Detienen a un hacker de 16 años en Madrid que pirateó una empresa de alquiler de bicis o una consultora española a través de un poste de autoventa en un restaurante

La Policía Nacional ha detenido a un joven hacker de 16 años en Madrid al que acusa de haber realizado "numerosos ciberataques a organismos públicos y entidades privadas".

Siendo un adolescente, este joven madrileño ha logrado quebrantar, desde finales de 2019, "la seguridad de numerosas entidades públicas y privadas", según advierte la Policía Nacional en una nota de prensa. "El arrestado habría accedido ilegítimamente a los servidores de empresas, tanto nacionales como internacionales y de toda índole, así como a entidades públicas españolas autonómicas y locales", abunda.

Leer más: Los entresijos de la gran 'hacker night' española, en la que 70 ciberexpertos 'atacaron' a una gran empresa del Ibex por un botín de hasta 200.000 euros

De hecho, la Policía Nacional abunda en cómo el joven logró penetrar en un servicio de alquiler de bicicletas de Madrid, en cuyos tótems aparecía su firma. "El presunto autor del ciberataque dejó constancia de su autoría, mediante un mensaje que se podía leer en las pantallas de los propios dispositivos de gestión de alquiler situados en la vía pública".

Los agentes accedieron al domicilio del joven mediante una orden judicial, solicitada porque "la situación actual de confinamiento de la población generaba una mayor vulnerabilidad por depender en gran medida de los sistemas de telecomunicación", apunta la Policía Nacional.

Así, encontraron in fraganti al joven hacker tratando de atacar la base de datos de una conocida empresa de paquetería. "En el registro de la vivienda los agentes hallaron numerosas evidencias de los hechos investigados, destacando la existencia de diversas herramientas de software dedicadas a la comisión de ciberataques en todas sus fases".

Leer más: Las empresas van a tener que ser mucho más transparentes ante los ciberataques y proteger a los 'soplones' por mandato europeo, según advierte un experto en ciberseguridad

Las acciones del joven hacker contra una plataforma de streaming, un servicio de bicicletas y una consultora española

La investigación comenzó a finales de 2019 tras la denuncia de una importante plataforma internacional de streaming. El joven consiguió crear de forma automatizada 141.000 cuentas de usuarios para disfrutar de una prueba gratis de 14 días del servicio. Estas pruebas gratis ya no existen en Netflix España, pero sí en HBO. La Policía detalla que la compañía de streaming tuvo un perjuicio económico de 450.000 euros. El ataque se realizó con diversas tarjetas de crédito "de origen fraudulento".

La siguiente denuncia llegó por parte de una firma de alquiler de bicicletas de Madrid. Las pantallas de los sistemas de alquiler —colocados en la vía pública— mostraban el pseudónimo del hacker. La firma no pudo prestar el servicio durante horas.

Otra de las acciones de este joven hacker madrileño comenzó en el establecimiento de una importante cadena de comida rápida. Se aprovechó de uno de los postes en los que los clientes pueden hacer su pedido mediante pantalla táctil para atacar a una importante consultora española que da soporte informático a importantes empresas implantadas en territorio nacional.

Más allá de la presunta actividad criminal del joven, la información que aporta la Policía Nacional revela las extraordinarias vulnerabilidades que se detectan en servicios públicos y en grandes empresas de consultorías españolas, hasta el punto de que un joven es capaz de vulnerarlas desde un restaurante.

Leer más: Ponle un mantel a tu teléfono: descubren cómo hackear asistentes de voz con ondas ultrasónicas que tú no oirás pero tu smartphone sí

El desliz que cometió el hacker de 16 años y que supuso la gota que colmó el vaso para los policías fue la publicación en redes de una brecha de seguridad de una app sanitaria destinada a la prescripción de pruebas y recetas. "En ese nuevo ataque se vieron comprometidos datos íntimos de varias personas".

Fue precisamente en este ataque por el cual los investigadores pudieron corroborar la identidad del joven, "a pesar de las meticulosas y extensas medidas de autoprotección que el pirata informático llevaba a cabo".

"Aunque todavía está por determinar el alcance de cada uno de los múltiples cibertataques que habría realizado, se puede afirmar que las plataformas afectadas contenían información de carácter personal y su acceso ilícito permitía al atacante no solo conocer la información contenida en esos ficheros sino también su modificación", zanja la Policía Nacional.

"Entre las bases de datos exfiltradas se encuentran las de empresas de diversa índole así como plataformas de gestión de educación de varias consejerías que contendrían datos de carácter personal de alumnos y profesores".