Tiene solo 23 años, pero ha conseguido, durante nada menos que 4 años, poner en jaque no solo a todos los sistemas informáticos de la Dirección General de Tráfico, sino también a las autoridades que investigan en España los delitos relacionados con la ciberdelincuencia. Sin embargo, al final cayó.
Según adelanta El Confidencial, un joven de 23 años de Murcia ha sido detenido tras detectarse que se había infiltrado desde 2020 en los sistemas de la DGT para extraer millones de datos del organismo de Tráfico con el objetivo de comercializarlos posteriormente como base de datos de gran valor.
Vulnerabilidad detectada en formularios de pago
Tal y como confirma la propia Policía Nacional que ha investigado el suceso, el joven ciberdelincuente logró conectarse a todos los sistemas de la DGT con el certificado digital del DNI de su madre, para posteriormente extraer datos como 40 millones de matrículas y numerosa información adjunta de los propietarios, tal como modelo de coche, antigüedad, número de bastidor, datos personales… por poner solo algunos ejemplos.
La operación ha sido especialmente compleja debido a la profundidad de una operación delictiva, muy sofisticada para tratarse de un joven de poco más de 20 años y que ha durado prácticamente 4 años. El hecho que terminó por alertar por completo del problema a los agentes especiales de la Policía Nacional fue la filtración repentina de casi 80.000 registros de la DGT de una sola tacada.
Tras investigar esta alerta, las autoridades pudieron percatarse de los delitos que llevaba años realizando, gracias a aprovechar una vulnerabilidad detectada en los formularios de pago de la DGT relacionados con el impuesto de transmisiones patrimoniales de la Sede Electrónica de varias comunidades autónomas, desde donde podía acceder, gracias a la interconexión entre administraciones, a los sistemas de la DGT.
Gran base de datos comercializable
El joven comenzó extrayendo datos de Murcia, para acabar filtrando información procedente de Andalucía, Canarias, Baleares y otras comunidades autónomas. El joven, según informa El Confidencial, creó un script usando este certificado digital, para realizar solicitudes de datos de forma masiva, pero que extraía gradualmente para no ser detectado por los sistemas de seguridad de la Administración, algo que consiguió durante casi 4 años hasta que cometió el error de querer obtener de golpe 80.000 registros.
El objetivo que ha indicado la Policía sobre el fin del ciberdelincuente era crear una gran base de datos comercializable, ofreciendo por ejemplo servicios de comprobación de datos de vehículos para compras de segunda mano a un precio inferior al que actualmente cobra la propia DGT en sus Informes de Vehículos. También pretendía vender estos datos a terceras empresas que pudieran estar interesadas, como por ejemplo aseguradoras o portales de compraventa.
La detención del joven murciano se ha podido ejecutar gracias a la colaboración entre la Comisaría General de Información y al Centro Criptológico Nacional, dependiente del CNI. La Policía Nacional confirma finalmente que se han podido recuperar todos los datos y las bases creadas relacionadas con ellos, neutralizando asimismo hasta dos copias de seguridad que mantenía ocultas. Caso cerrado.
