Fiscalía Pide Tres Años de Cárcel para Alcasec por Hackeo Masivo al CGPJ y Venta de Datos Bancarios
Madrid (España).- La Fiscalía de la Audiencia Nacional ha solicitado una pena de tres años de prisión para José Luis Huertas, el conocido hacker “Alcasec”, por su implicación en el ciberataque a la web del Punto Neutro Judicial (PNJ) del Consejo General del Poder Judicial (CGPJ). Este ataque resultó en la sustracción de los datos bancarios de más de medio millón de contribuyentes.
En su escrito de acusación, al que ha tenido acceso la agencia EFE, la fiscal ha aplicado a Alcasec la atenuante muy cualificada de confesión tardía, lo que justifica la petición de una pena menor por los delitos continuados de acceso ilegal a sistemas informáticos y de descubrimiento y revelación de secretos. La colaboración de Huertas con la justicia ha sido clave para el decomiso de 863.000 euros, obtenidos de la venta de los datos robados.
Duras penas para los otros acusados
La situación es diferente para los otros dos acusados en el caso. Para Daniel Baíllo, otro hacker implicado, la Fiscalía solicita una pena de 4 años y 4 meses de cárcel por un delito continuado de acceso ilegal a sistemas informáticos y otro de descubrimiento de secretos. Además, se le considera cooperador necesario en la revelación de secretos de la que se acusa a Alcasec.
En cuanto al tercer acusado, identificado como Juan Carlos O., la fiscal lo considera únicamente autor material de un delito de descubrimiento de secretos, solicitando para él una pena de 3 años y 4 meses de prisión.
Certificado digital robado como llave del ataque
La investigación revela que el 19 de octubre de 2021, Alcasec contrató dos sistemas de almacenamiento masivo de datos con la empresa lituana Cherry Servers, utilizando una cuenta de Gmail creada durante su minoría de edad para ocultar su identidad.
Según la fiscal, Alcasec obtuvo de Daniel Baíllo, quien frecuentaba foros rusos especializados en la venta ilegal de credenciales de acceso, un certificado digital robado perteneciente a la Fábrica Nacional de Moneda y Timbre (FNMT) y emitido para la Dirección General de Tráfico (DGT).
Este certificado permitió a Alcasec conectarse remotamente a los sistemas de la DGT y acceder a la red policial mediante la asignación de una dirección IP de la red interna de la Dirección General de Policía. Con estas credenciales, realizó 876 conexiones al portal de la Policía Nacional desde el 8 de julio de 2022. Estos hechos, junto con la posterior difusión y venta de los datos policiales extraídos, son objeto de investigación en otro juzgado de Madrid tras la inhibición de la Audiencia Nacional por falta de competencia.
Intrusión en la intranet policial y el CGPJ
Una vez dentro de la intranet de la Policía Nacional, Alcasec obtuvo las credenciales de otro funcionario y logró navegar a través de la red SARA (Sistema de Aplicaciones y Redes para las Administraciones). Esto le permitió conectarse a la web del Punto Neutro Judicial (PNJ) del CGPJ, desde donde sustrajo las credenciales de un usuario de un juzgado de Bilbao, utilizándolas para verificar el funcionamiento del sistema.
Posteriormente, Alcasec y Baíllo crearon una página web falsa que simulaba el sitio de acceso al PNJ, con el objetivo de obtener más credenciales y acceder a la red de servicios. Baíllo registró el dominio malicioso “cgpj-pnj.com” con un subdominio que redirigía a una dirección IP perteneciente a una empresa de la Federación Rusa.
Alcasec utilizó las credenciales del usuario del Juzgado de Bilbao para acceder al PNJ y envió comunicaciones a distintos juzgados con un enlace que redirigía a la página falsa, logrando así obtener las claves de otros usuarios.
Acceso masivo a datos de la Agencia Tributaria
Tras obtener las credenciales de dos funcionarios judiciales que las introdujeron por error en la página falsa, Alcasec realizó 438.009 peticiones al servicio web de “cuentas bancarias ampliadas” de la Agencia Tributaria, llevando a cabo un segundo ataque de gran magnitud.
Al ser detectadas las intrusiones, el CGPJ bloqueó las cuentas de los dos usuarios comprometidos, informó de los hechos a la Audiencia Nacional y, con la colaboración del Centro Criptológico Nacional (CCN), bloqueó la página web falsa.
Las investigaciones del CCN revelaron que las entidades de las que se sustrajeron datos incluían el Catastro, la Agencia Tributaria, la DGT, el INE, la Seguridad Social, el SEPE y la Policía Nacional. La Agencia Tributaria confirmó que las consultas masivas afectaron a 571.210 personas físicas, además de las consultas individualizadas previas que afectaron a 373 números de NIF, algunos pertenecientes a figuras públicas.
Venta de datos a través de plataformas online
Para la venta de los datos robados, Alcasec utilizaba el portal “uSms”, donde introdujo 574.908 registros extraídos del PNJ. Las transacciones se realizaban a través de la pasarela de pagos en criptomonedas “Plisio”.
Este portal, que llegó a ofrecer 17 bases de datos a la venta, contó con 1.746 usuarios, de los cuales 518 realizaron 95.445 compras, correspondientes a 30.067.574 registros vendidos, generando ingresos por valor de 1.866.175,73 euros.
El mayor comprador fue el usuario “Lonastrump”, alias utilizado por Juan Carlos O., quien adquirió 1.247.727 registros por 109.876,215 euros. La fiscal sostiene que la intención de este acusado era lucrarse con los datos. En el registro de su domicilio se incautaron diversas armas, un hallazgo que está siendo investigado en otro juzgado de Sevilla.
Alcasec también operaba el servicio “Udyat”, destinado a peticiones personalizadas de datos bajo demanda, al que también tenía acceso Daniel Baíllo, quien realizó 763 búsquedas a través de esta plataforma.
