En un operativo llevado a cabo por la Unidad Central Operativa (UCO) de la Guardia Civil, se ha logrado la detención de dos individuos en Asturias y Sevilla, sospechosos de llevar a cabo alrededor de cien ciberataques contra Administraciones Públicas y entidades privadas. Entre los afectados se encuentra la empresa de ITV de Asturias, Itvasa.

Según la información proporcionada por la Guardia Civil en un comunicado, las detenciones tuvieron lugar durante el otoño. La investigación determina que ambos individuos, utilizando el alias 'GUARDIACIVILX', llevaron a cabo ciberataques contra Itvasa, así como contra los Ayuntamientos de León, Salamanca, Vitoria, Bermeo y Basauri, entre otros. También se vieron afectadas la Universidad Autónoma de Madrid, Diputaciones de Jaén y Málaga, Servicio Cántabro de Salud, Banco Atlántida, Ministerio de Cultura de Argentina, Ministerio de Salud de Perú, Poder Judicial del Estado de Txascala en México, entre otras entidades. Cabe destacar su interés en el robo de información de redes de farmacias.

Los dos detenidos trabajaban de manera conjunta en la ejecución de estas actividades delictivas. Bajo el seudónimo 'GUARDIACIVILX', uno de ellos se autoproclamaba como un vendedor de credenciales de acceso a servicios remotos y correos electrónicos corporativos. Ofrecía la venta privada de credenciales de acceso a un portal de consultas de vehículos de la Dirección General de Tráfico (DGT) e Itvasa.

Para llevar a cabo estas transacciones, el individuo exigía un pago inicial de 13.000 dólares, siendo detenido en el momento en que intentaba realizar la venta. Además, se ha descubierto que trató de vender una base de datos con información de más de 200.000 personas. Además, se ha podido rastrear una serie de cuentas de criptomonedas relacionadas con este "actor nacional", confirmando que muchas de ellas estaban vinculadas a distintas casas de cambio de criptomonedas, desde donde se llevaron a cabo los pagos por las credenciales de acceso conseguidas de forma ilegal.

Ambos detenidos son responsables de obtener accesos no autorizados a redes informáticas y credenciales corporativas, tanto públicas como privadas, ofreciendo su venta, así como de bases de datos y conjuntos de información comprometida en el mercado del cibercrimen.

La investigación se inició tras relacionar una serie de ciberataques con la información encontrada en análisis de material incautado en investigaciones previas. Fue así como se descubrió un canal en Telegram donde se compartían accesos fraudulentos a diversas administraciones públicas de importancia.