La Policía Nacional y el CNI neutralizan una red de ciberinteligencia con información sensible de millones de ciudadanos

Realizaban ciberataques sistemáticos y sostenidos en el tiempo contra infraestructuras informáticas de organismos públicos, empresas del sector energético, puertos, sistemas de transporte, redes telefónicas y plataformas educativas.

La red había desarrollado una plataforma tecnológica integrada que permitía almacenar, indexar y comercializar datos segmentados, individualizados y vinculados a personas físicas, entidades jurídicas y operaciones institucionales.

Toda la operativa estaba alojada en servidores distribuidos en la nube, que el grupo consideraba inaccesibles para las Fuerzas y Cuerpos de Seguridad del Estado

Esta capacidad les permitía elaborar perfiles completos, cruzar información en tiempo real y ofrecer servicios personalizados de consulta a terceros, que accedían a través de un 'bot' cifrado en una conocida red social. Toda la operativa estaba alojada en servidores distribuidos en la nube, que el grupo consideraba inaccesibles para las Fuerzas y Cuerpos de Seguridad del Estado.

Pero la Policía Nacional, con la colaboración decisiva del Centro Criptológico Nacional (CCN-CERT), dependiente del Centro Nacional de Inteligencia (CNI), así como de la Policía de Andorra, ha logrado desmantelar y neutralizar esta red criminal tras la detención de cuatro personas: 2 en Madrid, 1 en Córdoba y otra en Andorra.

Los detenidos tenían información sensible vinculada a millones de ciudadanos

Las detenciones se produjeron este martes 27 de mayo tras una investigación que se inició en 2024. Desde la Policía Nacional informan de que uno de los logros más importantes de la operación ha sido la intervención y recuperación de la infraestructura tecnológica de la red.

Se incluían datos personales procedentes de sistemas educativos, el registro civil, registros de mascotas, abonos de transporte, registros telefónicos y plataformas de facturación de compañías eléctricas

A pesar del uso de identidades falsas, criptomonedas, cifrado extremo y rutas anónimas de acceso, los investigadores consiguieron identificar y desmantelar los servidores principales, así como recuperar las bases de datos alojadas en la nube.

Bases de datos que contenían información sensible vinculada a millones de ciudadanos entre la que se incluían datos personales procedentes de sistemas educativos, el registro civil, registros de mascotas, abonos de transporte, registros telefónicos y plataformas de facturación de compañías eléctricas.

Además, las pesquisas apuntan a que muchas de las instituciones cuyos sistemas fueron vulnerados podrían no ser plenamente conscientes de la intrusión ni del uso encubierto de sus bases de datos e información empresarial por parte de la red. La sofisticación de los accesos y el camuflaje técnico empleado dificultaron la detección temprana de la actividad ilícita.

La red operaba como una red de inteligencia privada

La estructura criminal operaba como una auténtica red de inteligencia privada, con funciones claramente diferenciadas: administración tecnológica, desarrollo de herramientas de anonimato, gestión financiera a través de criptoactivos, asesoramiento jurídico, expansión internacional y comercialización en mercados oscuros. Uno de los miembros desempeñaba un rol clave en esta internacionalización, ampliando las operaciones a terceros países mediante contactos profesionales consolidados.

Se presentaban como un entorno legítimo de asesoramiento tecnológico, blanqueando su operativa mediante estructuras societarias y servicios de “consultoría”

La red, cuya actividad se centraba en la obtención ilícita, procesamiento automatizado y explotación de información estratégica, instrumentalizó sus relaciones personales y profesionales para presentarse como un entorno legítimo de asesoramiento tecnológico, blanqueando su operativa mediante estructuras societarias y servicios de “consultoría” que facilitaban su inserción en entornos económicos e institucionales.

Una operación con colaboración internacional

La investigación ha sido coordinada por la Fiscalía de la Audiencia Nacional y dirigida por el Juzgado Central de Instrucción número Tres, "cuya labor judicial constante ha sido determinante para habilitar las diligencias operativas en España y garantizar la cobertura legal de cada intervención", señalan desde la Policía Nacional.

La organización representaba una amenaza estructural con capacidad de desestabilización económica y estratégica

"La magnitud del sistema intervenido, la sofisticación de sus operaciones y la escala de datos gestionados, posicionaban a esta organización como una amenaza estructural con capacidad de desestabilización económica y estratégica", concluyen desde la institución, que además pone en valor el "firme compromiso de la Comisaría General de Información de la Policía Nacional con la neutralización de amenazas avanzadas en el ciberespacio, en estrecha cooperación con organismos nacionales e internacionales".

De hecho, durante la operación se ha contado con la colaboración internacional de la autoridad judicial de Andorra, la Magistrada de Enlace en Suiza, la Oficina Federal de Justicia y la Policía Judicial–SATI del cantón de Ticino, países que también se habían visto afectados por la actividad de esta red.