenidos se les atribuye los supuestos delitos de revelación de secretos, vinculados a graves vulneraciones del honor, la intimidad personal y el acceso ilícito a sistemas informáticos.

Agentes del Equipo de Delitos Telemáticos (EDITE) y del Equipo@ de la Guardia Civil en La Rioja han detectado un repunte de denuncias relacionadas con la modalidad de estafa conocida como BEC (Business Email Compromise).

Se trata de una técnica utilizada por ciberdelincuentes para interceptar comunicaciones electrónicas entre empresas y administraciones públicas, con el objetivo de suplantar identidades, modificar datos bancarios en facturas legítimas y desviar así importantes sumas de dinero a cuentas fraudulentas.

Durante el mes de junio, varios ayuntamientos y empresas de La Rioja han sido víctimas de este tipo de fraude, llegando a sufrir pérdidas económicas que ascienden a 141.700 euros.

El método consiste en la interceptación de correos electrónicos legítimos en los que se adjuntan facturas o instrucciones de pago. Una vez intervenido el mensaje, los delincuentes lo modifican e introducen un número de cuenta bancario fraudulento, para posteriormente reenviarlo al destinatario original sin que este advierta la manipulación. Así, el pago legítimo se redirige a una cuenta controlada por los estafadores.

La principal puerta de entrada de estos ataques suele ser la ingeniería social o el phishing, mediante los cuales se obtiene acceso a los buzones de correo corporativo. En muchos casos, los dominios de correo electrónico utilizados por los delincuentes presentan variaciones mínimas respecto a los originales, lo que dificulta su detección.

Por ejemplo, si el correo real es pipemarcos@empresaSUPLANTADA.com, el fraudulento podría ser plpemarcos@empresaSUPLANTADA.com, por lo que es fundamental revisar siempre la dirección completa del remitente, no solo el nombre visible. El tiempo que transcurre entre la estafa y la verificación del pago por parte del perjudicado -a veces días o semanas- complica enormemente el rastreo del dinero y reduce las posibilidades de recuperación de las cantidades defraudadas.

Recuperados 46.887 euros

Gracias a la rápida coordinación entre el personal administrativo de uno de los ayuntamientos afectados y agentes del Equipo@ de la Guardia Civil, se logró recuperar en su totalidad los 46.887 euros que habían sido sustraídos mediante el método BEC (Business Email Compromise).

La detección temprana de una operación sospechosa por parte del consistorio resultó decisiva para que los especialistas en ciberdelincuencia pudieran actuar con celeridad, impedir el movimiento de los fondos y reintegrar íntegramente el dinero a las arcas públicas.

Recomendaciones para prevenir este tipo de ataques

La Guardia Civil recuerda una serie de medidas preventivas fundamentales para evitar ser víctima de este tipo de estafas:

En caso de haber sido víctima

En caso de haber sufrido una estafa de este tipo, la Guardia Civil recomienda actuar con rapidez siguiendo estos pasos:

La Guardia Civil de Valladolid investiga a una persona por acceder sin consentimiento al sistema informático de una bodega en la Ribera del Duero en la que trabajó, posiblemente para utilizar información empresarial en su actual empleo, han informado este viernes fuentes del instituto armado.

Los hechos ocurrieron en septiembre de 2024, cuando el denunciante identificó actividad sospechosa en su sistema y aportó un total de 14 direcciones IP relacionadas con los accesos no autorizados.

Tras un minucioso análisis de más de 30.000 registros, los investigadores lograron aislar a una persona vinculada laboralmente con la bodega denunciante, quien resultó ser un extrabajador.

Las indagaciones posteriores revelaron que se habían producido otras 334 conexiones desde la empresa en la que actualmente trabaja el sospechoso.

Aunque los denunciantes no han reportado un robo de datos evidente, existe la posibilidad de que el presunto autor haya empleado información sobre proveedores, distribuidores y clientes para su beneficio profesional.

La Guardia Civil continúa con las diligencias para esclarecer los hechos y determinar posibles responsabilidades legales en este caso. 

El tótem informativo de la plaza Aragón de Barbastro fue saboteado en la madrugada del pasado al domingo y se emitió, en vez de la información del municipio, un vídeo de carácter pornográfico. La Policía Local, que trabaja en la identificación de los responsables mediante la revisión de las grabaciones de las cámaras de seguridad de la zona y otras pesquisas, intervino desconectándolo al detectar la anomalía y el dispositivo se mantiene fuera de servicio, según ha informado el Ayuntamiento de la localidad. El asunto está también en manos de la Guardia Civil.

La pantalla está pensada para difundir contenido turístico o de interés sociocultural de la localidad. Durante la noche, fue hackeada para emitir un vídeo pornográfico explícito. Desde el Área de Nuevas Tecnologías del Consistorio se está trabajando para tratar de averiguar de qué manera realizaron el sabotaje, en una información que fue adelantada este domingo por el Diario de Huesca.

El concejal de Nuevas Tecnologías del Ayuntamiento, Francisco Albert, ha informado este lunes del hackeo. “Un individuo modificó la señal, ya sea directamente o de manera indirecta, que llega al ordenador del tótem y emitió lo que se ha podido ver en los vídeos. La Policía y la Guardia Civil tienen toda la información y comprobarán si es delito o no”, ha apuntado. También van a analizar si “se han dañado los equipos”.

“Es una vergüenza este tipo de actos”, ha continuado Albert, que ha recordad que “son lugares públicos, donde pasan menores y familias”. La acción se llevó a cabo de madrugada, “con lo que por suerte poca gente se percató”. El edil ha querido agradecer el papel de la Policía Local, que “actuó rápitamente para evitar que fuese visionado por más gente”. “Intentaremos identificar a los culpables para que no vuelva a suceder. Vamos a revisar todo para averiguar cómo lo hackearon, si accedieron físicamente al tótem o si ha sido de manera remota”, ha señalado, aunque ha mencionado la “dificultad” que existe para “perseguir los delitos informáticos”: “Nunca se sabe de dónde puede venir el ataque y de qué forma, puede que esté incluso en otro país”.

El Área de Tecnologías trabaja ya también en el refuerzo de los sistemas de control de los diferentes dispositivos informativos repartidos por la ciudad para que no se repitan episodios de este tipo.

El Consistorio asegura que actitudes como esta, “en las que se atenta contra lo que es de todos, están recogidas como infracciones en la Ordenanza de Convivencia Ciudadana, pueden llegar a suponer sanciones de hasta 2.500 euros”. Además, si los equipos informáticos saboteados se han dañado, se trataría de un delito de daños del que se dará traslado al Juzgado de lo Penal.

La Policía Nacional ha detenido en la localidad cántabra de Torrelavega a un joven ciberdelincuente por el ataque a los sistemas informáticos de varias federaciones deportivas. Tenía elevados conocimientos informáticos y poseía más de 500.000 datos personales robados a varias instituciones. Además, manejaba carteras de criptomonedas con más de 8.000 euros procedentes de la compraventa de los datos.

Según ha informado este miércoles el CPN, la investigación se inició el pasado agosto tras detectarse en un foro especializado una publicación de un usuario que alegaba tener datos procedentes de una federación deportiva.

En dicha publicación, ponía a disposición del foro un conjunto de datos de unos 190.000 registros, incluyendo información como el DNI, nombre completo, teléfono, fecha de nacimiento y dirección, entre otros.

Los investigadores analizaron la actividad de este usuario en el foro y comprobaron que llevaba publicando información personal desde agosto de 2023 y que contaba con al menos diez víctimas, entre las que se encontraban varias federaciones deportivas a nivel nacional, una librería y una agrupación de farmacéuticos.

Tras contactar con estas entidades, los agentes constataron que los datos publicados habían sido extraídos de sus sistemas informáticos.

Entonces se iniciaron las labores de investigación para conseguir identificar, localizar y detener al responsable de estos ataques informáticos, que habría utilizado diferentes canales de comunicación para la difusión de la información exfiltrada, como un foro especializado o una aplicación de mensajería instantánea, cambiando de nombre de usuario y dificultando así su identificación.

Avanzada la investigación, se localizó el domicilio desde el que se habrían llevado a cabo los ataques, situado en Torrelavega. Tras varias indagaciones se pudo identificar a un menor de edad que residía en la vivienda y que cursaba estudios de informática.

En el registro del domicilio se analizó el ordenador de sobremesa utilizado por el joven, en el que se localizaron las bases de datos publicadas en el citado foro, así como accesos directos a otros foros de venta de datos robados.

Además, el ciberdelincuente poseía unos 8.000 euros en criptomonedas almacenadas en diferentes carteras, producto de la compraventa de los datos exfiltrados.

Por todo ello fue detenido como presunto autor de los delitos de descubrimiento y revelación de secretos.

Actualmente, están siendo analizados los dispositivos intervenidos --ordenador, un teléfono móvil, un disco duro externo, cuatro pendrives y varias tarjetas SIM y bancarias--, con el objetivo de localizar víctimas de las que aún no se haya tenido constancia así como la posible implicación de terceros.

El Ayuntamiento de Gijón ha denunciado ante la Policía Nacional el hallazgo de un ordenador conectado a la red municipal que estaba oculto en el doble fondo de un armario en dependencias municipales.

El caso está siendo investigado por agentes expertos en delitos informáticos. Una de sus primeras actuaciones se encamina a conocer a qué tipo de información “sensible” ha podido acceder, si ha llegado a peligrar algún dato confidencial y qué utilización se han dado a los datos que haya podido recopilar hasta el momento.

El hallazgo se produjo a raíz de una auditoría realizada por la Dirección General de Protección de Datos municipal, con carácter preventivo, y con la finalidad de tener conocimiento del estado y funcionamiento de todos los sistemas del Ayuntamiento después de que hubiera sufrido recientemente un ciberataque.

La auditoría

El revuelo que ha provocado el descubrimiento de este ordenador 'pirata' ha llevado a la alcaldesa, Carmen Moriyón, a emitir un comunicado. En este escrito, expone que el ciberataque sufrido en dependencias municipales fue uno de los motivos que propició la creación de una Dirección General de Protección de Datos que, según resalta, es “pionera en Asturias”.

Asimismo, ha apuntado que se puso en marcha una auditoría interna “para el control exhaustivo” de todos los sistemas del Ayuntamiento. Esta es la primera vez que se hace una revisión de este tipo, “cable a cable”, que ha permitido detectar el ordenador que se encontraba oculto y del que se desconoce, “tanto la procedencia como la función que realizaba”, ha asegurado.

“Hemos puesto el asunto en manos de la Policía Nacional y ahora hay que dejarles trabajar”, ha concluido.

Fuentes policiales han confirmado que no se han producido detenciones relacionadas con este caso y han recordado que la investigación aún no ha concluido.

Esquerra Republicana Catalunya (ERC) ha denunciado ante los Mossos d'Esquadra que el pasado fin de semana fue objetivo de un ataque informático que ha logrado acceder “indebidamente” a la base de datos del partido.

En un comunicado, el partido ha informado que ha denunciado el cibertataque ante la policía catalana “y el resto de autoridades competentes”, y que ha empezado a comunicar la intromisión ilegítima a “todas las personas que puedan tener sus datos comprometidos”.

ERC ha denunciado que en los últimos meses “se han multiplicado” los ataques informáticos contra el partido, una circunstancia que la formación ha vinculado con la aprobación de la amnistía y las sucesivas citas electorales.

En concreto, el partido ha contabilizado dos millones de ataques desde el 11 de mayo y el de este fin de semana ha sido el que más datos personales ha logrado. Las denuncias contra este tipo de intromisiones suelen quedar archivadas ante la dificultad de hallar a los ciberatacantes.

La formación ha condenado el ataque informático y lo ha considerado “contrario a cualquier principio democrático”. El partido también se ha comprometido a defender los derechos de sus militantes “hasta las últimas consecuencias”.

No es el primer ciberataque que sufre un partido político en Catalunya. El pasado mes de noviembre, Junts denunció que había sufrido un ciberataque desde diferentes países, si bien logró neutralizarlo y no afectó a la votación telemática que el partido organizó sobre el acuerdo alcanzado con el PSOE para la investidura de Pedro Sánchez.

La Región de Murcia ha acumulado un total de 661 denuncias por delitos contra la libertad sexual en 2023, según el Ministerio del Interior. De media, tuvo lugar dos denuncias al día, en una Comunidad que han visto como las cifras han aumentado un 14,6%.

El repunte es especialmente llamativo en los casos de agresión sexual con penetración, que han subido un 18,3 con respecto al 2022. En total, Interior ha registrado 110 denuncias de agresiones sexuales con penetración, mientras que el resto, las otras 551, corresponden a otros tipos de delitos contra la libertad sexual.

La situación es especialmente grave en el municipio de Lorca, donde las cifras de 2023 prácticamente doblan a las del pasado año, con un total de 42 denuncias frente a los 23 casos de 2022. En Murcia, las cifras han alcanzado los 205 casos, con un incremento del 12%. Otros municipios como Águilas, Alcantarilla, Alhama, Caravaca, Cartagena, Cieza, Molina de Segura, San Pedro, Las Torres, Totana, La Unión y Yecla también han experimentado un aumento de casos.

Crímenes cibernéticos

En general, ha ascendido la criminalidad en la Comunidad murciana un 8%, pasando de 68.717 a 74.187 denuncias, con un aumento en la perpetración de todos los tipos de delitos con la excepción de los secuestros.

Ha repuntado sustancialmente la cibercriminalidad, con un aumento del 37,4%, pasando de los 9.971 casos de 2022 a los 13.696 de 2023. Con estos datos, la Región de Murcia se convierte en la segunda Comunidad con un mayor aumento de los ciberdelitos, solo superada por Andalucía, que ha sufrido un aumento del 42,8%. Del total, la mayoría de las infracciones cibernéticas corresponden a las estafas informáticas, que han sufrido un incremento del 41,8$ con respecto al año anterior.

El Tribunal Supremo ha sentenciado que un informático tendrá que entrar en prisión por paralizar durante una semana el Banco Santander con un ciberataque denominado “bomba lógica” después de que en 2017 su empresa, una subcontrata de la entidad, decidiera “prescindir de sus servicios”. Los jueces, según ha sabido elDiario.es, han confirmado su condena de tres años de cárcel por causar el “caos” en el banco de Ana Patricia Botín, un ataque informático que tumbó 3.178 ordenadores de 839 oficinas y más de un centenar de puestos de caja durante casi una semana.

El caso, tal y como reveló este periódico, se remonta a marzo de 2017. El acusado trabajaba como informático y administrador de red en la ciudad financiera del Banco Santander en Boadilla del Monte, a través de la subcontrata Norma 4 Servicios Informáticos que a su vez prestaba servicios para Produban, empresa del propio banco. Uno de los primeros días de ese mes creó en el sistema interno del banco lo que se conoce como una “bomba lógica”: un código malicioso que se inscribe en secreto en una red informática a la espera de su activación en un momento específico para dañar el sistema.

Ese momento llegó unas semanas más tarde. La “bomba lógica”, según declaran probado en firme los tribunales, fue activada y sembró lo que el propio Tribunal Supremo define como el “caos” en el Banco Santander: seis días con 3.178 ordenadores inutilizados, 839 oficinas prácticamente bloqueadas y más de un centenar de cajeros automáticos afectados. Los peritos del proceso judicial cifraron el perjuicio al banco en 292.237,86 euros.

Los hechos probados de las resoluciones del caso explican por qué este informático decidió llevarse por delante el sistema informático de uno de los bancos más grandes del mundo: la empresa había “prescindido de sus servicios”. “Por ello”, dice el Supremo, instaló la “bomba lógica” que estalló con toda su fuerza días después en las tripas de la entidad. Él siempre ha alegado que no fue despedido sino que fue trasladado a otro banco, el BBVA, y que no tenía motivos para perpetrar ninguna venganza.

En un primer momento la Audiencia Provincial de Madrid le impuso un año y nueve meses de prisión, condena que no hubiera implicado su entrada obligatoria en la cárcel, pero el Tribunal Superior de Justicia aumentó la sanción a tres años de presidio, lo que sí puede llevar a su encarcelamiento obligatorio al haber sido confirmada recientemente por el Tribunal Supremo.

Tres años de cárcel y una multa de casi 100.000 euros, con su entonces empresa respondiendo de forma subsidiaria de una indemnización de 33.000 euros al Santander por los perjuicios causados. En su recurso, entre otros argumentos, el informático afirmaba que él “no ganaba nada con el sabotaje” y el Supremo contesta: “Fue el recurrente quien instaló una bomba lógica en el sistema del banco”.

Comité de crisis en Boadilla

A lo largo del juicio, la jefa de seguridad de la empresa del Santander explicó que esa mañana “se detectó que tres mil y pico ordenadores de más de 800 oficinas no arrancaban” y que se convocó un “comité de crisis”. La conclusión que sacaron fue que el condenado introdujo la “bomba lógica” a través de la máquina de salto. Todo el ataque había partido de un fichero de Excel y el informático, después, intentó borrar su rastro.

En su último recurso ante el Supremo, el informático condenado alegaba, entre otras cosas, que no existían pruebas de que él hubiera suplantado a otro usuario dentro del sistema para cubrir sus pasos, que es “extraño” que ninguna imagen de las cámaras de seguridad de la ciudad financiera del banco acredite que él estaba allí, que él “no ganaba nada con el sabotaje” y que, finalmente, todo era una investigación “manipulada” por la empresa del Santander “con el fin de evadir sus responsabilidades en el fallo de seguridad, intentando encontrar rápidamente un culpable, fuese quien fuese”. 

El Supremo contesta que la velocidad para “encontrar al culpable del caos ocasionado” no excluía “la posible responsabilidad de la empresa y de sus sistemas informáticos”. El condenado fue “la única persona” que estuvo ese día en las instalaciones según los registros y aunque alegue que no fue despedido de Norma 4 sí lo fue de Produban, la empresa del banco, “pasando a prestar servicios en BBVA”.

Los jueces no dudan de su culpabilidad: “Fue el recurrente quien instaló una bomba lógica en el sistema del banco, que determinó que el día 21 de marzo de 2017 se produjera la inhabilitación e inutilización de forma simultánea de 3.168 equipos informáticos del Banco de Santander en toda España provocando la falta de operatividad de los equipos afectados entre los días 21 a 27 de marzo y afectando a la actividad de 839 oficinas”, resume la sentencia.

Parte del debate procede de cuando el Tribunal Superior de Madrid aumentó su condena hasta los tres años de cárcel al aplicar una versión más grave del delito de daños informáticos, al entender que usó un programa informático específico para reventar la red de ordenadores de las sucursales del Banco Santander. El Supremo, en la sentencia firme del caso, avala esta consideración.

“El concepto de bomba lógica proviene del término en inglés LogicBomb, y no es sino un programa informático (un conjunto de líneas de código) que se instala en una computadora y permanece oculto hasta cumplirse una o más condiciones preprogramadas para entonces ejecutar una acción. Es un programa maligno que se activa al momento de realizar una acción”.

Concluyen los jueces, por tanto, que el método que usó este informático “integra sin lugar a duda la modalidad agravada” del Código Penal para este tipo de delitos.

Una subinspectora médica del área de salud de Avilés quería conocer la enfermedad que padecía su exmarido, un médico ovetense del que está divorciada y con el que tiene una hija en común, y la facilidad para acceder a su expediente electrónico hizo que en varias ocasiones se conectara al ordenador, unas veces con su propia clave y en otras ocasiones utilizando la de una compañera, y espió sus datos entre junio de 2017 y marzo de 2019.

Su exmarido, al enterarse, la denunció y fue juzgada por su presunta autoría en un delito de descubrimiento y revelación de secretos. La Sección Segunda de la Audiencia Provincial de Asturias la condenó en el año 2021 a una pena de dos años y medio de cárcel, pero la sentencia fue revocada por el Tribunal Superior de Justicia de Asturias (TSJA) que la absolvió al considerar que no había quedado acreditado el “perjuicio a un tercero”, ya que los datos médicos a los que había accedido no habían sido difundidos públicamente.

El caso ha dado un nuevo giro con la resolución que ha dictado recientemente el Tribunal Supremo (TS) confirmando la sentencia condenatoria de la Audiencia Provincial, lo que implicará el ingreso en prisión de la subinspectora al ser la condena superior a dos años y medio de cárcel por un único delito, aunque no tenga antecedentes.

El alto tribunal entiende que sí se ha producido ese perjuicio, ya que éste “se realiza cuando se apodera, utiliza, modifica o accede a un dato protegido con la intención de que su contenido salga del ámbito de privacidad en el que se incluyó en una base de datos, archivo..., especialmente protegido”.

El periplo judicial de la subinspectora

La subinspectora del Cuerpo Sanitario de la Inspección médica del Área III del Servicio de Salud de Principado de Asturias tenía acceso a diferentes programas informáticos de trabajo como Womi, Sagitario y Milennium, que le permitían conocer datos médicos de todos los usuarios de este servicio residentes en Asturias. Las consultas las realizó a distintas horas del día, tanto a primera hora de la mañana como al mediodía y por la tarde.

Este acceso le permitió utilizar, sin consentimiento ni conocimiento de su exmarido, la información que buscaba sobre su estado de salud. Su exesposo es un médico del Área IV, correspondiente a Oviedo, de quien se encontraba divorciada desde el 21 de febrero de 2012.

La Audiencia Provincial de Asturias declaró probado que esa facilidad de acceso a los datos le llevó a conectarse, por primera vez, el 22 de junio de 2017, utilizando el ordenador de otra subinspectora del Área III y sus claves de usuario y contraseña. La segunda vez fue el 16 de enero de 2019, desde su propio ordenador. De nuevo volvió a consultarlo el 26 de febrero de 2019, en tres ocasiones, llegando a permanecer en la página durante cinco minutos.

Asimismo, según consta en la sentencia, consultó el historial el 1 de marzo de 2019 desde el ordenador de otra compañera subinspectora.

Los propios magistrados admitieron que la subinspectora debía haber obtenido “poca información” como consecuencia de las consultas informáticas realizadas a través de los programas Womi y Sagitario, por cuanto en esas fechas su exmarido no se encontraba en situación de Incapacidad Laboral Transitoria (ILT) y por tanto no tenía expediente abierto alguno.

No obstante, entendieron que al haber realizado la consulta a través del programa Milennium lo hizo “en la historia clínica de su exmarido y además la duración le permitió tener conocimiento de los datos tanto personales como de su salud que allí estaban recogidos”.

Finalmente, fue condenada en el mes de mayo de 2021 a una pena de dos años, seis meses y un día de prisión, así como a una multa de 3.780 euros, la inhabilitación absoluta durante seis años y a indemnizar a su exmarido con 3.000 euros.

Un mensaje de correo electrónico fue clave

Esta sentencia fue recurrida en apelación por las dos partes ante la Sala de lo Civil y Penal del TSJA que, el 6 de octubre de 2021, estimó el recurso de la mujer, a la que absolvió al considerar que no había quedado acreditado que el acceso lo utilizara después en perjuicio de su exmarido, pero remitió el testimonio a la Agencia Española de Protección de Datos. El fallo desestimaba al tiempo el recurso que había presentado el exmarido.

Los magistrados deducían que la razón que había motivado que la subinspectora iniciara las consultas había sido un correo electrónico que había recibido su hija, donde el padre sugería la posibilidad de padecer una enfermedad grave y donde le comunicaba que ya estaba recibiendo un tratamiento médico y que se estaba planificando un diagnóstico certero y un tratamiento posterior. Un mail al que la hija en común no había respondido.

Contra esta sentencia el exmarido interpuso un recurso de casación en su calidad de acusación particular por infracción de ley y de precepto constitucional, ante la Sala Segunda del Tribunal Supremo que, el pasado 1 de febrero de 2024, le dio la razón.

Bajo su criterio, el perjuicio existió pues con su acción la subinspectora puso al descubierto los datos existentes en las bases, cuyo carácter reservado está “fuera de toda duda”, señala la sentencia, y con ello dañó el derecho de su exmarido a mantenerlos “secretos u ocultos”.

El alto tribunal hace hincapié en que se trata de datos sensibles albergados en ficheros de salud, que por tanto gozan de especial protección. Además, incide en que la salud forma parte de la estricta intimidad de la persona y, de acuerdo a nuestra cultura, se considera “información sensible y es inherente al ámbito de la intimidad más estricta”.

El Supremo finalmente ha dictado una segunda sentencia contra la que no cabe recurso por la que admite los hechos declarados probados y condena a la subinspectora a dos años, seis meses y un día de prisión, multa de 21 meses con cuota diaria de seis euros, con responsabilidad personal de un día de privación de libertad por cada dos cuotas no satisfechas, y la inhabilitación absoluta por seis años y a indemnizar a su exmarido con 3.000 euros.

La pesadilla empezó con una entrada y registro. Y ha durado siete años, hasta que la Audiencia de Barcelona ha archivado el caso del 'hackeo' masivo al Sindicato de Mossos d'Esquadra (SME) tras constatar que, pese a todo el tiempo transcurrido, el material probatorio contra dos investigados era “frágil” y “endeble”.

El abogado de uno de los investigados, Carles Sánchez Almeida, no tiene dudas: “Fueron cabezas de turco”. Se basa el letrado, y la Audiencia de Barcelona le da la razón, en que el único indicio obtenido contra su cliente y la otra investigada –su pareja en el momento de los hechos– en siete años de investigación fue que disponían de un proxy, esto es, un servidor que anonimiza la navegación en Internet. Ambos son ingenieros.

El caso se remonta a 2016. En un contexto marcado por la contundencia de la policía catalana para reprimir protestas sociales, el Sindicat de Mossos d'Esquadra (SME) sufrió un ataque informático y se difundieron datos personales de 5.000 agentes y exagentes de la policía catalana (nombres, apellidos, números de teléfono y cuentas bancarias).

El ataque fue reivindicado por el 'hacker' Phineas Fisher. La intromisión incluyó la usurpación de la cuenta de Twitter del sindicato, desde donde se enviaron tuits llamando a una huelga de policías y emitieron un falso comunicado anunciando la “refundación” del SME en un “Sindicato de Mossos d'Esquadra para los Derechos Humanos”.

Al margen de la burla de los piratas informáticos hacia el sindicato, la Justicia tomó cartas en el asunto para investigar los delitos cometidos por los 'hackers' al destapar datos personales de miles de uniformados. El juzgado de instrucción 33 de Barcelona abrió una causa por revelación de secretos y en enero de 2017 ordenó registrar el domicilio que compartían ambos ingenieros en Barcelona, y otro en Salamanca de un tercer investigado. En 2022, con el visto bueno de la Fiscalía de delitos informáticos de Barcelona, les dejó a un paso del banquillo.

Sin embargo, en una decisión inusual –lo más habitual es que la instancia superior avale la decisión de sentar en el banquillo de los jueces instructores, y ya en el juicio se resuelva el caso–, la Audiencia de Barcelona ha revocado la decisión del juzgado de proponer juzgar a los dos ingenieros.

Solo disponían de un proxy

En su auto, del pasado octubre, los magistrados de la sección 9ª de la Audiencia de Barcelona concluyen que, al contrario que lo expuesto por el juez instructor, “no se refiere de la instrucción del caso ninguna actuación concreta” de los dos ingenieros “con los ignorados autores del ataque”. Todo ello pese a la “intensa y exhaustiva” investigación policial.

Recuerda –y transcribe de forma literal– la Audiencia de Barcelona que el propio informe final de los Mossos concluyó que en los dispositivos confiscados por orden judicial a ambos ingenieros “no se localizó evidencia directamente relacionada” con el ataque, pese a lo cual los dos investigados fueron procesados. Es más, los togados resaltan que, según la investigación de la policía catalana, el ataque al sindicato se produjo mediante un servidor ubicado en Francia y otras ubicaciones extranjeras, y que los dos ingenieros vivían en Barcelona.

El indicio en que se basó el juez para procesar a los dos ingenieros fue el mencionado servidor proxy, que según varios atestados de los Mossos “podría tener relación” con el ataque y con el acceso a “varias páginas web del mundo 'hacker'” por parte de uno de los investigados. Pero esta hipótesis de investigación, agregan los jueces, no ha podido ser confirmada, lo que debe conducir el caso al archivo.

Almeida, letrado con varios lustros de experiencia en delitos informáticos, tilda de “peligrosa” la posibilidad de que la Justicia hubiera aceptado la teoría del fiscal sobre el servidor que tenían los dos ingenieros. “Ello convertiría a cualquiera que tuviera un proxy en un potencial 'hacker'”, alerta el abogado, que celebra la decisión judicial.

Sobre este extremo, la Audiencia de Barcelona se muestra rotunda: “El hecho de configurar un proxy para ocultar una verdadera identificación no permite establecer un indicio de complicidad o cooperación, ni menos de autoría, respecto del gravísimo ataque informático sufrido por la base de datos del sindicato policial”.

“Nada en la investigación”, ahondan los jueces, “conecta” a los ingenieros con los autores del ataque. El desierto probatorio hace que los jueces decidan no sentar en el banquillo a los dos investigados “ante la inexistencia de indicios para continuar técnicamente con la acusación”. “No está justificado ni es admisible que se extienda el perjuicio que implica mantener un procedimiento sin elementos de cargo”, apostillan los magistrados.

Es más, para los togados resulta también necesario poner fin a la causa con el objetivo de “evitar juicios innecesarios que dilapidarían energías no solo procesales sino también económicas y personales”. Pese a la rotundidad de la Audiencia de Barcelona, el fiscal recurrió al Supremo para reabrir la causa, pero finalmente el pasado febrero el representante del Ministerio Público desistió de su propio recurso. Una maniobra que, critica Almeida, “alargó el sufrimiento” para ambos investigados. Finalmente el caso se ha archivado. El mayor 'hackeo' a un sindicato policial de España seguirá teniendo un autor desconocido. Al menos para la Justicia.

Un grupo de hackers ha encriptado el sistema operativo de la empresa pública de Gestión Ambiental de Castilla-La Mancha (Geacam), que gestiona la limpieza de montes y los incendios en esta comunidad autónoma.

Los autores del ataque informático han solicitado 75.000 dólares para liberarlo, según han confirmado a elDiarioclm.es fuentes del Gobierno regional. Una circular interna entre el personal de esta empresa detalla que los ataques se produjeron durante los días 23 y 24 de septiembre.

Tras conocerse el ataque, la empresa pública ha procido a cerrar todos los ordenadores, incluidos los portátiles, y ha puesto la situación en manos del servicio de seguridad del Ejecutivo regional, que gestiona el viceconsejero de Transformación Digital, Juan Ángel Morejudo, y de Telefónica.

Esta última empresa ha enviado ya un equipo especializado para desbloquearlo y están analizando el alcance. Aunque con precaución, las mismas fuentes prevén que se pueda recuperar toda la información, “aunque se pronto para conocer el alcance”.

“La previsión es que mañana, a lo largo de la mañana, si todo va bien, puedan recuperar el funcionamiento. Lo que si hemos dejado claro es que no cedemos al chantaje”, añaden.

Durante este martes, el Gobierno regional ha asegurado que se está trabajando en “diferentes líneas de acción” para normalizar la situación, y resaltan que el problema está “controlado, aislado” y que no ha afectado a ningún otro sistema de la Junta de Comunidades. Como primera medida, se decidió restringir el acceso a todos los equipos informáticos de Geacam y sus aplicaciones corporativas, al tiempo que se aislaron las comunicaciones entre dichos equipos y el resto de sistemas de la Junta.

Estos equipos han sido puestos a disposición del Servicio de Seguridad del Ejecutivo autonómico para su supervisión, un servicio que depende de la Viceconsejería de Transformación Digital, que, a su vez, ha contratado una empresa especializada en la resolución de este tipo de casos.

“La Junta de Comunidades, bajo ningún concepto, pagará chantaje alguno ni cederá ante este tipo de extorsiones e informará de los avances en los trabajos con mucha cautela, dado que el asunto está bajo investigación de los Cuerpos y Fuerzas de Seguridad”, resaltan desde la administración.

Treinta mil puntos de conexión desde Cantabria a la red de redes están expuestos a sufrir un ataque de ciberdelincuentes, según datos del Instituto Nacional de Ciberseguridad (Incibe), hechos públicos por su director, Félix Barrio, durante el reciente encuentro celebrado en Santander por la Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones (AMETIC), que aglutina a compañías digitales y de telecomunicaciones.

De las 29.656 conexiones expuestas el pasado año, lo estaban a causa de software malicioso, o por mala configuración o exposición a internet no deseada, ha informado el Instituto.

Según el Instituto Cántabro de Estadística (Icane), en Cantabria había contabilizados en 2021 más de 203.000 ordenadores conectados a internet, de los cuales 58.850 estaban situados en la capital.

Incidencias en 2022

Incibe ha gestionado el pasado año en toda España 118.820 incidentes, un 8,8% más que en 2021. Del total, 110.294 incidencias, un 22,3% más, han tenido por víctimas a empresas y ciudadanía en general, mientras que 546 se dirigieron a operadores. Las restantes 7.980 incidencias han tenido por escenario la red académica, en su mayor parte con sistemas vulnerables susceptibles de ser atacados.

Las empresas han sido las que se llevaron la peor parte, con un 52% de los ataques. Nueve de cada 10 incidentes se han producido por disponer de sistemas vulnerables. De las incidencias que han afectado a los ciudadanos, el 48% del total, han sido intentos de fraude en dos de cada tres casos.

El 14,40% de las incidencias han tenido una peligrosidad baja, mientras que el 0,001% han sido críticas. La peligrosidad más predominante ha sido la de tipo medio, con el 47,72% de las incidencias, mientras que la alta ha copado el 38,08% de los casos y la muy alta, el 1,81%.

Por sectores, el más atacado ha sido el de la energía, con el 30,4% de las incidencias, mientras que el sistema financiero y tributario ha recibido el 25,3%. El agua, con un 17,2%, y el Transporte, con el mismo porcentaje, se han repartido los demás ciberdelitos.

De entre los servicios que presta Incibe, destaca la evolución del teléfono de asistencia 017. “El servicio 017 marca la diferencia entre España y el resto del mundo, con una media de más de 700 atenciones mensuales para ciudadanos y empresas”, ha señalado.

Un total de 69 personas han sido detenidos por la Policía Nacional en una operación que ha desmantelado un entramado que bloqueaba el sistema de citas online de extranjería mediante un bot informático. Entre los implicados hay abogados, gestores, asesores y otros conseguidores que eran conocedores y conscientes de la existencia de un daño informático contra la web oficial de citas y del correspondiente perjuicio que causaban a los extranjeros que, en muchas ocasiones, “se encontraban en una situación de gran vulnerabilidad y desesperación”, afirman desde la Policía Nacional. 

Gracias a este sistema automatizado lograban hacerse con las citas disponibles para revenderlas posteriormente, a pesar de ser un trámite gratuito. Los ciudadanos extranjeros interesados en solicitar citas se veían obligados muchas veces a recurrir a alternativas, incluso a contactar con los propietarios o intermediarios de los bot a cambio de una contraprestación económica que oscilaba entre los 30 y los 200 euros. La investigación ha permitido identificar a 94 personas presuntamente involucradas en la organización criminal, 69 de las cuales han sido arrestadas y otras 25 investigadas.

La investigación, coordinada por agentes de la Unidad Central de Redes de Inmigración Ilegal y Falsedades Documentales (UCRIF), tiene su origen en la investigación iniciada por la Brigada Provincial de Extranjería y Fronteras de València, judicializada en el Juzgado de Instrucción 8 de Valencia, tras un informe técnico de la Unidad Central de Ciberdelincuencia de la Comisaría General de Policía Judicial. 

Este informe permitió desbloquear una serie de investigaciones, llevadas a cabo por varias Brigadas Provinciales de Extranjería de España, relacionadas con los problemas existentes para acceder al sistema de petición de cita previa por parte de los ciudadanos extranjeros que se encuentran en España. 

Las pesquisas policiales condujeron hasta una red criminal que utilizaba un bot informático, basado en la realización de tareas repetitivas, predefinidas y automatizadas, con el que obtenían la práctica totalidad de las citas personales disponibles, imprescindibles para presentar trámites obligatorios de extranjería en todo el territorio nacional. Como consecuencia, el sistema quedaba inaccesible para los usuarios, interrumpiendo de esta manera el normal acceso a un servicio público gratuito prestado por la Policía Nacional como cuerpo policial competente en exclusiva para la realización de trámites de extranjería en todo el país. 

Los ciudadanos extranjeros interesados en solicitar citas se veían obligados muchas veces a recurrir a alternativas, incluso a contactar con los propietarios o intermediarios de los bot a cambio de una contraprestación económica que oscilaba entre los 30 y los 200 euros. 

Eludía las medidas de seguridad informática

El bot informático desarrollado por la red criminal tenía la capacidad de evitar los mecanismos de seguridad instalados en la página web destinada a la solicitud de citas online, siendo capaz de librar los llamados “captcha” dirigidos a detectar la presencia de este tipo de programas informáticos. Los líderes de la organización, instruían a los intermediarios sobre la utilización de una conexión VPN (Red Privada Virtual), cuya finalidad era la ocultación de la dirección IP real del intermediario y la posibilidad de acceder a un mayor número de citas ya que, este sistema, cambiaba la dirección IP de manera automática evitando que el servidor bloqueara al intermediario por exceso de solicitudes de cita previa. 

En una primera fase de la investigación se realizaron distintas tomas de declaración, análisis económico-patrimoniales de sociedades y otras indagaciones que concluyeron con una primera operación policial en la que se practicaron cuatro entradas y registros. Los investigadores detuvieron a los cuatro principales integrantes de la organización en Barcelona y València e intervinieron gran cantidad de efectos informáticos, diversa documentación y un total de 206.950 euros en efectivo. 

Tras estos primeros arrestos se llevó a cabo una investigación económica en torno a los principales investigados, así como de la empresa utilizada para suministrar servicios de alquiler del bot para la venta de citas de extranjería. Además, se llevó a cabo un análisis de la documentación intervenida en los registros y otras pesquisas que permitieron detectar de la existencia de un grupo de personas que actuaban como intermediarios, en connivencia con los principales investigados que habían sido detenidos.

Alquiler del bot

Los arrestados alquilaban el bot para su uso ininterrumpido sobre el sistema informático de citas onlline introduciendo o transmitiendo datos, de forma que perjudicaba gravemente el normal y correcto funcionamiento de la web de gestión de citas para trámites de extranjería en todo el territorio nacional.

La investigación también permitió localizar una serie de contratos mercantiles entre los intermediarios y los principales investigados para la prestación de servicios de bots online. A través de este documento reconocían que actuaban sobre el bot como responsables del fichero y como propietarios de este recurso digital. Tras el estudio económico, se pudo comprobar que todas las transacciones estaban mencionadas en su concepto como “alquiler robot”. Incluso, se supo que los intermediarios habían recibido grandes cantidades de dinero en concepto de ingresos por la venta de citas de extranjería, provenientes de personas que pretendían solicitar asilo, a las que no quedaba otra opción que la de recurrir a pagar por conseguir una cita que, en circunstancias normales, es gratuita. 

Los intermediarios, abogados, gestores, asesores y otros conseguidores con los que trabajaba la referida empresa, eran conocedores y conscientes de la existencia de un daño informático contra la web oficial de citas y del correspondiente perjuicio que causaban a los extranjeros que, en muchas ocasiones, “se encontraban en una situación de gran vulnerabilidad y desesperación”. 

Para usar bot contaban con una licencia propia para cada intermediario, la cual daba acceso a una hoja de cálculo que era manejada libremente por los intermediarios, cumplimentando los datos de los solicitantes finales de la cita. Esa hoja, una vez cumplimentada, era enviada directamente para nutrir al bot con los datos para que de forma automática lanzase la información aportada a la web una vez se liberaban las citas. El manejo de datos por parte de los intermediarios permitía también la elección de la provincia y el trámite de extranjería a realizar. 

El bot detectaba el momento en el que se liberaban citas en las diferentes provincias y se apropiaba de ellas al tener precargados los datos y estar programado las 24 horas al día controlando la liberación de citas, comprometiendo la operatividad funcional del sistema. 

Segunda fase en Alicante y Cáceres

En una segunda fase, desarrollada en las provincias de Alicante y de Cáceres, se identificó a dos personas responsables de la obtención masiva de citas que llevaban a cabo sus actividades mediante una empresa. Tras realizarse la entrada y registro en un domicilio de la provincia de Alicante, se intervino un ordenador que se encontraba encendido donde se encontraban, entre otras, varias ventanas de navegador abiertas conectadas a la página de citas de la sede electrónica, en el inicio de la solicitud de trámites de extranjería. En otra ventana había una hoja de cálculo que se modificaba de forma automática o remota. 

Una vez finalizadas las dos primeras explotaciones operativas, agentes de la UCRIF Central, en colaboración con varias Brigadas Provinciales de Extranjería y Fronteras de diferentes provincias, realizaron las investigaciones necesarias para identificar y localizar el mayor número posible de integrantes de la organización con función de intermediarios o encargados de alquilar bot, que estaban obstaculizando el normal funcionamiento de la web de la administración pública.

Tras el análisis de la información obtenida hasta el momento se puso en marcha una nueva fase de investigación que ha culminado con la detención de 69 personas de la organización criminal en las localidades de Madrid, Albacete, Alicante, Almería, Badajoz, Barcelona, Vizcaya, Burgos, Cádiz, Córdoba, Baleares, Marbella, Murcia, Tarragona, Tenerife, Toledo y València. Los arrestados son considerados presuntos responsables de los delitos de pertenencia a organización criminal y daños informáticos. Asimismo, hay un total de 25 investigados no detenidos en las provincias de Madrid y Cádiz.

La Guardia Civil de Navarra ha procedido a la detención de dos varones de 47 y 22 años y a la investigación de otro varón de 19 años, vecinos de Valencia, como presuntos autores de los delitos de extorsión, extorsión en grado de tentativa, falsificación de documento privado, pertenencia a grupo criminal y blanqueo de capitales. La denominada 'Operación @Fox22' dio comienzo a raíz de la denuncia interpuesta por un ciudadano en la Oficina de Atención al Ciudadano de la localidad de Leiza, en la que manifestó que, tras haber visitado una web de contactos, había recibido llamadas amenazantes con el pretexto de que había hecho perder el tiempo a las mujeres que ofrecían servicios sexuales en esta página y se le solicitaba el pago de una importante cantidad económica, ha explicado en una nota la Guardia Civil recogida por Europa Press.

Gracias a la rápida actuación de los agentes y a la premura en formalizar la denuncia de la víctima, se consiguió bloquear el pago de 12.000 euros que le habían solicitado los extorsionadores. El modus operandi de este grupo criminal era contactar de forma reiterada e insistente con personas que habían visitado páginas de contactos, haciéndose pasar por los jefes de las mujeres que ofrecen servicios sexuales en estas páginas. Les solicitaban grandes cantidades de dinero con la justificación de haber hecho perder el tiempo a sus supuestas empleadas, bajo amenazas, hasta que conseguían que estas víctimas realizaran los ingresos. Una vez lo realizaban les solicitaban sucesivos ingresos.

El Equipo de la Guardia Civil de Navarra, encargado de la investigación, consiguió localizar a varias víctimas de este grupo criminal a los que llegaron a estafar un total de casi 50.000 euros. Tras una laboriosa investigación lograron identificar a los presuntos autores de esta trama, residentes todos ellos en la provincia de Valencia, desarticulando así este grupo criminal que operaba por todo el territorio nacional.

Euskadi cuenta ya con una fiscal delegada especialista de criminalidad informática, después de que se haya nombrado para este cargo, sin precedentes en Euskadi, a Arantza López Martín. La función de López Martínez, hasta ahora fiscal delegada para estos asuntos en Bizkaia, será la de lograr “una mayor coordinación” entre los tres territorios de Euskadi en materia de delitos informáticos, cada vez más crecientes.

La designación de Arantza López Martín como Fiscal delegada autonómica en Euskadi ha sido publicada este viernes en el Boletín Oficial del Estado (BOE), y se estableció por decreto del pasado 29 de julio de la teniente fiscal de la Fiscalía del Tribunal Supremo, según recoge Europa Press. La fiscal superior de Euskadi, Carmen Adán, propuso el 11 de julio a la Fiscalía General del Estado que fuera López Martín la delegada especialista de criminalidad informática en Euskadi, cargo al que se había postulado también la fiscal de Gipuzkoa especializada en estos delitos, María Vidal Beneyto.

En un escrito del 20 del pasado mes, la fiscal coordinadora de la especialidad emitió informe al Consejo Fiscal favorable a la propuesta de Adán y mostró su conformidad con la “idoneidad y competencia” de Arantza López Martín. Licenciada en Derecho por la Universidad de Deusto en el año 1999, es fiscal desde el año 2006 en el área penal y fue nombrada fiscal delegada de delitos informáticos de Bizkaia en 2011.

Los problemas crecen para E.T., el vecino de Barcelona acusado de difundir en una web datos personales y fotografías de la víctima de 'la manada' de Pamplona. El hombre no se ha presentado al juicio previsto para este martes, por lo que la jueza ha ordenado su detención e ingreso en prisión inmediato al concluir que el acusado “quiere eludir la acción de la Justicia”.

De cara al nuevo juicio, el acusado tendrá otro nuevo abogado ya que su letrado ha comunicado a la magistrada que renuncia a su defensa. El letrado ha intentado localizar durante toda la mañana a su cliente sin éxito. Minutos antes de la breve vista, el letrado ha conseguido hablar con la hermana del acusado, que le ha comunicado que el hombre se encontraría ingresado en el hospital Vall d'Hebron.

Sin embargo el acusado no ha proporcionado ningún documento médico que acredite su ingreso hospitalario, por lo que tanto la Fiscalía, la acusación particular de la víctima de 'la manada' y la popular que ejerce la asociación Dones Juristes han pedido su detención e ingreso en prisión hasta el juicio.

Así lo ha acordado de forma verbal este mismo martes la magistrada Beatriz García-Valdecasas, que ha recalcado que el acusado no ha presentado “una causa motivada” para justificar su ausencia en el banquillo. “No se ha puesto en contacto con el juzgado ni ha presentado un documento médico”, ha recalcado la jueza, que ha mantenido que existe riesgo de fuga en el acusado que solo se puede combatir con su ingreso en prisión. El juicio todavía no tiene nueva fecha.

Quien sí ha acudido al juicio es el representante legal de Foroparalelo, la página web donde el acusado publicó los datos de la víctima de 'la manada'. El portal está en la causa como responsable civil subsidiario, es decir, deberá afrontar el pago de la indemnización a la víctima si el acusado resulta condenado y no puede sufragarla.

La Fiscalía de Barcelona pide dos años y medio de cárcel por un delito contra la integridad moral en concurso con otro de revelación de secretos para el acusado. El fiscal argumenta que E.T. buscaba “burlarse y causar inquietud moral” a la joven cuando colgó, en un foro de Internet, tres publicaciones con datos de la víctima, la imagen de su DNI o su formación académica, así como imágenes de la violación. La acusación popular de Dones Juristes eleva la petición de pena a 3 años de cárcel.

En su declaración como imputado, el vecino de Barcelona alegó que hizo “copiar y pegar” de páginas ya existentes donde sí se habían publicado directamente fotografías y mensajes de la joven que fue violada en Pamplona el verano de 2017. El fiscal comparte que los datos que el acusado colgó en un foro ya estaban “publicados por otras personas en otros foros de Internet o sacados de las redes sociales”, pero no ve en ello un motivo para dejar de acusar.

Un extrabajador del Banco Santander ha sido condenado a tres años de prisión por paralizar más de 3.000 ordenadores y decenas de sucursales durante casi una semana en marzo de 2017. El condenado, que ha recurrido esta sentencia ante el Tribunal Supremo, puso en marcha un mecanismo conocido como 'bomba lógica' desde su puesto en la ciudad financiera del banco en Madrid que entró en funcionamiento días después de su despido, aunque los tribunales no han conseguido determinar el móvil de su actuación. Si esta sentencia es confirmada, el extrabajador del Santander tendrá que entrar en prisión a cumplir condena.

La documentación judicial del caso, a la que ha tenido acceso elDiario.es, revela que el condenado era administrador de red en una empresa de informática que, en ese momento, prestaba sus servicios en la ciudad financiera del Banco Santander, el complejo de 250 hectáreas que el banco tiene en el municipio madrileño de Boadilla del Monte. Era marzo de 2017 y la empresa le comunicó que estaba despedido. Fue entonces cuando, según la Justicia, puso en marcha un mecanismo para atacar miles de ordenadores de cientos de oficinas desde el corazón de la entidad que preside Ana Patricia Botín.

Creó lo que se conoce como 'bomba lógica' o, en este caso, también 'bomba de tiempo': un malware preparado para entrar en acción cuando se da un evento, desde un inicio de sesión hasta la llegada de una fecha específica o el final de una cuenta atrás. En este caso, la 'bomba lógica' entró en funcionamiento el 21 de marzo de 2017, dos semanas después de su despido, y masacró la red informática del banco más grande del país durante seis días: un total de 3.168 ordenadores inutilizados en 839 oficinas de todo el país y un perjuicio económico tasado en más de 290.000 euros para la entidad.

El banco convocó un comité de crisis mientras pensaba, en un primer momento, que se trataba de un incidente operativo. El análisis de los ordenadores infectados detectó, sin embargo, un sabotaje informático en los sistemas de arranque.

Los investigadores no tardaron mucho tiempo en llegar al ordenador del trabajador que había sido despedido apenas unas semanas antes. En su ordenador había un archivo Excel de más de 40.000 líneas correspondientes a los ordenadores afectados. Desde ahí, además, se había conectado al fichero 'reboot' para ver que todo se había instalado correctamente y que el desastre informático estaba preparado para el 21 de marzo. Ese día estaba él solo en la oficina y había intentado, sin éxito, borrar su rastro tras conectarse a las 'máquinas de salto' que dan acceso a todos los ordenadores que finalmente saboteó en oficinas de todo el país.

Su horizonte judicial acaba de empeorar notablemente. Después del juicio, la Audiencia Provincial de Madrid le impuso un año y 9 meses de prisión por un delito de de daños en sistemas informáticos, condena que no implicaba su entrada en la cárcel, pero el Tribunal Superior de Justicia de Madrid acaba de elevar la pena hasta los tres años de prisión tras estimar un recurso de la Fiscalía. También crece su condena económica hasta los 99.000 euros con los que debe indemnizar a Produban, empresa propiedad del Banco Santander para la que trabajaba en ese momento a través de otra empresa de servicios informáticos. La responsabilidad civil subsidiaria recae en la empresa que directamente le pagaba la nómina, llamada entonces Norma 4.

Los jueces del Tribunal Superior de Justicia de Madrid endurecen su condena al entender que se le debe aplicar una versión más grave del delito de daños informáticos que desarrolla el artículo 264 del Código Penal. Una condena reservada para los que usan un programa informático específico para afectar o interrumpir de manera “grave” un sistema informático ajeno, en este caso la red de ordenadores de las sucursales del Banco Santander. En el juicio la Fiscalía llegó a pedir 5 años de prisión y una multa de más de 800.000 euros. Tanto la entidad como la empresa Produban - hoy Santander Global Technology - ejercieron la acusación en el caso.

La condena del acusado, según confirman fuentes del caso a elDiario.es, todavía no es firme y no ha entrado por tanto en fase de ejecución. Su defensa ha presentado un recurso ante el Tribunal Supremo y será la decisión de la sala de lo Penal la que ponga en marcha la fase final del caso. Una ratificación de su condena de 3 años de cárcel implicaría su entrada obligatoria en prisión aunque carece de antecedentes penales. Consultado por elDiario.es por este asunto, Banco Santander ha declinado hacer comentarios.

El móvil, irrelevante

La sala segunda del Tribunal Supremo tendrá que decidir en los próximos meses si inadmite o estudia el recurso del extrabajador informático del Banco Santander y analizar sus alegaciones: que las periciales no le pueden atribuir la creación o activación de la 'bomba lógica', que no hay pruebas que demuestren que suplantó a uno de sus compañeros para poner en marcha el proceso e, incluso, que él mismo fue víctima de una suplantación de identidad por la persona que ejecutó el ataque informático masivo. Además, dijo, no se ha acreditado qué le llevó a tumbar más de 3.000 ordenadores varias semanas después de su despido.

Es cierto que esa última incógnita nunca ha sido despejada por los investigadores. Los hechos probados no recogen la razón que le llevó a poner en marcha la 'bomba lógica' y él, en sus declaraciones ante los jueces, ha negado ser el autor del sabotaje. El Tribunal Superior de Madrid explica que su intención era “causar un daño patrimonial” al banco, y explica que el propósito subyacente no es importante: “No siendo relevante cual era el móvil en clave de satisfacción particular que perseguía”, dice el TSJ de la capital.

La primera sentencia del caso, que tuvo que ser posteriormente matizada por un auto, no se refirió al caso concreto pero analizó en términos generales el uso que se da a estas 'bombas lógicas' en otros casos similares. “Los empleados descontentos han creado bombas de tiempo para ejecutar dentro de las redes de sus organizaciones y destruir la mayor cantidad de datos posible en caso de que sean despedidos”, dijo la Audiencia Provincial de Madrid.

Otro de los grandes debates de este proceso judicial ha sido el dinero: determinar el agujero económico que el sabotaje provocó en las cuentas del Banco Santander y el dinero que la entidad tuvo que invertir para solventarlo. Las acusaciones pidieron más de 800.000 euros en multas además de una indemnización de 292.000 euros para el Banco Santander, cantidad que los hechos probados reconocen como la que perdió la entidad a través de un peritaje. La Audiencia de Madrid, en su primera sentencia, obligó al extrabajador a indemnizar al banco con 33.000 euros sumando el dinero que pagaron a Deloitte para hacer frente al ataque informático y el tiempo que dedicaron los propios empleados del banco.

En la segunda sentencia esta cantidad se triplica hasta rozar los 100.000 euros al seguir las directrices del nuevo delito agravado que le atribuyen, pero los jueces siguen sin obligarle a abonar otros 200.000 más por los trabajos pagados a El Corte Inglés, al entender los magistrados que “nada se preguntó en el acto de la vista relativa a los trabajadores de El Corte Inglés, en ningún momento se mencionó esta intervención, ni se trajo a ningún responsable para explicar los trabajos realizados, luego dado que la prueba corresponde a la parte, no puede recogerse este concepto”.