Ros Casares: criptomonedas, sapo bufo y cintas de videopiratas

Hasta ahora.

Hasta ahora en que ha trascendido que el sospechoso detenido era investigado dentro de una macrooperación que ha permitido a la UCO, grupo de élite del instituto armado, desarticular una enmarañada red delictiva que se había lucrado ilegalmente mediante una estafa en criptomonedas. La ramificación valenciana de la banda es el último episodio de este complicado golpe policial, aunque nunca se sabe, porque el sumario (instruido por el juzgado número 12 de Madrid) sigue siendo secreto. No se descarta por lo tanto alguna nueva sorpresa, porque no sería la primera: el relato de la operación, que detalla la propia UCO en un comunicado, está repleto de sorprendentes giros. Casi parece una película, pero no: no lo es. Lo que sigue es la narración literal de lo sucedido, según la versión de la Guardia Civil.

La operación tiene incluso una denominación muy cinematográfica: se llama nada menos que '3COIN' ('coin' es moneda en inglés) y consiste en la desarticulación de un grupo de ciberdelincuentes «que en el verano de 2020 atacó una empresa española dedicada a la custodia de criptodivisas, materializando el robo de 6.000.000 euros en criptomoneda pertenecientes a miles de inversores». «A la vista del elevado número de personas afectadas y del valor de lo sustraído», agrega la nota de prensa, «se inició con absoluta prioridad esta investigación, centrada tanto en el origen y características del ataque, altamente sofisticado, como en el seguimiento de los movimientos realizados por la criptomoneda sustraída». No era un desafío sencillo. La Guardia Civil anota que las operaciones delictivas quedaban «enmascaradas» por sus autores «en un complejo sistema de blanqueo de capitales». Las pesquisas sufrían además por una cuestión adicional que figura en la propia esencia de las criptomoneda: «El anonimato de las transacciones».

Pero las indagaciones prosiguieron. Explica la UCO que «por los datos recabados inicialmente, como el uso de un sofisticado malware tipo RAT (Remote Access Trojan) más conocido como Troyano, el movimiento lateral en los ordenadores de la empresa, y el tiempo que estuvieron dentro de la misma los autores», los investigadores concluyeron que «detrás de este ataque pudieran estar autores del tipo APT (Amenazas Persistentes Avanzadas), vinculadas con sofisticados grupos de cibercriminales». De ahí procede el siguiente paso en la operación: a medida que se profundizaba en el origen del ataque a la empresa de custodia de criptoactivos los agentes observaron que la trama «tenía su origen en la descarga ilegal de una película de un portal de contenido multimedia pirata, por parte de un trabajador de la citada empresa».

¿Siguiente paso? La UCO anotó que «los archivos que conformaban esa película contenían un virus informático altamente sofisticado que permitió a los atacantes hacerse con el control absoluto del ordenador del empleado y usarlo como cobertura para acceder a la empresa». «Dicha descarga», prosigue el comunicado, «se produjo más de medio año antes de que se produjeran los hechos, permitiendo a los atacantes conocer con detalle todos los procesos internos de la mercantil y preparar el ataque informático». Llegamos al verano pasado: fue entonces cuando «una vez que conocían todos los procedimientos, características y estructura de la empresa», los sospechosos accedieron por medio de una red de ordenadores interpuesta para dar la orden de transacción de criptomonedas por valor de 6.000.000 de euros. ¿Cómo? La propia Guardia Civil responde a la pregunta: «Las criptomonedas sustraídas fueron transferidas a billeteras bajo el control de los atacantes, donde estuvieron inmovilizadas por más de seis meses tratando de no llamar la atención policial».

Pero ocurrió que pasado ese tiempo, una especie de red de seguridad, los miembros de la red «empezaron a mover las criptomonedas usando un complejo entramado de billeteras electrónicas de blanqueo de capitales». Es en ese momento cuando el grupo de delincuentes llama la atención de los investigadores, que indagaron por distintas vías hasta «identificar al supuesto operador de la página web de descargas ilegales desde donde se distribuyó el virus informático que propició el ataque». «Otras vías de investigación permitieron identificar a cuatro personas más, que supuestamente recibieron parte de las criptomonedas sustraídas, todos ellos sin relación aparente», añade la nota.

En conclusión, en noviembre de 2021 «agentes del equipo contra el cibercrimen de UCO llevaron a cabo cuatro registros domiciliarios en las provincias de Tenerife, Bilbao y Barcelona, procediendo a la detención e investigación de cuatro personas, a las que se les intervino material informático de gran interés para la investigación, así como criptomonedas por valor de 900.000 euros, relacionadas con el robo». Una vez analizado el material intervenido en estos registros, los miembros de la Guardia Civil «pudieron constatar rastros de la supuesta autoría del ataque por parte de uno de los detenidos, localizando el malware tipo troyano utilizado y la trazabilidad del ciberataque, así como los movimientos iniciales de las criptodivisas sustraídas y el pago en las mismas al titular de la página web de descargas desde donde se lanzó el virus». Siguiente paso de la investigación, «identificar a los posibles receptores de las criptodivisas sustraídas y su vinculación con el primero».

Como consecuencia de esta nueva ronda de pesquisas, la UCO llegó a identificar a otro individuo, «el cual recibió al menos 500.000 € en criptodivisa robada». ¿Y cómo acaba esta compleja investigación llamando a las puertas de un domicilio de Ros Casares en una madrugada del mes de febrero, muchos meses después del inicio de la operación? Lo aclara el comunicado en un sorprendente giro de los acontecimientos: «Esta misma semana, en la última fase de la operación hasta el momento, se ha procedido a la investigación de otra persona, la cual ejercía un control sobre el supuesto autor a través del consumo de drogas vinculadas a rituales como el del sapo bufo».

Aclarado. Con el sospechoso a buen recaudo, vuelve la tranquilidad a la urbanización donde vivía. Se acallan los rumores y triunfa la normalidad, gracias a que, como registra la Guardia Civil, los investigadores cuentan a su favor con «la plena disposición por parte de la víctima» a colaborar en sus pesquisas. Final feliz, concluye el comunicado, para una operación que se ha visto favorecida Por «el trabajo realizado por la empresa experta en ciberseguridad, que facilitó un intercambio de información con gran fluidez, lo que resultó de capital importancia en la resolución de esta investigación».

The end.