Natohub, el hacker alicantino de 18 años que ha robado datos a Defensa, la OTAN y al ejército de EE. UU.

Agentes de la Policía Nacional, en colaboración con la Guardia Civil, han detenido a un joven de 18 años en la localidad alicantina de Calpe, acusado de haber perpetrado más de 40 ciberataques contra organismos estratégicos nacionales e internacionales. Bajo el alias «Natohub», el arrestado logró acceder a bases de datos sensibles de la Guardia Civil, el Ministerio de Defensa, la OTAN y el Ejército de Estados Unidos, poniendo en riesgo información de alto valor.

La investigación, que comenzó en febrero de 2024 tras la denuncia de una asociación empresarial madrileña, reveló que el hacker no solo extraía datos, sino que también desconfiguraba páginas web y difundía la información robada en foros clandestinos de la darkweb. Sus ataques afectaron a organismos como la Fábrica Nacional de Moneda y Timbre, el Servicio Público de Empleo Estatal, el Ministerio de Educación, Formación Profesional y Deportes, diversas universidades españolas, la Dirección General de Tráfico, la Generalitat Valenciana, Naciones Unidas, bases de datos de la OTAN y del Ejercito de EE. UU. y la Organización Internacional de Aviación Civil.

El último de estos ciberataques, ejecutado a finales de diciembre de 2024, comprometió tres bases de datos: dos pertenecientes a la Guardia Civil y una al Ministerio de Defensa. En total, se filtraron 160.000 direcciones de correo electrónico, según publicó la cuenta de la red social X Dark Web Informer - Cyber Threat Intelligence, dedicada a «proporcionar información de algunos de los lugares más oscuros de la darkweb».

«Natohub asegura haber filtrado datos sensibles de la Guardia Civil y del Ministerio de Defensa de España, que comprenden tres bases de datos: dos atribuidas a la Guardia Civil y una al Ministerio de Defensa. Las bases de datos de la Guardia Civil contienen un total combinado de 109.000 registros, mientras que la base de datos del Ministerio de Defensa contiene 84.000 registros, lo que supone un total de 160.000 direcciones de correo electrónico únicas», señalaba este perfil.

Una identidad oculta en la darkweb

El detenido utilizaba múltiples pseudónimos en la darkweb y redes de comunicación cifradas para dificultar su rastreo. Cambiaba de identidad con frecuencia y empleaba herramientas avanzadas de anonimato en sus ataques. Su profundo conocimiento del mundo blockchain le permitió manejar más de 50 cuentas de criptomonedas con diferentes tipos de criptoactivos, lo que sugiere una posible actividad de blanqueo de capitales.

Durante el registro de su domicilio, los agentes incautaron diverso material informático, el cual está siendo analizado por especialistas. No se descarta que el análisis de estos dispositivos permita esclarecer otros delitos cibernéticos.

La operación ha contado con la participación del Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI), así como con la colaboración de Europol y la Homeland Security Investigations (HSI) de Estados Unidos.