El hacker Alcasec acepta dos años y siete meses de prisión por el robo de datos al CGPJ: un historial de ciberataques que comenzó con HBO y Burger King

José Luis Huertas, conocido como Alcasec, ha aceptado en la Audiencia Nacional una condena de dos años y siete meses de prisión tras alcanzar un acuerdo de conformidad con la Fiscalía por el robo de más de medio millón de datos bancarios de ciudadanos. Los hechos se remontan a un ataque informático cometido en octubre de 2022 contra el Punto Neutro Judicial del Consejo General del Poder Judicial (CGPJ), considerado el episodio más grave atribuido al joven.

El acusado, de 22 años, se encontraba en prisión provisional y acumula una trayectoria previa de ciberataques desde su adolescencia, dirigidos tanto a empresas privadas como a organismos públicos. Entre los objetivos atribuidos figuran HBO, BiciMAD, Burger King, la sanidad pública, la Dirección General de Tráfico (DGT), la Policía Nacional y el Ministerio del Interior, además del propio CGPJ.

El acuerdo con la Fiscalía ha permitido rebajar la pena inicialmente solicitada, de tres años de prisión, al aplicarse la atenuante de confesión. El acusado ha reconocido los delitos de acceso ilegal a sistemas informáticos y descubrimiento y revelación de secretos. En la misma causa, los otros dos investigados también han alcanzado un acuerdo con la Fiscalía y han admitido los hechos.

Así se produjo el ciberataque al CGPJ

Huertas accedió de forma ilícita al Punto Neutro Judicial utilizando credenciales de dos funcionarios de la Administración de Justicia, según el auto judicial. Desde ese acceso, llegó a la base de datos de “cuentas ampliadas” de la Agencia Tributaria, de la que habría extraído información bancaria de 575.186 contribuyentes. Parte de esos datos habrían sido posteriormente comercializados a través de la plataforma uSms con criptomonedas.

Según el relato de la Fiscalía, el 19 de octubre de 2021 Alcasec contrató con la empresa Cherry Servers, con sede en Lituania, dos sistemas de almacenamiento masivo de datos utilizando una cuenta de Gmail creada cuando era menor de edad.

Posteriormente, habría obtenido de Daniel B.E., usuario de foros especializados en la compraventa ilícita de credenciales, un certificado digital presuntamente sustraído, emitido por la Fábrica Nacional de Moneda y Timbre a nombre de la Dirección General de Tráfico (DGT). Con este certificado logró acceder a la red SARA y posteriormente al Punto Neutro Judicial (PNJ), donde obtuvo credenciales de un funcionario de un juzgado de Bilbao.

A partir de ese acceso, Alcasec y Daniel B.E. habrían creado una página web que simulaba la del PNJ. Después, se enviaron enlaces a distintos juzgados con el objetivo de que los funcionarios introdujeran sus credenciales en la página falsa. Tras conseguir las claves de dos usuarios, se realizaron 438.099 solicitudes al servicio de “cuentas bancarias ampliadas” de la Agencia Tributaria.

Para la comercialización de los datos, que incluían información de carácter sensible, Alcasec utilizaba el portal uSms, donde se habrían cargado 574.908 registros extraídos del sistema. Las transacciones se realizaban mediante criptomonedas a través de la plataforma Plisio. El principal comprador fue Juan Carlos O.G., que habría invertido 109.876 euros.

Por su parte, Daniel B.E. y Juan Carlos O.G. también han alcanzado un acuerdo de conformidad con la Fiscalía y han reconocido su implicación. El primero ha aceptado una pena de dos años y dos meses de prisión como cooperador, mientras que el segundo ha sido condenado a un año y tres meses por un delito de descubrimiento de secretos. Asimismo, los dos acusados han aceptado el comiso del dinero y de los efectos intervenidos en los registros practicados en distintos domicilios vinculados a los investigados.

El historial del hacker

El hacker fue detenido el 27 de mayo del año pasado en el marco de una operación de la Policía Nacional dirigida por la Audiencia Nacional contra una presunta red dedicada a la extracción y comercialización de datos personales y bancarios. En el momento del arresto se encontraba en libertad provisional, tras haber permanecido previamente alrededor de mes y medio en prisión preventiva por su detención en marzo de 2023, relacionada con el ataque al CGPJ.

Sin embargo, la trayectoria Alcasec no comienza con ese caso. Sus primeras actuaciones se remontan a cuando tenía 15 años, con un presunto acceso a HBO, donde habría creado más de 150.000 cuentas con suscripción gratuita. Posteriormente, se le atribuyen intrusiones en sistemas como BiciMAD y Burger King, así como el acceso y difusión de datos personales sensibles, entre ellos la ficha médica del líder de Vox, Santiago Abascal.

Con el tiempo, sus objetivos habrían escalado hacia organismos públicos. Se le atribuyen accesos a bases de datos del Ministerio del Interior y la Dirección General de Tráfico (DGT), así como investigaciones sobre expediciones irregulares de permisos de conducir. También figuran presuntos desvíos de fondos en ayuntamientos como Granada y Fuenlabrada.

Entre otros episodios, destaca un ataque a Mediaset, supuestamente por confusión con LaSexta, en el que se habrían realizado compras con una tarjeta digital asociada a Paolo Vasile por valor de hasta 300.000 euros, según información publicada por El Mundo. Su entorno también ha sido objeto de investigación y atención mediática, con vínculos con el conocido Pequeño Nicolás, con quien habría colaborado en el acceso y uso de bases de datos obtenidas de forma ilícita.

Elaborado con información de Efe