Cuenta un experto policial a este diario que la última reventa de un paquete de datos íntimos de políticos españoles se ofrecía en la web oscura a precio rebajado, solo 2.000 euros, hace tan solo dos semanas.
Se trata de material reciclado, copia de listados de segunda mano reagrupados y reempaquetados para llevarlos a subasta… cuatro meses después de que policías de la Comisaría General de Información, con colaboración del CNI, detuvieran en Gran Canaria a dos jóvenes de 18 y 19 años, uno dedicado a vender bases de datos con nombres, teléfonos y domicilios de dirigentes públicos que empezó a reunir siendo menor de edad; el otro, encargado de monetizar la venta, guardando parte de los ingresos en criptomoneda.
Seis meses antes, en Calpe (Alicante), había caído en manos de la Policía otro chaval, este aún más joven, de 14 años, que con el mote de Natohub -entre otros- asaltaba webs relacionadas con el Ministerio de Defensa para robar información.
El premio ya no es solo la notoriedad ni la diversión. Ni es solo por la adictiva emulación y la superación de retos informáticos. Ahora también hay dinero.
Todos estos elementos impulsan a una nueva hornada de menores cibercriminales en España. La Seguridad del Estado sabe de la existencia de un centenar (la cifra varía por rachas) con potencial suficiente para hacer daño a servicios públicos y encender alarmas en infraestructuras críticas. Y no con para denegar el servicio o reventar las webs, sino para entrar y vender a delincuentes mayores, como los niños ladrones de Oliver Twist, los datos que puedan robar.
Delincuencia y política
Corrobora la tendencia el caso de N4t0x. Así se hacía llamar otro adolescente, este de Gelida (Barcelona), detenido el pasado 9 de octubre tras haber difundido con otro menor de Albacete un listado de datos personales de políticos y dirigentes de la Seguridad del Estado, incluida la directora del CNI, Esperanza Casteleiro.
La lista SpainData -comercializada clandestinamente con ese nombre- lleva datos básicos, que se pueden obtener de una copia robada del censo electoral, pero causaron en el entorno político una fuerte impresión de vulnerabilidad, especialmente cuando un miembro del Gobierno, antes de que trascendiera el robo, empezó a recibir llamadas de gamberros en su teléfono personal.
No son actores de los llamados “ataques de Estado” en internet. No se ha acreditado que los muevan potencias extranjeras… salvo en el caso de los tres ciberactivistas detenidos por la Guardia Civil en julio de 2024 en Manacor (Mallorca), Sevilla y Huelva como peones del grupo saboteador ruso NoName057. La amenaza que representan estos adolescentes con habilidades informáticas es una veta de la ciberdelincuencia y no de la guerra híbrida, si bien su interés por entes y personalidades del Estado los aproxima al campo político del ciberataque y al territorio penal del ciberterrorismo.
El caso más acusado se ve en la lucha antiyihadista: una importante porción de propagandistas del terrorismo islamista detenidos en 2024 y 2025 eran menores. Pero estos no tenían conocimientos para asaltar páginas web, solo para utilizar en su proselitismo todo tipo de redes sociales.
Pandemia tras la pandemia
El crecimiento de la ciberdelincuencia es exponencial en el mundo, si bien en España se ha atenuado este año con “una significativa recesión”, dijo la secretaria de Estado de Seguridad, Aina Calvo, el pasado día 4 a la Comisión de Interior del Congreso.
En el Centro Criptológico Nacional, CCN, el organismo de ciberdefensa integrado en el servicio secreto español, prefieren no llamar “hackers” a estos menores, pues esa palabra denomina también a los que no delinquen.
Prapra123 was arrested in 2024 for his alleged responsibility for numerous attacks on Spanish institutions, Interpol and the Mossos. He had a Telegram channel to negotiate sales / El Periódico
Para el subidrector general del CCN, Javier Candau, el fenómeno es hijo del confinamiento por el covid. “En 2020 tuvimos la pandemia de coronavirus, y en 2021 la pandemia de ransomware”, cuenta, en alusión a programas infecciosos que dan al atacante el control de un ordenador o teléfono móvil. “Y eso pasó porque, durante el confinamiento, se multiplicó el teletrabajo y la compraventa por internet, y se dieron miles de contraseñas y credenciales de acceso a redes”.
Para Candau, el retrato robot del ciberdelincuente español es el de “una persona muy joven, muchas veces por debajo de los 18 años, que utiliza procedimientos avanzados pero no demasiado, con casos de gente de 16 que luego sigue en el negocio a los 22, 23, 24 años hasta que comete fallos y los detienen”. Esos jóvenes, “que a veces han dejado los estudios, ven que el retorno de la inversión es muy elevado -la venta de lo que consiguen robar-, y eso es un poderoso efecto llamada”.
Modus operandi
Entre las ventas que hacen en la llamada dark web “a veces hay mucho cuento, con ficheros reciclados”, explica un agente policial que trabaja en esta área. Antes, lo que buscaba un menor en este mundo era hacerse conocido por su habilidad para colapsar una web, ponerle su sello y ser jaleado por otros miembros del club. La media de edad estaba entre los 20 y los 30 años.
Uno de los rasgos comunes entre estos delincuentes es su abundancia de motes o nicknames y su carencia de antecedentes, “lo cual dificulta su rastreo”, relata la fuente policial mencionada. Además, muchos no han tenido tiempo de reincidir tras su primer encontronazo con la policía, salvo el notorio caso de Alcasec, hoy en prisión por su supuesta implicación en el robo y venta de datos en el que también está siendo investigado el exsecretario de Estado de Seguridad Francisco Martínez.
El otro rasgo común es su intención de monetizar rápido lo que haya conseguido copiar, por lo que a menudo venderá muy a la baja. Esa actitud se reproduce en todos los casos, salvo si lo que se vende ya no es un paquete, sino una llave de acceso a una red.
Lucrarse rápido
A raíz de sus investigaciones más recientes, el área de cibercrimen de los Mossos d’Esquadra tiene delimitados más rasgos de esta amenaza. Los contó en las jornadas STIC de ciberdefensa, organizadas por el CCN-CNI en Madrid a finales de noviembre, el experto de la policía catalana Óscar Ramos. Son menores de edad o jóvenes muy jóvenes, de clase media, generalmente sin trabajo, que han aprendido solos o están cursando estudios técnicos que implican conocimientos de informática.
Óscar Ramos, cybercrime expert from the Mossos d’Esquadra, in a talk during the conferences on cyber defense organized by the CNI / JJF
Su objetivo, según los apuntes de los Mossos, suele ser una gran corporación o las administraciones públicas. Y su herramienta es la averiguación de vulnerabilidades, puntos flacos de la web víctima, y su intrusión utilizando credenciales a su vez filtradas por otro ciberdelincuente.
De las últimas cinco operaciones contra este fenómeno en las que ha tomado parte los Mossos -a solas o con el CNI, Policía Nacional y Guardia Civil- solo en una, Ovella, el detenido era mayor de edad, pero tenía 19 años. En las demás operaciones -Hermes, Cristofol, Ninkasi y Novell- cayó un menor y el sabotaje fue exfiltración de datos.
El propio cuerpo policial catalán se ha visto atacado cuando un hacker llamado Prapra 123 robó datos de sus agentes. Tiene resumido Ramos ante los especialistas la evolución del fenómeno: “Hace diez años, se contentaban con vulnerar la wifi del vecino o hacerle defacement (alterar la apariencia) a una página web; ahora acuden a foros de exfiltración y venta de datos porque es lo más lucrativo: hay mucha gente dispuesta a comprar”.
Gadgets inquietantes
Las fuentes policiales consultadas coinciden en que en los golpes al cibercrimen es fundamental el “análisis en caliente”, entrar en el ordenador del delincuente lo antes posible, en su misma casa y ante representante del juzgado, para que se pierdan los mínimos datos.
El análisis exige rigor a veces extenuante, pues por todas partes surgen novedades. Ocurre con el último gadget de moda entre los aficionados que del gamberrismo informático pasan a la ciberdelincuencia. Se llama Flipper Zero, viene de China y amenaza con ser un quebradero de cabeza para la policía también en España. Parece un pequeño mando a distancia. Dentro tiene una placa que es capaz de copiar la señal de otros mandos a distancia… y también de una visa a la hora de pagar. Con él, un ladrón puede abrir un coche o un garaje previamente capturados, o duplicar sistemas de pago.
Estos pequeños aparatos se venden en canales legales de venta online como Amazon o Ali Exprés por entre 200 y 400 euros. No hay limitación legal aún para su entrada en España. Nuevamente la mercancía valiosa es la clave de acceso. El último Flipper Zero que la Policía Nacional interceptó en una venta entre ladrones en Madrid llevaba cuatro visas y cuatro mandos domésticos clonados dentro.
De momento la única defensa contra esa innovación es contar con receptores Rolling Code en las puertas de los garajes, no abrir los coches a distancia -el aparato puede copiar a 50 metros- y llevar bien protegidas las tarjetas de crédito.
Subscribe to continue reading