La xarxa de lladres de criptomonedes desarticulada per la Unitat Central Operativa (UCO) de la Guàrdia Civil, que ha permès la detenció de cinc persones, inclòs un col·laborador del capitost assentat a València, tal com va informar aquest dimarts en exclusiva Levante-EMV, diari que pertany al mateix grup editorial que Diari de Girona, està acusada de robar 6 milions d'euros en moneda virtual d'una plataforma espanyola d'inversions en aquesta mena de diners, que té 100.000 usuaris en 22 països. L'assalt informàtic es va perpetrar l'agost de 2020, però, segons ha informat avui la Guàrdia Civil, va començar a planificar-se i executar-se molt abans.

De fet, els ara detinguts es van colar en el sistema informàtic de l'empresa d'una manera totalment enginyosa i nova: a través d'una web de descàrregues pirates de pel·lícules. D'aquesta manera, un empleat de la signatura hackejada va ficar sense saber-ho un troià en la signatura, que es va instal·lar en el seu ordinador camuflat entre els arxius que formaven la pel·lícula que es va descarregar de manera il·legal en l'ordinador del treball. Fent gala d'una paciència reptiliana, els pirates van esperar sis mesos a cometre el robatori definitiu. En aquest temps, i després d'aconseguir el control absolut de l'ordinador de l'empleat mitjançant la introducció del virus camuflat en la descàrrega de la pel·lícula, van poder espiar els «procediments, característiques i estructura de l'empresa», segons ha informat la Guàrdia Civil, accedint per mitjà d'una xarxa d'ordinadors interposada per a donar l'ordre de transacció de criptomonedes per valor de 6.000.000 d'euros.

Bloquejat 6 mesos en carteres virtuals

Aquests diners virtuals van ser transferits, com és habitual, a carteres virtuals ('wallets'), on sol quedar-se bloquejat ('staking') durant un temps amb la finalitat de rebre guanys o recompenses. En aquest lapse, l'amo dels diners no pot disposar lliurement d'ell, imitant els bloquejos de molts productes financers clàssics. No obstant això, en aquest cas, els lladres van utilitzar el sistema de 'staking' per a no aixecar sospites davant la recerca policial que ja pressuposaven en marxa. Així, van mantenir les criptomonedes immobilitzades durant un altre mig any més, després de la qual cosa van iniciar el moviment dels diners, el rastreig dels quals ha estat extremadament complex i per al qual els experts del Departament de lluita contra el Ciberdelicte de l'UCO han comptat amb la col·laboració d'una empresa privada experta en ciberseguretat, que va ser qui va detectar els processos de hackeig abans d'interposar la denúncia. Un dels principals esculls en aquesta mena d'investigacions resideix precisament en la mateixa naturalesa de les criptomonedes, la traçabilitat de les quals és molt més complexa que la dels diners de curs legal perquè les transaccions estan emparades en l'anonimat més pur.

Ciberdelinqüents d'alta volada

Així i tot, en analitzar els procediments utilitzats pels pirates informàtics, els investigadors es van adonar, entre altres coses pel temps que van romandre dins del sistema informàtic, que s'enfrontaven a cibercriminals altament sofisticats, els coneguts com APT (Amenaces Persistents Avançades). Una vegada conclòs el que van considerar el període de seguretat necessari, els hackers van començar a moure els 6 milions d'euros en criptoactius fent servir un complex entramat de carteres electròniques de blanqueig de capitals. Fent un treball clàssic d'investigació criminal, els agents van començar a recórrer el camí dels delinqüents en sentit invers. Així, van arribar a l'operador de la pàgina web de descàrregues des d'on es va oferir la pel·lícula amb la qual van temptar a l'empleat de la plataforma espanyola de compra i custòdia de criptomoneda, qui va ser detingut després que els agents trobessin proves que va percebre la seva part, evidentment, en moneda virtual.

El moviment dels diners

Continuant el recorregut, van arribar fins a quatre dels internautes que suposadament es van prestar a col·laborar a canvi de diners virtuals, i que no guardaven relació aparent entre si, segons remarca la Guàrdia Civil en el seu comunicat. Una vegada identificats els sospitosos, els investigadors van posar en marxa, al novembre de l'any passat, la primera fase de la batejada com a Operació 3Coin, amb la detenció i investigació d'aquestes quatre persones a Tenerife, Bilbao i Barcelona. Els agents els van intervenir material informàtic «de gran interès per a la investigació», així com criptomonedes per valor de 900.000 euros relacionades amb el robatori.

Analitzat tot el material intervingut en aquests registres, els agents van poder constatar rastres de la suposada autoria de l'atac per part d'un dels detinguts, localitzant el malware de tipus troià utilitzat i la traçabilitat del ciberatac, així com els moviments inicials de les criptodivises sostretes i el pagament en les mateixes al titular de la pàgina web de descàrregues des d'on es va llançar el virus. Una vegada constatada la suposada autoria del ciberatac, la investigació es va centrar en la identificació dels possibles receptors de les criptodivises sostretes i la seva vinculació amb el primer, arribant els investigadors fins a un altre individu, el qual va rebre almenys 500.000 euros en criptodivisa robada, segons el comunicat de la Guàrdia Civil.

Un xaman a València expert en el gripau

Conclosa aquesta fase, els agents van continuar amb la recerca i van detectar una certa 'fugida de diners' que tenia per destí València. Aquest rastre els va portar fins a la part menys 'ciber' de l'entramat: el presumpte camell del capitost del robatori. Així, segons les fonts citades, l'assalt a l'apartament de l'edifici Ros Casares de València tenia per objectiu la detenció d'una altra persona, «la qual exercia un control sobre el suposat autor a través del consum de drogues vinculades a rituals com el del gripau», el mateix que manté investigat a Nacho Vidal per la mort d'un fotògraf a la seva casa d'Enguera, malgrat que els últims informes toxicològics a partir de les mostres preses al cadàver del mort durant l'autòpsia podrien afavorir a l'actor porno.