El hacker Alcasec enfrenta tres años de cárcel por robar datos de medio millón de personas

Madrid, 13 abr (EFE).- La Fiscalía de la Audiencia Nacional pide tres años de cárcel para José Luis Huertas, el hacker conocido como Alcasec, por el ataque a la web del Punto Neutro Judicial del Consejo General del Poder Judicial (CGPJ), del que extrajo los datos bancarios de más de medio millón de contribuyentes.

En su escrito de acusación, al que ha tenido acceso EFE, la fiscal le aplica la atenuante muy cualificada de confesión tardía por lo que solicita para él una pena menor por sendos delitos continuados de acceso ilegal a sistemas informáticos y de descubrimiento y revelación de secretos. Gracias a su colaboración con la Justicia, se le han podido decomisar 863.000 euros de las ganancias que obtuvo de la venta de datos robados.

No sucede lo mismo con los otros dos acusados, el también hacker Daniel Baíllo y Juan Carlos O. Para el primero reclama 4 años y 4 meses de prisión por un delito continuado de acceso ilegal a sistemas informáticos y otro de descubrimiento de secretos, y le considera además cooperador necesario en la revelación de secretos de la que acusa a Alcasec.

En cuanto al tercer acusado, la fiscal únicamente le considera autor material de un delito de descubrimiento de secretos, por el que le pide 3 años y 4 meses de cárcel.

Según la fiscal, el 19 de octubre de 2021, Alcasec contrató con la mercantil Cherry Servers, con sede en Lituania, dos sistemas de almacenamiento masivo de datos con una cuenta de gmail que había creado cuando era menor de edad a fin de ocultar su verdadera identidad.

"Actuando con ánimo de ilícito enriquecimiento", obtuvo de Baíllo, que era usuario de foros rusos especializados en la venta no autorizada de contraseñas de acceso a sistemas de información restringidos, un certificado digital robado, emitido por la Fábrica Nacional de Moneda y Timbre (FNMT) para la Dirección General de Tráfico(DGT).

Dicho certificado permitía conectarse de forma remota a los sistemas de la DGT y daba acceso a la red policial mediante la asignación de una dirección IP de la red interna de la Dirección General de Policía.

Con dichas credenciales realizó 876 conexiones desde el 8 de julio de 2022 al portal de Policía Nacional (PN) “w6.policia.es”, hechos estos, la difusión y venta de los datos policiales extraídos, por los que Alcasec y Baíllo están siendo investigados en el Juzgado de Instrucción 50 de Madrid tras inhibirse la Audiencia Nacional por falta de competencia.

Una vez conectado a la intranet de la Dirección General de Policía, Alcasec consiguió otras credenciales de un funcionario de la Policía Nacional y logró navegar a través de la red SARA (Sistema de Aplicaciones y Redes para las Administraciones).

De este modo logró conectarse con la web del Punto Neutro Judicial (PNJ) del CGPJ y desde ese acceso se hizo con las credenciales de un usuario de un Juzgado de Bilbao, que utilizó para comprobar el funcionamiento del PNJ.

Huertas y Baíllo decicieron entonces crear una página falsa que simulase ser la web de acceso al PNJ, a fin de hacerse con más credenciales y poder acceder a la red de servicios.

Baíllo contrató el dominio malicioso “cgpj-pnj.com” con un subdominio que apuntaba a una dirección IP perteneciente a una empresa de la Federación Rusa.

Días después, Alcasec accedió al PNJ con las credenciales del usuario del Juzgado de Bilbao y envió comunicaciones a distintos juzgados con una cadena de texto que redirigía a la página falsa para obtener así las claves de otros usuarios.

Tras obtener otras dos credenciales de dos funcionarios judiciales que por error las introdujeron en la página falsa, Alcasec realizó 438.0099 peticiones al servicio web de “cuentas bancarias ampliadas” de la Agencia Tributaria, y poco después realizó un segundo ataque.

Al ser detectados, el CGPJ bloqueó a los dos usuarios cuyas credenciales habían sido usurpadas, puso los hechos en conocimiento de la Audiencia Nacional, y con la colaboración del Centro Criptológico Nacional (CCN) se bloqueó la página simulada.

Según comprobó el CCN, las entidades de las que se sustrajeron datos fueron Catastro, la Agencia Tributaria, la DGT, el INE, Seguridad Social, el SEPE y Policía Nacional.

Según la Agencia Tributaria, estas consultas masivas afectaron a 571.210 personas físicas, mientras que las individualizadas realizadas con anterioridad afectaron a 373 números NIF, algunos de ellos pertenecientes a personas con relevancia pública.

Para la venta de datos, Alcasec disponía del portal “uSms", donde introdujo 574.908 registros extraídos del PNJ, y las transacciones se hacían a través de la pasarela de pagos en criptomonedas “Plisio".

Dicho portal, con 17 bases de datos a la venta, llegó a tener 1.746 usuarios, de los que 518 realizaron 95.445 compras correspondientes a 30.067.574 registros vendidos y por las que ingresó 1.866.175,73 euros.

El mayor comprador fue el usuario “Lonastrump”, alias utilizado por el acusado Juan Carlos O., con 1.247.727 registros comprados por 109.876,215 euros. La intención de este acusado, al que se le intervinieron diversas armas -hallazgo que se investiga en un juzgado de Dos Hermanas (Sevilla)-, era la de lucrarse con ellos, según la fiscal.

Alcasec también contaba con el servicio “Udyat", este último para peticiones personalizadas bajo demanda y al que también tenía acceso Baíllo, quien realizó 763 búsquedas.EFE