La UCO y el Grupo de Delitos Telemáticos

Qué es la Unidad Central Operativa (UCO)

A nadie se le escapa que una de las Unidades más reconocidas de la Guardia Civil es la Unidad Central Operativa, sus hombres y mujeres llevan a cabo las investigaciones más complejas, en muchas ocasiones apoyando a las Unidades de Policía Judicial de las distintas Comandancias.

Áreas funcionales de la UCO y encuadre del GDT

Pero U.C.O. engloba una serie de Unidades especializadas, a nivel central UCO se organiza en las siguientes áreas funcionales, que podrán constituirse en Departamentos: Coordinación y Planes; Contra el Narcotráfico; Investigación Económica y Anticorrupción; Delincuencia Contra las Personas y el Patrimonio; Contra el Cibercrimen; y Apoyo Tecnológico y Operativo.

Hoy queremos hablar sobre el Grupo de Delitos Telemáticos, el cual se encuentra dentro del Departamento Contra el Crimen.

Origen del cibercrimen y necesidad de una unidad especializada

Aparición de nuevas amenazas: phishing, ransomware, malware y fraudes

Hasta mediados de los años 1990 la delincuencia se llevaba a cabo de muchas maneras, pero en esa fecha se iba a unir un “modus operandis” que cambiaría para siempre o más bien surgiría un nuevo modo de llevar a cabo múltiples delitos (desde timos, phishing, ransomware, hacking, spamming, suplantación de identidad o malware) términos estos que se irían acuñando con el paso del tiempo y que están todos, así como muchos otros, dentro de diversas actividades ilegales que se cometen utilizando tecnologías informáticas y redes.

Con el paso de los años los malos han ido “inventando” como llevar a cabo delitos que a través de Hacker delincuentes o persona experta en sistemas informáticos (recordemos que el ser hacker no implica actividad delictiva) quienes han ido perfilando a través de sus amplios conocimientos en redes diversas formas para conseguir dinero y a veces para hacer daño a empresas o particulares, el robo de información, el engaño, el acoso, o la interrupción de servicios se puede considerar como algo habitual a día de hoy.

Respuesta de la Guardia Civil: creación de un grupo en la UCO

Ante esta nueva situación la Guardia Civil encargaba a la Unidad Central Operativa (U.C.O.) la creación de un grupo para combatir esta nueva delincuencia, estos nuevos investigadores y así comenzaba una historia que con el tiempo ha hecho de esta Unidad de Delitos Telemáticos una referencia en el mundo de la ciberseguridad en España.

Los comienzos del GDT (1996–2003)

Primera investigación tecnológica (1996)

Estos nuevos investigadores aprendieron pronto, ya en 1996, se desarrolló la primera investigación directamente relacionada con medios informáticos, ese fue el punto de partida y para ello se necesitaban guardias civiles que combinasen su formación en investigación con conocimientos de informática, algo que en una Institución tan grande no fue difícil localizar.

Nacimiento del Grupo de Delitos Informáticos (GDI) en 1997

En 1997 y compuesto por cuatro personas, se creó el que se denominó Grupo de Delitos Informáticos (GDI), encargándose desde ese momento de la investigación de cuantas denuncias relacionadas con delitos informáticos se presentaban ante cualquier acuartelamiento o unidad de la Guardia Civil, denuncias que día a día iban en aumento, los delincuentes aprendían pronto y veían en ese nuevo tipo delincuencial una forma diferente, con amplios conocimientos de informática, un ordenador y mucha maldad comenzaron a actuar, recordemos que en esos años, hablamos del 2000, la ciberseguridad no existía, aunque por supuesto las grandes empresas privadas y poco después las públicas comenzaron a intentar frenar a esos nuevos piratas de la delincuencia.

Los cada vez más agentes del GDT (Grupo de Delitos Telemáticos, pronto tuvieron que ser reforzados y pronto empezaron a llegar los primeros éxitos policiales, la Guardia Civil respondía, como siempre lo había hecho a lo largo de la historia en aquellos cometidos que se les encomendaban, el grupo participó en los casos de mayor relevancia de la época, con sus medios y sobre todo con el esfuerzo de sus componentes, por supuesto sus conocimientos ahí estaban, comenzaron a golpear a los delincuentes.

Primeros éxitos y operaciones históricas

De esos años iniciales son las siguientes operaciones:

• Operación TOCO: Detención en Tarragona de dos intrusos informáticos relacionados con el acceso ilegal a los ordenadores de la Universidad de Tarragona, Universidad de Valencia, Centro de Supercomputación de Cataluña y Registro Mercantil de Tarragona.
• Operación HISPAHACK: Detención coordinada de cuatro intrusos informáticos relacionados directa o indirectamente con la sustracción de datos reservados de carácter personal de más de 2.500 usuarios de un proveedor de Internet de Girona, acceso ilegal a 16 ordenadores de la Universidad Politécnica de Cataluña, modificación de la Página Web del Congreso de los Diputados, e intentos de accesos no autorizados a ordenadores de la Universidad de Oxford y de la NASA.
• Operación DIABLO Y BASURA: Detención, tras la reforma del Código Penal, de dos individuos en Palma de Mallorca y Madrid, por corrupción de menores y pornografía infantil a través de Internet.

Evolución y cambios de denominación del grupo

Era tal el auge que los delitos de índole informático iban adquiriendo que pronto los escasos agentes se vieron desbordados, por lo que a mediados de 1999 se tuvo que ampliar, lo que conllevo también ampliar el campo e investigar otros delitos como el tema de telecomunicaciones.

De GDI a DDAT y DDT

Ese año se cambia su denominación pasando a llamarse Departamento de Delitos de Alta Tecnología (DDAT). Pero los “malos” mejoraban las formas de delincuencia, había que incorporar nuevos miembros y que tuvieron una formación más sólida para completar todo lo bueno que los que ya estaban habían conseguido se llevó a cabo una reestructuración interna, dividiéndose en cuatro áreas de trabajo, coincidentes con las presentadas en los debates del Convenio de Ciberdelincuencia del Consejo de Europa, en los que participaba personal de la unidad como expertos policiales. Esta nueva estructura vino acompañada de cambio de nombre del Departamento, pasando a ser Departamento de Delitos Telemáticos (DDT), con cuatro equipos de investigación centrados en las áreas de pornografía infantil, fraudes y estafas, propiedad intelectual y delitos de hacking.

Nacimiento del nombre actual: Grupo de Delitos Telemáticos (2003)

En febrero de 2003, la Unidad Central Operativa en la que se encuentra encuadrado el Departamento, sufre una reestructuración. El Departamento, sin modificar estructura, plantilla ni misiones, adquiere el nombre por el que es más conocido, Grupo de Delitos Telemáticos (GDT).

Los EDITE y la descentralización de la investigación tecnológica

Qué son los Equipos de Investigación Tecnológica (EDITE)

Debido al incesante incremento de los delitos informáticos y a los innumerables apoyos que le solicitaban desde todas las unidades de la Guardia Civil, colapsando y restando eficacia al GDT, se inició una política de descentralización de las investigaciones consistente en formar y crear Equipos de Investigación Tecnológica (EDITE,s) en cada una de las provincias de España.

La Guardia Civil tiene varias misiones, y una de ellas es la lucha contra la delincuencia informática a través de los Equipos de Investigación Tecnológica (EDITE), que pertenecen a las Unidades Orgánicas de Policía Judicial, distribuidas a nivel provincial. 

Funciones principales de los EDITE en las provincias

Para que sepan nuestros lectores de la importancia del l trabajo de los EDITE, les damos las siguientes pinceladas:

• Investigación de delitos tecnológicos: Se encargan de investigar delitos cometidos a través de Internet y otros sistemas de información, utilizando herramientas y técnicas específicas para rastrear y recopilar pruebas en el entorno digital. 
• Colaboración con otras unidades: Trabajan en estrecha colaboración con otras unidades de la Guardia Civil, como la Unidad Central Operativa (UCO), para investigar casos que requieren una respuesta coordinada. 
• Prevención de la delincuencia: Además de investigar delitos, también realizan labores de prevención, informando y asesorando a ciudadanos y empresas sobre cómo protegerse de las amenazas cibernéticas. 
• Actualización constante: Dada la rápida evolución de la tecnología, los miembros de los EDITE deben mantenerse actualizados sobre las últimas tendencias y herramientas utilizadas por los delincuentes. 
• En resumen, los EDITE son una pieza clave en la lucha contra la cibercriminalidad dentro de la Guardia Civil, protegiendo a la sociedad de los riesgos asociados al uso de las nuevas tecnologías. 

Unidad de Coordinación de Ciberseguridad (2019)

En 2019, la Guardia civil creó la Unidad de Coordinación de Ciberseguridad para coordinar y centralizar las funciones realizadas para responder a los ciberataques entre los distintos organismos de este cuerpo.

Por qué se crea y qué problema resuelve

Dentro de la Guardia civil existen diversos departamentos con competencias en materia de ciberseguridad que actúan para combatir las amenazas en la red, lo que hace que muchas veces sus actuaciones se dupliquen con el consiguiente aumento de esfuerzos y recursos.

Por ello se ha creado esta unidad que coordina y optimiza los recursos disponibles para hacer frente a las ciberamenazas.

Esa Unidad de Coordinación de Ciberseguridad se es creada como punto de referencia en cuestiones relativas a la ciberseguridad, manteniéndose al margen de la labor investigadora, que compete a las Unidades operativas.

Su función es establecer determinados procedimientos de armonización en la gestión de los recursos humanos, materiales y financieros relacionados con la ciberseguridad.

Unidades coordinadas: GDT, Servicio de Información y EDITE

Se trata de un organismo directivo que debe coordinar las actuaciones en la investigación de ciberdelitos de tres unidades diferentes:

• Grupo de Delitos Telemáticos: realiza investigaciones relacionadas con la delincuencia informática y los fraudes en el sector de las telecomunicaciones y la detección de delitos informáticos.
• Servicio de Información: realiza funciones de información.
• Equipos de Investigación Tecnológica (EDITE), que están encuadrados en las Unidades Orgánicas de Policía Judicial, desplegadas a nivel provincial.

Funciones actuales del Grupo de Delitos Telemáticos

Los componentes del Grupo de Delitos Telemáticos están hoy en día más preparados que nunca, sus éxitos en los casos en que intervienen avalan el que sean considerados como una Unidad fiable al 100 por 100. Sus misiones son las siguientes:

Investigación de ciberdelitos complejos y apoyo a la Policía Judicial

• Llevar a cabo todas aquellas investigaciones relacionadas con la delincuencia informática que le encomienden las Autoridades judiciales o que conozca por comunicaciones y denuncias de los ciudadanos, que, por su importancia o relevancia social, dificultad técnica o número de afectados, aconsejen la dedicación de los recursos materiales y humanos más técnicos de la Guardia Civil.
• Detección de delitos informáticos en la Red (patrullas cibernéticas).
• Apoyar las investigaciones, en aquellos aspectos técnicos que se precisen, de la Unidad Central Operativa (UCO), en la que se encuentra encuadrada.
• Formación del personal de los Equipos de Investigación Tecnológica de las unidades territoriales de la Guardia Civil.
• Codirección Técnica de los Equipos de Investigación Tecnológica (EDITE,s).

Cooperación internacional, formación y coordinación técnica

• Representar y promover la participación de la Guardia Civil en cuantos encuentros, foros o seminarios internacionales se organicen sobre investigación tecnológica y cibercriminalidad.
• Punto de contacto de cooperación internacional en el ámbito del cibercrimen.
• Coordinar la participación de la Guardia Civil en investigaciones de cooperación o colaboración internacional en el ámbito del cibercrimen.

Cómo acceder al GDT de la Guardia Civil

¿Cómo pertenecer al GDT de la Guardia Civil?

Itinerario profesional: Guardia Civil → Policía Judicial → UCO → GDT

Lógicamente lo primero es ser guardia civil y como otras especialidades solicitarlo, y si tienes la suerte y los conocimientos necesarios para estar entre los elegidos deberás superar el curso que te habilitará para pertenecer a Policía Judicial, después podrás entrar en la U.C.O. y por último en el GDT.

Curso de acceso a la UCO (Especialista en Policía Judicial)

¿Cómo realizar el curso para acceder a la Unidad Central Operativa de la Jefatura de Policía Judicial?

• Tipo de enseñanza: Perfeccionamiento.
• Modalidad: Enseñanza mixta (presencial y a distancia).
• Objetivos: Capacitar al personal que reúna las condiciones y aptitudes necesarias para desarrollar eficazmente las misiones asignadas a la Unidad Central Operativa (UCO) de la Jefatura de Policía Judicial; así como adquirir las competencias que se precisan para desempeñar adecuadamente las funciones asignadas a la cualificación de Especialista en Policía Judicial.
• Centro que lo imparte: Centro de Perfeccionamiento.
• Examen previo: Centro de Perfeccionamiento. Valdemoro (Madrid).
• De presente: Centro de Perfeccionamiento. Valdemoro (Madrid).
• Carga lectiva: Ciento noventa y ocho (198) horas.

Requisitos, condiciones y pruebas selectivas

Condiciones para solicitarlo:

• Haber adquirido la condición de guardia civil
• No encontrarse de baja para el servicio por motivos de salud.
• No estar sometido a un expediente por insuficiencia de facultades profesionales o condiciones psicofísicas.
• Tener cumplido el periodo de servidumbre ligado a la realización de un curso de especialización.
• No estar seleccionado como aspirante o como parte del alumnado de otro curso de especialización
• No haber renunciado a un curso de especialización en un periodo de tres (3) años
• Carecer de antecedentes penales, no hallarse incurso en algún procedimiento judicial
• Que el tiempo para pasar a la situación de administrativa de reserva por edad sea, como mínimo, de cinco (5) años.

Pruebas a superar::

• De conocimientos. Será puntuable y tendrá carácter eliminatorio.
  • Tipo:  Consistirá en la realización de un ejercicio escrito tipo “test” sobre las materias estudiadas.
• Prueba técnica. Será puntuable y tendrá carácter eliminatorio.

Consistirá en una prueba práctica en la que el aspirante deberá interactuar con los medios informáticos y de telecomunicaciones utilizados en el Cuerpo de la Guardia Civil, que permita conocer el nivel de conocimiento en los mismos.

• Psicotécnicas: Se divide en dos pruebas: a) Test psicotécnicos. b) Entrevista
• Ofimática. Tendrá carácter eliminatorio.

Los aspirantes podrán baremar su nivel de estudios y los que posean, los idiomas (recordemos que en la Guardia Civil existen siete idiomas de interés para el Cuerpo: inglés, francés, árabe, italiano, alemán y ruso) y por último podrán sumar puntos por los cursos de carácter interno realizados durante su trayectoria profesional.

Operaciones relevantes del GDT y lucha contra el cibercrimen

Sería imposible hacer ni tan siquiera una aproximación de las miles de operaciones que ha llevado a cabo la Guardia Civil (Policía Judicial, U.C.O., Servicio de Información, EDITE,s y otras Unidades del Cuerpo), desde que a mediados de los años 1990 comenzaron los delincuentes a utilizar Internet y después las Redes Sociales para cometer sus delitos.

Es una lucha dura contra la delincuencia, pero la Guardia Civil no ceja y prueba de ello son estas pequeñas reseñas de algunas de las últimas operaciones realizadas.

Operación Cascada (2018)

Realizada por la Guardia Civil

Bloqueado cerca de 30 dominios web

¿Cómo cometían los delitos?: En el marco de una operación denominada Cascada, la Guardia Civil ha dado comienzo a una campaña de bloqueo de páginas web de descarga de contenidos protegidos por derechos de autor mediante enlaces de redes P2P.

«La mayoría de las páginas web investigadas contaban con unos índices de visitas diarios muy elevados, siendo algunas de ellas de las más conocidas y utilizadas en nuestro país para descargar ilegalmente y de manera gratuita, todo tipo de material audiovisual protegido»,

Los miembros del departamento de delitos telemáticos del órgano central del servicio de policía judicial de la Guardia Civil cifraron las visitas españolas a estas webs en un 80 % a través de herramientas analíticas y de rastreo que no han precisado. De igual modo, indican que muchas de estas páginas web han sido monitorizadas de manera permanente mediante el empleo de «herramientas de trabajo de análisis forense y de dominios».

Operación CRAVEN (2016–2018)

Realizada por la Guardia Civil y el FBI

Detenidas 31 personas e identificados 145 menores, la mayoría niñas

¿Cómo cometían los delitos?: Los «hunters» o cazadores, se dedicaban al rastreo de menores en diferentes redes sociales, principalmente niñas de entre 8 y 14 años de edad, centrando su objetivo en aquellas que permiten emisión de vídeo.

Una vez que elegían a sus objetivos, enviaban enlaces a salas creadas específicamente para este fin en la plataforma intervenida. Allí, de forma coordinada, el grupo animaba a la menor a emitir a través de su webcam, haciéndole peticiones que comenzaban como un juego para ganarse la confianza de la menor.

Durante esta fase, entraban en juego los «loopers». Estas personas tenían paquetes de vídeos de otros menores de edad de ambos sexos, en los que aparecían en diferentes actividades. Inicialmente utilizaban imágenes en las que los menores aparecían en juegos propios de su edad y pedían a sus víctimas que imitasen sus movimientos. Posteriormente, utilizaban vídeos de contenido sexual cada vez de mayor intensidad, incluyendo prácticas de contenido especialmente degradante.

Mediante el proceso anterior conseguían la participación de sus víctimas en este tipo de prácticas, grabando la actividad en vídeo y utilizándolos como gancho con otros menores.

Operación KAMPUZO (2019)

Realizada por la Guardia Civil y EUROPOL

Detenidas 23 personas

Como cometían los delitos: Una red de empresas fue creada para encubrir y dar cobertura a las operaciones de blanqueo de capitales. En una de esas empresas se han incautado de dos cajeros automáticos de criptomoneda, los dos primeros que se han intervenido físicamente en Europa, según han indicado las mismas fuentes. Bajo la tapadera de la compraventa de equipos informáticos, esta empresa operaba en realidad para recaudar dinero en efectivo e introducirlo en el circuito de blanqueo de capitales articulado por esta red de la que formaban parte también otras ocho personas jurídicas.

Los agentes también han intervenido cuatro «billeteras frías» y más de 20 monederos electrónicos en los que se ha logrado identificar el movimiento de más de nueve millones de euros.

Además de la compraventa de bitcoins (moneda virtual), los investigadores han detectado otras formas de blanqueo utilizadas por la organización, también realizaban grandes transferencias de dinero a cuentas bancarias de sociedades de la propia organización criminal, fondos que procedían de terceras empresas controladas por otros grupos criminales y que eran rápidamente trasladados al extranjero con complejas redes que incluían la compraventa de bictoins.

Operación LUPIN III (2022)

Realizada por la Guardia Civil

Detenido el mayor ciberestafador de la historia de España

¿Cómo cometían los delitos?: El escurridizo delincuente, de 23 años, llegaba a facturar hasta 300.000 euros al mes y era una de las personas más buscadas por las fuerzas de seguridad, sobre él recaían más de 25 requisitorias judiciales de detención, convirtiéndolo en uno de los hombres más buscados por todas las policías de nuestro país.

El joven, J.A.F., llevaba a cabo sus estafas copiando páginas web de venta de productos informáticos de manera que, utilizando incluso sus logos, confundían al comprador. Las webs en cuestión estaban activas durante un fin de semana, alcanzando un buen posicionamiento en los buscadores y sometidas a una gran campaña de publicidad, para después desaparecer sin dejar rastro.

Durante el tiempo que ha durado esta investigación, los agentes del Departamento de Delitos Telemáticos de la UCO, han detectado y rastreado cerca de 30 tiendas online diferentes, todas ellas gestionadas por el ahora detenido y sus colaboradores.

Operación PADRE AGRESOR SEXUAL MENOR 6 MESES (2024)

Realizada por la Guardia Civil y EUROPOL

Detenido un padre que agredía sexualmente a su hija de 6 meses

¿Cómo cometían los delitos?: La Guardia Civil ha detenido en Madrid a un padre que agredía sexualmente de su hija de 6 meses tras localizar un vídeo en la Deep Web. Una vez identificado al agresor se comprobó que estaba conviviendo con la menor hasta el momento de su detención.

Los agentes encargados de esta investigación llegaron a analizar más de 120 gigabytes de información del material intervenido al detenido en apenas 24 horas, pudiendo localizar cientos de archivos de explotación sexual de menores, tanto en su ordenador portátil como en su dispositivo de telefonía móvil.

Entre toda esta información analizada, se encontraron varios archivos de agresiones sexuales sobre la propia hija del detenido, comprobando que las mismas habían sido continuadas en el tiempo.

De manera paralela, tras informar de los hechos a la madre de la víctima, esta reconoció a su hija y a su marido, padre de la menor, en el vídeo origen de la investigación, identificando además la habitación en la que se produjeron los hechos como el actual domicilio familiar. 

Operación CONTRASEÑLAS EN LA DEEP WEB (2024)

Realizada por la Guardia Civil

Detenidos 13 ciberestafadores

¿Cómo cometían los delitos?  Los 13 miembros de esta red -dos de ellos detenidos- tenían en su poder 777.750 credenciales de correo electrónico con el usuario y contraseña, adquiridas en la deep web. Los ciberestafadores robaban el dinero a sus víctimas utilizando datos bancarios y tarjetas que extraían de esas credenciales.

Los detenidos llevaban a cabo las estafas desde diferentes provincias españolas, colaborando y coordinándose entre ellos por medio de internet. Sustraían el dinero a víctimas principalmente de España, aunque también en Alemania y Estados Unidos.

Los dos líderes del grupo de hackers son menores de edad. Al comprobar su identidad, los agentes han descubierto que uno de ellos ya había estado detenido por hackear los sistemas informáticos del servicio madrileño de salud y del alquiler de bicicletas del Ayuntamiento de Madrid. 

Preguntas Frecuentes sobre el Grupo de Delitos Telemáticos