Dentro del bastión de la Guardia Civil contra los cárteles del ciberespacio
En entrevista con CSO, el teniente coronel Juan Sotomayor, jefe del Departamento contra el Cibercrimen, cuenta cómo ha evolucionado la ciberdelincuencia hasta convertirse en una actividad con complejas estructuras internas, como las del Grupo Conti o del ciberestafador español Lupin.
Desde la fachada de su sede en Madrid, nada indica que se está por entrar a las oficinas de la Unidad Central Operativa (UCO) de la Guardia Civil, el grupo que se encarga de las investigaciones más complejas que llegan a la agencia. Ni carteles, ni uniformados resguardando la entrada, nada. Dentro, el espacio que ocupa el Departamento Contra el Cibercrimen es igual a su exterior: anodino y gris. Ni grandes pantallas divididas en pequeñas pantallas ni letras verdes escribiéndose sobre fondos completamente negros. Sólo una seguidilla de puestos de trabajo con alguna que otra decoración en la mesa que hacen recordar a las de Dunder Mifflin en la serie estadounidense 'The Office'.
Podrían ser las oficinas de cualquier empresa de seguros, pero hay algunos sutiles indicios que hacen recordar que se trata del lugar de trabajo de quienes persiguen a “los malos”, como ellos les llaman, del ciberespacio. Al fondo, en el perchero, junto a abrigos y bufandas, una máscara reconocible, la de Guy Fawkes que utiliza el revolucionario antifascista de la película 'V de Vendetta'. La misma que hoy usa como icono el famoso grupo de hacktivistas Anonymous. Y en uno de los pilares, un póster de Lupin. No el ladrón de la literatura francesa, sino el joven español reconocido como uno de los mayores ciberestafadores del país, cuya captura es uno de los más grandes orgullos del Departamento contra el Cibercrimen del último tiempo. Pero ya hablaremos de Lupin.
De delitos informáticos al cibercrimen organizado
El Departamento contra el Cibercrimen no siempre se ha llamado así. De hecho, el 1 de abril cambió su nombre y desechó el de Departamento de Delitos Telemáticos, que desde su creación en 1997 había quedado obsoleto. En conversación con CSO, el teniente coronel Juan Sotomayor, jefe de esta unidad, explica la razón. “Hemos pasado del delito informático, donde estaba mitificado el ciberdelincuente y siempre era esa persona introvertida, que estaba todo el día detrás del ordenador, un chaval joven, un cerebrito, y hemos pasado -que es lo que hemos intentado reflejar en el cambio de nombre- a grupos organizados de cibercrimen”.
Teniente coronel Juan Sotomayor, jefe del Departamento contra el Cibercrimen.
"Hemos pasado de tener 4 a 5 agentes que hacían delitos informáticos a tener casi 1.000 agentes dedicados de forma permanente al cibercrimen"
Para Sotomayor, el mejor ejemplo de la gran empresa en la que ha evolucionado el cibercrimen es uno reciente, el del Grupo Conti, un grupo de ciberdelincuentes de ransomware de origen ruso, bieloruso y ucraniano que desde su aparición en 2020 se ha transformado en el terror de los gobiernos. Según el teniente coronel, sus integrantes comenzaron a tener diferencias a raíz de la invasión a Ucrania, lo que llevó a que se hiciera pública mucha información sobre cómo operaba el grupo. “Nos han demostrado cómo los grupos de cibercrimen ya están perfectamente estructurados, donde hay gente para todo”, desde reclutadores de programadores, hasta expertos en marketing digital (para poder llegar con las infecciones a más gente) y brokers que están revisando en tiempo real el mercado del cibercrimen para comprar credenciales de acceso a organizaciones y extorsionarlos con el secuestro de su información.
Otro ejemplo más cercano es, justamente, Lupin. Es inevitable hablar de Lupin cuando se trata del Departamento contra el Cibercrimen, ya que este ponferradino de sólo 25 años -cuyo verdadero nombre es Jordi Arias Fernández- se transformó en la piedra en el zapato de los agentes de la UCO. El modus operandi era simple: creaba páginas web falsas de tiendas de informática (copiando a veces los diseños de reconocidas marcas como Wallapop o Milanuncios) para que los clientes compraran productos que nunca les llegarían. Con este truco estafó a más de 10.000 personas y logró beneficios que ascendían a los 300.000 euros al mes.
Quizás el truco era simple, pero la estructura que sustentaba su negocio no lo era. Como narra Sotomayor, para soportar financieramente sus estafas, Lupin tenía a alguien que se dedicaba a buscar a jóvenes de entre 18 y 21 años que dieran de alta teléfonos móviles y cuentas bancarias, que luego vinculaba en sus páginas web falsas. También contaba con personas que diseñaban los portales del fraude y otras que hacían labores de marketing digital para posicionarlos bien en internet. “Muchas veces parte de esta estructura es relativamente legal, la empresa de marketing digital a lo mejor no se está dando cuenta que la actividad que le han contratado es para cometer delitos”, dice Sotomayor. Por eso, insiste en la importancia de que en estos casos las empresas afectadas denuncien una vez que se den cuenta.
El ciberestafador Lupin siendo detenido por la Guardia Civil.
La gran ‘madurez delincuencial’, como dice el teniente coronel, en el ciberespacio ha llevado al consecuente crecimiento del Departamento contra el Cibercrimen. “Hemos pasado de tener 4 a 5 agentes que hacían delitos informáticos a tener casi 1.000 agentes dedicados de forma permanente a los distintos niveles de amenaza que supone el cibercrimen y los ciberdelitos, y hemos pasado de tener herramientas muy básicas de investigación, donde no interveníamos ordenadores porque no teníamos capacidades de análisis forense, a tener herramientas muy avanzadas de extracción y manejo de evidencias digitales”, sostiene.
Los tres ámbitos del cibercrimen
A nivel europeo, el cibercrimen se divide en tres áreas: los ciberataques o hacking, los fraudes digitales y la explotación sexual de menores a través de internet. Según Sotomayor, más del 90% del cibercrimen tiene motivación económica, por lo tanto la rama del fraude digital es a la que más tiempo y recursos se destina. En este ámbito, tanto el phishing bancario como la suplantación de portales de venta de electrónica (como en el caso de Lupin), son los principales tipos de fraude que afectan a las personas en el ciberespacio.
En cuanto a la investigación de los casos, el jefe del Departamento contra el Cibercrimen asegura que “hacemos el ciclo completo”: recaban la información, la analizan, la graban en los sistemas de inteligencia policial, la valoran y abren el caso, la trasladan a la autoridad judicial, hacen las detenciones y el registro de empresas o domicilios, gestionan la detención y la intervención de los dispositivos, así como también el análisis forense posterior de toda la evidencia intervenida, y finalizan con la realización de los informes incriminatorios sobre las personas identificadas.
"Es importantísima no solamente la denuncia, sino también la notificación, porque hay muchos delitos que son perseguibles de oficio, que sólo con una comunicación ya podemos iniciar una investigación"
Normalmente, una investigación comienza con una denuncia por parte de la víctima. Pero Sotomayor recalca que no es la única forma de iniciar una indagación. Tanto la Guardia Civil como otras entidades públicas, como INCIBE, cuentan con canales para recibir notificaciones o informaciones sobre posibles delitos en el ciberespacio. La Guardia Civil las recibe a través de la sección de Colaboración Ciudadana de su web, de sus redes sociales o, en el caso específico de la explotación sexual de menores en internet, en el correo pornografia-infantil@guardiacivil.org. “Es importantísima no solamente la denuncia, sino también la notificación, porque hay muchos delitos que son perseguibles de oficio, que sólo con una comunicación, no con una denuncia, ya podemos iniciar una investigación”, añade Sotomayor.
Las tecnológicas, el gran aliado en la lucha contra la ciberdelincuencia
En una investigación de ciberdelitos, toda la evidencia se encontrará en internet, y para acceder a ella, los agentes del Departamento contra el Cibercrimen deben tener una estrecha colaboración con las operadoras de telecomunicaciones o con los servicios over the top (OTT) como Google, Whatsapp o empresas de redes sociales.
En el ámbito de la pornografía infantil es dónde más fuertemente se da esta cooperación. En Estados Unidos, por ejemplo, se creó un entorno de colaboración público-privada llamado Nec-Mec, integrado por las distintas agencias policiales y los principales proveedores de servicios digitales de ese país. “Nec-Mec se ha convertido en el gran detective contra los abusos sexuales infantiles. Como reciben todas las evidencias y datos de Facebook, Whatsapp, Instagram, Gmail, Hotmail y otros, ellos a partir de ahí generan casos y los trasladan a las agencias de policías a nivel internacional”, cuenta Sotomayor.
Esa información que provee Nec-Mec viene completamente anonimizada, por lo que no choca con los distintos reglamentos de protección de datos alrededor del mundo. Una vez analizada la evidencia, si existe una contundente posibilidad de que se trate de un hecho delictivo, es el poder judicial el que autorizará el acceso a los datos personales del sospechoso, que la operadora u OTT deberá proveer para su identificación y detención.
El volumen de información que genera esta alianza es tan grande, que “sólo con los expedientes de Nec-Mec no tenemos recursos suficientes para poder atender todos, en ninguno de los países. Tendríamos que tener miles de personas para atender todos los expedientes que llegan del Nec-Mec”, afirma Sotomayor. No obstante, el Departamento contra el Cibercrimen también investiga las denuncias y notificaciones que le llegan directamente a su correo electrónico.
El laboratorio del Departamento contra el Cibercrimen de la UCO, Guardia Civil.
"Existen muchísimas herramientas facilitadoras del cibercrimen, que les proveen de servicios totalmente anónimos. Las criptomonedas, herramientas de cifrado, los servicios VPN y todo lo que es la dark web"
“Hace poco hicimos una operación donde tuvimos a una persona en Marbella que se dedicaba a captar menores jugando a 'Fornite' y luego los extorsionaba, iba obteniendo material pornográfico de ellos, que luego intercambiaba en entornos suyos privados. No sabíamos quién era, pero la colaboración con Epic Games fue muy buena y a partir de ahí recogimos un montón de evidencia electrónica e identificamos a la persona”, recordó el jefe de la unidad. Gracias a esto, la UCO logró identificar no solamente al menor denunciante, sino que también a otros 35 que fueron extorsionados por la misma persona.
A pesar de todos estos esfuerzos, el teniente coronel advierte que la impunidad en el cibercrimen es casi absoluta, “porque existen muchísimas herramientas que son los elementos facilitadores del cibercrimen, que les proveen de servicios totalmente anónimos. Las criptomonedas son una, otra sería las herramientas de cifrado, los servicios VPN y todo lo que es el negocio y los portales vinculados con la dark web".
Ésta es una de las tareas diarias y clave del Departamento contra el Cibercrimen, y Sotomayor manifestó que "estamos todas las fuerzas de policía, todos los días, intentando diseñar líneas de acción y procedimientos que nos permitan romper ese anonimato” y así poder acceder al complejo entramado que hoy supone el cibercrimen organizado.
