DarkForums, la web donde los hackers mercadean con tus datos

El pasado 31 de enero, un hacker aseguró haber accedido a los datos de 47,3 millones de españoles atacando los servidores del Ministerio de Hacienda. Alardeó de tener en su poder nombres, DNIs, CIF, direcciones postales, IBAN bancarios, números de teléfono, datos fiscales y correos electrónicos. El ataque «existió», pero el departamento de María Jesús Montero asegura que no llegó a descargar nada. Los expertos del Centro Nacional de Inteligencia (CNI, que son los encargados de velar por la seguridad de la Administración en todos sus niveles) dieron valor al aviso, que se subió al portal DarkForums, y lo investigaron. El susto quedó en nada. Los investigadores tuvieron dudas con el «sample», el mensaje que estos delincuentes ponen para demostrar que tienen la información.

Los delitos relacionados con el cibercrimen son los que más que crecen en los últimos años. La Policía Nacional y la Guardia Civil ven como copan gran parte de sus investigaciones, y han creado equipos específicos para combatirlos. El tipo que más preocupa, a empresas, administración y a seguridad nacional, es el robo de bases de datos. Los ataques a instituciones o grandes compañías «se producen a diario», explican fuentes expertas del sector de la ciberseguridad. La mayoría no logran su objetivo, pero cuando lo hacen el daño es «enorme».

El segundo paso del delito consiste en sacar rédito económico. La información se pone a la venta en foros especializados, muchas veces en la «dark» o en la «deep web», capas de internet a las que se accede con determinados buscadores y siempre teniendo el «link» correcto que te lleva hasta el lugar deseado. Otras, en cambio, sólo hay que saber por dónde moverse en la parte convencional de internet.

Es el caso de DarkForums, un foro con dominio del Territorio Británico del Océano Índico (BIOT) y las Islas Chagos, muy popular en el sector tecnológico. No es necesario residir allí para poder abrirlo, lo que imposibilita el rastreo de sus propietarios. En la práctica, el portal es un «gran bazar» donde se suben «hackeos» de todo el mundo.

El intento de robo a Hacienda a finales de enero terminó ahí. Al menos, un mensaje publicado a las 19:16 del último día del mes aseguró que se había roto la seguridad del ministerio. LA RAZÓN pudo comprobar que los propios administradores lo borraron días después al no darle veracidad. El usuario que lanzó el aviso se hacía llamar «HaciendaSec», un nombre que parece hacer alusión a Alcasec, un joven que puso en jaque a la Policía, la Dirección General de Tráfico o a la web del Punto Neutro Judicial del Consejo General del Poder Judicial (CGPJ).

Las fuentes del sector consultadas explican que los servidores españoles «están bien protegidos» aunque nunca pueden desestimar estos avisos, ya que siempre puede llegar alguien nuevo, «con más conocimientos», que consiga romper los muros digitales. En DarkForums no solo hay hackers pendientes de qué sucede. Agencias de seguridad estatales de medio mundo y de inteligencia, como la CIA norteamericana, tienen sus ojos puestos en el portal. Entre los distintos hilos hay mensajes que versan sobre Irán, Cuba, el Departamento de Justicia de California, «hackeos» a organismos chinos... El interés es global. Por una parte, para vigilar sus intereses, pero también para estar atentos a qué roban a sus enemigos.

El caso de Hacienda, en el que el robo no se produjo, es una constante. «Muchos de los posts no son reales. Esto lo hacen para dañar la reputación de las empresas que se supone que han sido atacadas, bajar el valor de sus acciones y que luego compren las ballenas», como llama una de las fuentes consultadas a los gigantes que aprovechan estas situaciones para conseguir beneficio económico.

Perfiles jóvenes

En los últimos años, desde 2023, los ciberataques han subido un grado de peligrosidad, ya que los objetivos son importantes personalidades como el presidente del Gobierno, ministros, altos cargos policiales o incluso del CNI. La Comisaría General de Información (CGI) de la Policía Nacional ha dirigido muchas de estas investigaciones. Entre sus preocupaciones está el perfil de estos nuevos delincuentes, «cada vez más jóvenes», explica una fuente de dicho departamento.

«En estos casos, no buscan dinero. Quieren protagonismo, fardar de lo que han conseguido», analiza otro experto. Este tipo de ataques, donde se muestran teléfonos móviles, direcciones de las viviendas o relaciones familiares, se suben a internet para que sean accesibles sin tener que abonar cantidad alguna. Los «hackeos» han acompañado a momentos políticos tensos, cuando la crispación ha ido en aumento. Ejemplo son las protestas en la sede del PSOE en Madrid por la Ley de Amnistía o tras la catástrofe de la dana en Valencia.

El caso más crítico fue el del hacker @N4tOx, que investiga la Audiencia Nacional. En su filtración compartió información sensible sobre miembros del Gobierno, sus familiares, los líderes de todos los partidos políticos, la directora del Centro Nacional de Inteligencia (CNI), Esperanza Casteleiro, o el entonces nuevo «número tres» del Ministerio del Interior, Eugenio Pereiro, que antes fue el máximo responsable de la lucha antiterrorista de la Policía Nacional, precisamente en la CGI que investiga estos ataques.

Detrás de @N4t0x se escondían dos chavales de 19 años. La Policía los detuvo el verano pasado en Gran Canaria, acusados de filtrar datos de miembros del Consejo de Ministros y de periodistas. Los investigadores encontraron en un canal de Telegram información personal del presidente de la Generalitat, Salvador Illa, y de implicados en el «caso Koldo», como Santos Cerdán, José Luis Ábalos, Koldo García o el empresario Víctor de Aldama.

En septiembre, la Jefatura de Información de la Guardia Civil detuvo a un menor de 17 años por robar 10 gigas de datos del PSOE. Los agentes registraron dos domicilios, y se llevaron varios ordenadores portátiles, discos duros y memorias USB. El chico accedió desde la propia web del partido y publicitó datos de empleados y afiliados en la «dark web».