Alcasec, el hacker que se jactaba de tener datos del 90% de los españoles

Nieves Albarracín

Madrid, 28 may (EFE).- José Luis Huertas, Alcasec, es uno de los hackers españoles más conocidos y peligrosos por el gran impacto en la seguridad que han tenido sus ciberataques. Tanto, que él mismo llegó a jactarse de tener datos del 90 por ciento de los españoles.

Huertas, con poco más de 20 años acumula detenciones por ataques que han comprometido la seguridad del Estado (entre otros a las bases de datos de la Policía o al Punto Neutro Judicial) y de los que ha obtenido información vendida posteriormente en el mercado ilícito por importe de casi 2 millones de euros.

Siendo menor de edad ya accedió a las bases de la Dirección General de la Policía, lo que propició su primera detención, en la que le asistió como abogado el exsecretario de Estado de Interior del PP Francisco Martínez, con el que ahora ha sido detenido de nuevo en la llamada operación Borraska.

En 2021 se produjo su primer arresto como presunto autor de un delito de intrusión informática y de revelación de secretos, al acceder a diferentes bases de datos policiales, a las que volvió a entrar durante el periodo en el que estuvo internado en un Centro de Menores de Almería a través del ordenador del aula de formación de un instituto en 2022.

Entre ellas a Caupol, una herramienta interna que permite conocer los nombres de las personas cuya información consultan los agentes y también qué agentes lo están consultando.

Al detectar ese nuevo ataque, la Subdirección General de Logística e Innovación de la Policía Nacional consiguió bloquear el acceso remoto a la red corporativa, y el joven, ante la posibilidad de una inminente detención, amenazó con publicar los datos personales de los miembros de la Policía Nacional a los que había accedido.

En marzo de 2023, ya con 19 años, volvió a ser detenido por orden de la Audiencia Nacional por el ataque en octubre de 2022 a la web del Punto Neutro Judicial del Consejo General del Poder Judicial (CGPJ), del que extrajo los datos bancarios de más de medio millón de contribuyentes.

Ofertaba todos los datos que había ido sustrayendo en sus ciberataques a través de una plataforma llamada Udyat “El ojo de Horus”, en referencia a este símbolo egipcio y la capacidad de esta arquitectura informática para obtener datos personales y sensibles. En una entrevista en Youtube llegó a jactarse sobre su acceso a información del 90% de los ciudadanos españoles.

A través de esa plataforma, los investigadores calculan que en total pudo embolsarse 1.866.175,73 euros.

Tras pasar mes y medio en prisión, Huertas optó por colaborar con la Justicia y pidió declarar ante el juez de la Audiencia Nacional José Luis Calama, que fue el que le envió a la cárcel y quien decidió después ponerle en libertad provisional al facilitarle las contraseñas de los dispositivos en los que guardaba su cartera de bitcoins, Trust Wallet.

En sus dispositivos electrónicos se intervinieron un total de 32,943 bitcoins (BTC), que pudieron ser decomisados de forma cautelar por el Juzgado.

Tras ser transformados esos bitcoins, el Juzgado transfirió un total de 863.375,37 euros a la ORGA, organismo de la Administración General del Estado y auxiliar del Ministerio de Justicia, para su ingreso en su cuenta de depósitos y consignaciones.

Alcasec facilitó además la contraseña de un Iphone y el estudio del teléfono reveló que del 27 de diciembre de 2021 al 4 de febrero de 2022 recibió notificaciones de movimientos de criptomonedas por valor de 365.000 euros.

La investigación de la Audiencia Nacional, según consta en los informes policiales, permitió acreditar el acceso ilícito de Alcasec junto a otro hacker, Daniel Baíllo, además de al Punto Neutro Judicial, a las bases de la DGT, lo que les permitía la venta de permisos de conducir falsos, el incremento de puntos de carné y la consulta de datos en tiempo real.

También a los sistemas de información de la Agencia Tributaria, de donde extrajo más de cuarenta mil registros relativos a usuarios de cuentas de correo oficiales de dicho organismo.

Asimismo entraron en la base de datos de la operadora de telefonía Yoigo, a la que usurparon datos de carácter personal y bancario de más de 900.000 clientes.

A través de la red SARA, accedieron también a los sistemas de información de la Comunidad de Madrid, presidencia y sanidad, hechos que se investigan en un juzgado de instrucción de Madrid, al igual que el acceso a bases policiales de la Dirección General de la Policía, cuyos datos ofertaban presuntamente a miembros de grupos criminales a cambio de dinero.

Otra de sus incursiones fue a las bases de datos del gobierno de la República del Perú, lo que les permitió la falsificación de documentos de identidad de ese país.

Cometieron además estafas telemáticas, entre otros, contra dos exfutbolistas del Real Madrid, a uno de los cuales le usurparon 324.262,59 euros.

Alcasec está pendiente de ser juzgado por la causa relativa al acceso al Punto Neutro Judicial junto a Baíllo y otro acusado. La Fiscalía de la Audiencia Nacional pide para Huertas tres años de cárcel por sendos delitos continuados de acceso ilegal a sistemas informáticos y de descubrimiento y revelación de secretos, una pena leve al aplicarle la atenuante muy cualificada de confesión tardía.

Tras salir de prisión dio signos de cierto arrepentimiento y llegó a asegurar que la cárcel le había venido bien, si bien en 2024 volvió a ser detenido en relación a nuevos ciberataques y las veces que ha sido citado como imputado en distintos juzgados se ha acogido a su derecho a no declarar.

Ahora, ha vuelto a ser detenido como integrante de una red dedicada a lanzar ciberataques a organismos del estado y empresas estratégicas con los que habrían conseguido robar datos de millones de españoles y por organizar una estructura con ramificaciones internacionales para el blanqueo de ese dinero.

En el listado de ataques aparecen sistemas educativos, registro civil, registros de mascotas, abonos de transporte, registros telefónicos y plataformas de facturación de compañías eléctricas. EFE