>_
Terminal
© 2026 Diego Soria Ruiz. All rights reserved.
guest@dsr: ~
guest@dsr:~$ ./welcome.sh
guest@dsr:~$ cat 2025-10-26-Ciberpatrullajes en la Operación TORO - La platafo 4a53b23650a6822887ee019e8d0436a4.md
Última modificación: 26-10-2025
Etiquetas: #CCN-CERT25

Ciberpatrullajes en la Operación TORO - La plataforma EMPACT en la lucha contra el tráfico ilícito de armas de fuego online

Author: https://jornadas.ccn-cert.cni.es/es/xixjornadas-programa-general/xix-jornadas-ccn-cert/ponente/mario-ruiz

Contexto general

La charla va sobre la Operación Toro, un ciberpatrullaje a nivel europeo coordinado por EMPACT y la Guardia Civil española para combatir el tráfico ilícito de armas de fuego y explosivos en la dark web y plataformas online. Básicamente, es un operativo multinacional donde colaboran cuerpos policiales de toda Europa (y más allá) para monitorizar, recopilar inteligencia y perseguir a vendedores de armas en internet. Lo interesante es cómo gestionan los límites legales entre jurisdicciones y qué técnicas están permitidas o no.

Conceptos clave

  • Cooperación internacional masiva: Participan policías de toda Europa, FBI, HSI, policía montada de Canadá, policía australiana (expertos en mentoría para ciberpatrullaje de armas)
  • Flujo operativo: Recopilación de info → fine tuning → cribado de calidad → envío a Europol → conflictado (verificar si hay duplicidades o jurisdicciones cruzadas) → distribución a países interesados → seguimiento de resultados
  • Diferencias jurisdiccionales clave:
    • Jurisdicción anglosajona: permite delito provocado (el policía puede promocionar/inducir el delito, con limitaciones)
    • Jurisdicción continental (España, Francia, mayoría UE): totalmente prohibido inducir delitos
  • Límites de actuación sin autorización judicial:
    • Navegación en Open Web y Dark Web
    • Participación en foros no restringidos (sin validación humana clara)
    • Interacción controlada que NO modifique la voluntad del vendedor
    • Ejemplo válido: pedir más fotos, precio, características de un arma ya ofrecida
    • Ejemplo NO válido: pedir más armas, modificaciones, otros métodos de pago
  • Qué SÍ requiere autorización judicial:
    • Canales restringidos con administrador humano
    • Uso de identidad supuesta
    • Compras controladas

Desarrollo técnico

El ciberpatrullaje se basa en un enfoque metodológico muy estructurado. Primero, los patrulladores de distintos países monitorizan la dark web y plataformas (incluido Telegram) en busca de ofertas de armas. Lo clave aquí es que pueden interactuar con vendedores siempre que documenten conductas delictivas preexistentes sin modificar la voluntad del vendedor. Esta línea es súper fina y requiere coordinación constante con fiscalía.

Una vez recopilada la info, se hace un proceso de validación y enriquecimiento con Europol para evitar duplicidades y detectar si algún "target" es en realidad un investigador de otro país. Después se distribuyen los paquetes de inteligencia a las jurisdicciones correspondientes y se hace seguimiento de qué acciones tomó cada país. El rollo es que aunque todo se coordina, cada país tiene sus propias limitaciones legales, especialmente entre jurisdicciones anglosajonas y continentales.

Términos técnicos importantes

  • Delito provocado: Actuación policial donde el agente induce o promociona el delito. Legal en países anglosajones con restricciones, ilegal en jurisdicción continental europea
  • Foro restringido: Espacios en dark web con validación humana (administrador que aprueba accesos)
  • Foro no restringido: Espacios sin validación humana clara o automática
  • Interacción controlada: Comunicación con sospechosos que documenta conductas existentes sin modificar su voluntad
  • Paquete de inteligencia: Conjunto de información recopilada sobre un target, enriquecida y verificada, lista para enviar a jurisdicciones
  • Target: Objetivo/sospechoso identificado durante el ciberpatrullaje

Buenas prácticas mencionadas

  • Coordinación continua con fiscalía (en jurisdicción española)
  • Documentación exquisitamente detallada de todas las actuaciones
  • Networking on-site: juntar físicamente a los oficiales de todos los países para facilitar colaboración futura (aunque sería más fácil hacerlo remoto, el valor del contacto presencial es clave)
  • Incluir patrulladores de países no-UE pero socios (Moldavia, Ucrania, Estados Balcánicos) porque aún hay armas de la guerra de los Balcanes circulando

Conclusión

Me quedo con que el cibercrimen va a mover 10,5 billones en 2025 y una parte importante está vinculada al tráfico de armas online. La Operación Toro es un ejemplo de cómo se puede combatir esto de forma coordinada respetando los límites legales de cada país, que no es nada trivial. Lo más valioso es entender dónde está la línea entre recopilar inteligencia legal y cruzarla provocando delitos, especialmente en jurisdicción continental donde no podemos inducir nada. También queda claro que sin cooperación internacional y ese networking físico entre policías, este tipo de operaciones no funcionarían.

Más

  • Investigar más sobre cómo funcionan técnicamente los foros restringidos en dark web
  • Qué herramientas específicas usan para el conflictado en Europol
  • Casos de éxito concretos derivados de la Operación Toro
  • Cómo gestionan la identidad supuesta técnicamente (infraestructura, opsec)

<< cd ..

>_