La Guardia Civil, en el marco de la operación "Oceansx", ha arrestado a dos individuos implicados en ciberataques a diversas entidades públicas y privadas. Entre las instituciones afectadas se encuentran varios ayuntamientos de Castilla y León, específicamente en las provincias de León y Salamanca.
La operación se inició al detectar accesos no autorizados a redes informáticas y credenciales corporativas, tanto públicas como privadas, que se ofrecían en mercados del cibercrimen. La investigación reveló un canal de Telegram donde se mostraban accesos fraudulentos a varias administraciones públicas de relevancia. Analizando este canal, los agentes identificaron a un "actor nacional" conocido como "GUARDIACIVILX", quien utilizaba múltiples seudónimos como “9bands” y “TheLich”, entre otros.
La investigación se centró en descubrir la identidad de las personas detrás de estos ataques y el alcance de los mismos. "GUARDIACIVILX" vendía credenciales de acceso a servicios remotos y correos electrónicos corporativos, solicitando inicialmente pagos de hasta 13.000 dólares. Fue detenido en el momento de realizar una venta y se comprobó que intentaba vender una base de datos con información de más de 200.000 personas.
El análisis de cuentas de criptodivisas vinculadas a este actor confirmó que los pagos se realizaban a través de distintos exchangers. Además, la Guardia Civil, en colaboración con el FBI, identificó acciones delictivas en Latinoamérica, afectando a instituciones de varios países de habla hispana.
Las detenciones se realizaron el pasado otoño en Sevilla y Asturias. El material intervenido permitió vincular otros ciberataques a entidades públicas y privadas, incluyendo a los ayuntamientos de León y Salamanca. Entre las entidades afectadas también se encuentran la Universidad Autónoma de Madrid, Diputaciones de Jaén y Málaga, y servicios de salud y justicia de varios países latinoamericanos.
