El juez propone juzgar al 'hacker' Alcasec tras el supuesto robo de datos bancarios a casi 600.000 personas y su venta por 1,8 millones

El ciberataque a una de las bases de datos más amplias del Estado español y el robo y la venta de la información bancaria de casi 600.000 contribuyentes están a punto de llevar a José Luis Huertas, alias 'Alcasec', a las puertas de juicio en la Audiencia Nacional. El juez José Luis Calama ha propuesto juzgar al hacker de 20 años y a otros dos individuos tras investigar el mencionado ciberataque contra el Punto Neutro Judicial (PNJ), la red de telecomunicaciones gestionada por el Consejo General del Poder Judicial (CGPJ) que conecta los órganos judiciales y otras instituciones del Estado.

Además de a Huertas, Calama procesa a Daniel Baíllo y Juan Carlos Ortega. A los dos primeros se les atribuye un delito continuado de revelación de secretos y otro de acceso ilegal a sistemas informáticos. A Juan Carlos Ortega se le atribuye también revelación de secretos por la compra del material recogido por Baíllo y Huertas, y contra él Calama ha abierto una pieza separada para investigar un presunto delito de estafa. 

La propuesta de transformar la causa para enviarla a juicio se produce casi un año después de que la apertura de diligencias el 20 de octubre de 2022 a raíz de una denuncia presentada por el jefe de sección de informática del Centro de documentación judicial del CGPJ contra el supuesto ataque al PNJ. Según relata el auto de la Audiencia Nacional, el día 18 de octubre del año pasado se realizó un ciberataque al PNJ entre las 17.00 horas y las 22.37 horas con el objetivo de acceder a la base de datos de cuentas ampliadas de la Agencia Estatal de la Administración Tributaria. 

El resultado fue la filtración de los datos bancarios de 438.000 contribuyentes a los que los hackers accedieron utilizando las claves de un funcionario del Juzgado de lo Penal número 4 de Bilbao. Dos días después se produjo un segundo ataque con el mismo objetivo y los hackers lograron obtener los datos de otros 137.186 contribuyentes, esta vez utilizando las claves de un funcionario del Juzgado de lo Penal número 2 de Bilbao.

A través de una campaña de phising, los individuos utilizaron un dominio malicioso para simular la página web del PNJ y que los funcionarios introdujesen en la misma las claves de acceso. Una vez los hackers habían obtenido estas contraseñas, las usaron para acceder a la red de servicios del PNJ y consultar de forma masiva los datos.

A través de una página web se pusieron a la venta los datos, que se promocionó a través de un canal de ciberdelincuencia de Telegram cinco horas después del último acceso ilícito a la web del PNJ. En los 11 días sucesivos se vendieron datos de 109.038 contribuyentes. Juan Carlos Ortega, registrado como 'lonastrump', fue el usuario que más registros compró, un total de 15.284 que afectaron, según el auto, a 1.067 contribuyentes. Una veintena de ellos interpusieron una denuncia por delitos contra el patrimonio. En total, las denuncias señalaban el fraude de 129.096,73 euros. 

De acuerdo con las conclusiones del auto, Alcasec habría administrado "una parte esencial de la infraestructura" utilizada para el ataque y para la posterior exfiltración y venta de datos. El joven hacker difundió, reveló y cedió a terceros los datos, una actividad que le reportó "al menos" 1.866.175,73 euros. Según declaró el propio Alcasec ante el juez, entre finales de 2021 y principios del siguiente año contrató dos servidores a una empresa con sede en Lituania a la que pagaba mensualmente mediante criptomonedas. Uno de estos servidores lo utilizó para alojar la página web en la que vendía los datos bancarios.

Daniel Baíllo, por su parte, contrató el dominio utilizado para realizar las campañas de phising a través de las cuales se consiguieron las claves para acceder al PNJ. Para registrar el dominio acudió a una empresa con sede en Hong Kong. Bajo el pseudónimo 'Theskull77', Baíllo operaba en los dos mayores foros de ciberdelincuencia de origen ruso, poniendo a la venta el acceso a sistemas de información de empresas españolas. El hacker manejaba, a través de dos aplicaciones destinadas al control de escritorios en remoto, al menos 16 ordenadores localizados en Rusia, Alemania, España, Reino Unido y Ucrania. 

Juan Carlos Ortega, la tercera pieza del puzle, adquirió 30 paquetes de datos con información sobre 15.284 contribuyentes. Era el administrador y coordinador de una red de 188 personas dedicadas a la ciberdelincuencia y "a pesar de no contar con medios conocidos de vida" en 2022 ganó criptomonedas por valor de al menos 1.237.637 euros. A partir de este lunes, la Fiscalía cuenta con un plazo de diez días para solicitar la apertura del juicio oral, según dicta el auto de Calama, recurrible en el plazo de cinco días.