Detenido en Granada un menor como presunto autor de una grave exposición de datos de miembros de la Seguridad del Estado

Al principio se llegó a sospechar de la acción de un grupo organizado, y no de un solo individuo, en la filtración de datos que sufrieron a comienzos de año los miembros de diversas instituciones críticas del Estado. Pero de momento ha resultado ser uno solo, y menor de edad, aunque podrían aparecer otros autores. La carrera del hacker que se hacía llamar Web Spoof, y que utilizó también en foros de cibercrimen el nickname Police-ESP-Doxed, ha quedado interrumpida desde que, el pasado martes, agentes de la Comisaría General de Información lo detuvieran en su casa de Motril (Granada).

Este lunes ha difundido la detención la Policía Nacional. La principal acusación que recae sobre el detenido es la de descubrimiento y revelación de secretos, que, si fuera adulto, le habría costado entre uno y cuatro años de prisión.

Los padres del muchacho no han salido aún de su estupor. Es un estudiante de bachillerato que pasaba muchas horas en su habitación. De hecho, a los padres les gustaba esa actitud: pensaban que, no estando en la calle, no se metería en ningún lío, pero tenía un ordenador, una wifi y ganas de hacerse el listo y el valiente en los círculos del hacktivismo que frecuentaba en sus chats de Discord y Telegram.

Refrito de datos

Fuentes próximas al caso aclaran que no ha habido una violación de ninguna intranet, ni brechas de seguridad en los sistemas de los organismos afectados. El menor había conseguido un gran listado de nombres y datos de ciudadanos españoles de los que circulan por internet. Lo que hacía era cruzar con su bolsa de datos nombres de personalidades políticas, figuras de la seguridad pública, Hacienda... y refritar el listado.

Supuestamente, parte de la información que le servía de base procedía del hackeo realizado por otro ciberatacante español, Akkaspace, de 19 años de edad, detenido por agentes de la Comisaría General de Información el 2 de julio de 2025 en Canarias tras realizar varias exfiltraciones de datos privados.

En febrero pasado, el adolescente de Motril estaba colgando en rincones virtuales frecuentados por ciberdelincuentes un listado. Lo tituló Fuck Spain (Que se joda España). Su contenido: nombres y apellidos, teléfonos, correos electrónicos y, en algunos casos, contraseñas de funcionarios de la Policía Nacional y de la Guardia Civil, jueces, miembros de la Fiscalía...

El site de Internet en el que principalmente expuso esa información confidencial es Doxbin, algo parecido a una taberna de piratas en el ciberespacio. En esa página, que estuvo durante mucho tiempo oculta en la web oscura y ahora tiene un patrón estadounidense, se cruzan compradores de listados de datos robados, ciberacosadores, ciberestafadores... y policías.

Gran afectación

La afectacón de seguridad se demostró más grande e inquietante de lo que parecía en un principio cuando trascendió un grado mayor de afectación el pasado 3 de marzo: centenares de nombres a que el filtrador había sacado de su bolsa general identicando a miembros del Consejo de Seguridad Nacional, la Agencia Tributaria, el Ministerio de Hacienda y el principal organismo civil de ciberseguridad en España, el INCIBE.

El Juzgado de Instrucción 22 de Madrid instruye el caso. El hecho de que no haya violado ninguna web ni intranet le ha librado de momento de una acusación adicional, el delito de acceso no autorizado. Siendo menor, su caso puede tener reorientación, quizá los padres consigan que el hijo emplee sus habilidades en el lado correcto, donde hay una enorme demanda de expertos.

La Policía montó una operativa para localizarle, al cabo de la cual han dado con él en una vivienda familiar de clase trabajadora, sin lujos. Está prácticamente descartado el móvil económico. Web Spoof solo ganaba prestigio entre otros cibergamberros. En su habitación, los investigadores han hallado lo propio de un estudiante que aún no ha accedido a la universidad. En una mesa tenía un PC potente, de los que usan los gamers. La Policía está todavía en el proceso de volcado de datos.

Los nombres, teléfonos y correos usurpados ya no están accesibles fácilmente en la web, después de que la Policía haya pedido a Doxbin que los borre, pero ya está hecho el daño del doxing, o doxeo Así es como se conoce en el mundo de la ciberseguridad a la apropiación de datos personales o reservados para exponerlos en internet, bien sea para venderlos, para operaciones de ciberacoso o para coaccionar a los organismos afectados.

O bien sea, como en este caso, para dárselas de hacktivista y mago de la informática ante los amigos; quizá siguiendo la estela de Alcasec, que recientemente ha sido juzgado y ha aceptado una pena de dos años y siete meses de prisión por robar millones de datos de clientes de entidades financiaras

El muchacho de Motril protegía sus conversaciones, tomaba medidas de seguridad. Por eso, el pasado martes 26 de mayo, cuando la Policía le encontró y se presentó en su casa, no dejaba de preguntarles a los agentes: "Pero... ¿cómo lo habéis hecho?"

Suscríbete para seguir leyendo