Doble robo de película a una web española: así se esfumaron 7,2 millones en criptos

Cientos de carteras digitales hasta arriba de criptomonedas que hoy valdrían seis millones de euros. Fue el suculento botín que se llevaron en julio de 2020 un grupo de cibercriminales tras hackear la web española 2gether, una de las que más transacciones en bitcoins y ethereums mueve en nuestro país (30 millones de euros al mes). Más de año y medio de investigación después, agentes de la Guardia Civil han detenido en Barcelona, Bilbao y Valencia a cinco personas como supuestos autores del delito. Cuatro de ellos son de nacionalidad española, otro es de Europa del Este, y han protagonizado uno de los mayores robos que, según fuentes policiales consultadas, llevaban meses planeando. Y todo empezó con una película. Literalmente.

Esa fue la inesperada vía de acceso para colarse hasta la cocina en los sistemas de la compañía. En enero de 2020, uno de los empleados de 2gether se descargó desde el ordenador del trabajo una película de una página ilegal y el archivo venía con regalo: un troyano llamado NanoCore. Una vez instalado en la red corporativa, los cibercriminales pudieron grabar a placer toda la información que necesitaban, contraseñas, nombres de usuario, móviles, historiales de navegación... Sin embargo, no actuaron en ese instante. Se quedaron siete meses agazapados analizando los movimientos de la empresa hasta que el 31 de julio, con medio país a punto de marcharse a la playa, asestaron el golpe.

TE PUEDE INTERESAR

Acoso telefónico y 3M esfumados: más de 100 españoles atrapados en una web de inversión

Manuel Ángel Méndez

Fue entonces cuando cambiaron los permisos de los empleados y todas las medidas de seguridad, emplearon una red de ordenadores interpuesta y transfirieron a billeteras digitales paralelas un total de 1,3 millones de euros en criptomonedas, sobre todo ethereums y bitcoins, que hoy tendrían un valor de seis millones de euros. Luego las dejaron inactivas durante otros seis meses para no llamar la atención policial. Tras ese tiempo, llegó el momento de cobrar el botín y comenzaron a mover las criptomonedas usando un entramado de billeteras electrónicas con el fin de blanquear el dinero.

"La familia al completo de uno de los detenidos vivía de esto. Él iba regalando criptodivisas a su madre, a su padre, a su hermano, a los amigos..."

"Se trataba de una banda muy bien organizada. Pagaban a empresas de descargas de ficheros para instalar 'malware' en los archivos y usar los ordenadores de la gente para minar bitcoins sin que los dueños se enteraran. Pero también metían troyanos, como en este caso, para asaltar páginas de compraventa de criptomonedas. Tenían miles de monederos paralelos, casi todos obtenidos de forma ilegal. La familia al completo de uno de los detenidos vivía de esto. Él iba regalando criptodivisas a su madre, a su padre, a su hermano, a los amigos... a todos", explican a este diario fuentes de la investigación. Estos movimientos permitieron identificar a varias personas que, supuestamente, recibieron parte de las monedas robadas.

Fue la pista que en noviembre de 2021 permitió a la Guardia Civil realizar los primeros registros domiciliarios en Tenerife, Barcelona y Bilbao, donde detuvieron a cuatro personas. En la operación, llevada a cabo por el Departamento Contra el Cibercrimen de la UCO de la Guardia Civil y dirigida por el Juzgado de Instrucción número 12 de Madrid, incautaron el resto de información que cerró el círculo, así como 900.000 euros en criptomonedas relacionadas con el robo. La última detención se ha producido esta semana en Valencia: una persona que tenía relación con el cabecilla de la banda y que "ejercía un control sobre él", asegura la Guardia Civil, "a través del consumo de drogas vinculadas a rituales como el del Sapo Bufo". La película podría haber terminado aquí por todo lo alto, pero no había hecho más que empezar.

Otro agujero de 1,2 millones

El hackeo dejó a 2gether al borde de la quiebra y, lo que es peor, a miles de clientes tirados, pero nadie, ni la Guardia Civil, se esperaba lo que vino después. "Mira, era el 31 de diciembre, fin de año, y me suena el teléfono. En cuanto vi que eran los de 2gether ya sabía que me iban a dar las uvas", explica uno de los afectados por un segundo robo de dinero. "A mí me desaparecieron varias decenas de miles de euros y sigo sin saber si los voy a recuperar", señala.

Ese mismo 31 de diciembre de 2021, los directivos de 2gether enviaron un preocupante 'e-mail' (debajo) a todos sus usuarios: el dinero de 11 cuentas había desaparecido. Una de ellas era precisamente la cuenta del consejero delegado, Ramón Ferraz. El resto de las 10 cuentas afectadas, según ha podido verificar este diario, pertenece a los 10 clientes que más dinero habían depositado en la plataforma. Quien realizó el robo sabía muy bien lo que hacía. La compañía no ha confirmado la cantidad sustraída, pero diversas fuentes consultadas la estiman en un valor de 1,2 millones de euros. Es decir, un total de 7,2 millones evaporados en dos años.

La Guardia Civil no descarta ninguna hipótesis para esclarecer este segundo robo. "Se produjo solo semanas después de las detenciones que hicimos en noviembre por el hackeo, no parece casual", señalan fuentes policiales. Sin embargo, otras fuentes internas consultadas apuntan a un posible fraude interno. "Se encargó a Deloitte realizar un informe pericial sobre el tema y la conclusión fue clara: no hay indicios de ataque externo. La seguridad de la empresa no se vio comprometida, aseguraron. Luego solo queda una opción: alguien metió la mano desde dentro", señalan.

Consultado al respecto, el fundador y presidente de 2gether, Salvador Casquero, prefiere no aventurar un final sobre esta segunda parte de la película. "Lo estamos investigando, pero nuestra seguridad no ha sido comprometida", señala. Otras fuentes apuntan directamente a la empresa.

"Ha habido improvisación constante y no se han tomado las medidas de seguridad necesarias para evitar el primer hackeo. ¿Qué empresa de este tipo confía en un 'freelance' a tiempo parcial como responsable de ciberseguridad? No tiene sentido. ¿Cómo puede ser que los atacantes estén seis meses metidos en sus sistemas y no lo detecten? Se llevaron 7,2 millones, pero podrían habérselo llevado todo", explica una fuente conocedora de la situación.

Casquero confirma que el principal responsable de seguridad de 2gether, efectivamente, trabaja a tiempo parcial. ¿Cuántos empleados hay en plantilla que velen por la seguridad de la empresa? "Uy, ni idea. Hay un grupo subcontratado, sé que son muchos, pero no sé cuántos". Este martes, 2gether iba a celebrar un comité de dirección donde, según diversas fuentes, se cesaría al consejero delegado, Ramón Ferraz. La reunión se canceló en el último momento. Mientras eso sucedía, en el grupo de Telegram 2gether España (743 miembros) alguien se preguntaba lacónico: "Lo de los hackeos a 2gether ya es una vergüenza, ¿cuántos llevan, 2 o 3?". Continuará.