El 'hacker' Alcasec se enfrenta a una petición de tres años de cárcel por robar medio millón de datos bancarios

El hacker José Luis Huertas, conocido como Alcasec, se enfrenta desde el miércoles a su primer juicio en la Audiencia Nacional. La Fiscalía pide para él tres años de cárcel por el ataque, en octubre de 2022, al Punto Neutro Judicial del Consejo General del Poder Judicial (CGPJ), del que extrajo datos bancarios de más de medio millón de contribuyentes.

Alcasec lleva un año en prisión provisional por otra causa, la relativa a una red de ciberataques que se apoderó de datos "sensibles y privados" de millones de ciudadanos y que él presuntamente lideraba. Fue detenido en mayo del año pasado por estos hechos junto al ex secretario de Estado de Seguridad Francisco Martínez, quien actualmente está siendo juzgado por la operación Kitchen, presuntamente orquestada desde el Ministerio del Interior durante el Gobierno del PP de Mariano Rajoy para espiar al extestorero del partido Luis Bárcenas. Cuando se produjo su detención, Huertas se encontraba en libertad provisional tras haber permanecido mes y medio en prisión a raíz de su detención en marzo de 2023 por el ataque a la web del CGPJ.

El juez José Luis Calama, de plena actualidad tras imputar al expresidente del Gobierno José Luis Rodríguez Zapatero en el caso Plus Ultra, acordó excarcelarle, con el visto bueno de la Fiscalía, atendiendo a su edad -19 años entonces- y a su compromiso de colaborar con la Justicia, que se materializó con la recuperación de 863.000 euros de las ganancias que obtuvo de la venta de datos robados. En su escrito de acusación, la fiscal del caso le aplica la atenuante muy cualificada de confesión tardía, por lo que solicita para él una pena más leve por sendos delitos continuados de acceso ilegal a sistemas informáticos y de descubrimiento y revelación de secretos.

Junto a él se sentarán en el banquillo otros dos acusados, el también hacker Daniel Baíllo y Juan Carlos O. Para el primero reclama 4 años y 4 meses de prisión por un delito continuado de acceso ilegal a sistemas informáticos y otro de descubrimiento de secretos. Le considera además cooperador necesario en la revelación de secretos de la que acusa a Alcasec. Al tercer acusado, la fiscal le considera autor material de un delito de descubrimiento de secretos, por el que le pide 3 años y 4 meses de cárcel.

Conexión lituana y foros rusos

Según la fiscal, el 19 de octubre de 2021, Alcasec contrató con la mercantil Cherry Servers, con sede en Lituania, dos sistemas de almacenamiento masivo de datos con una cuenta de Gmail que había creado cuando era menor de edad a fin de ocultar su verdadera identidad. "Actuando con ánimo de ilícito enriquecimiento", obtuvo de Baíllo, que era usuario de foros rusos especializados en la venta no autorizada de contraseñas de acceso a sistemas de información restringidos, un certificado digital robado, emitido por la Fábrica Nacional de Moneda y Timbre para la Dirección General de Tráfico (DGT).

Dicho certificado permitía conectarse de forma remota a los sistemas de la DGT y daba acceso a la red interna de la Dirección General de Policía. Con dichas credenciales realizó 876 conexiones al portal de Policía Nacional, y logró navegar a través de la red SARA (Sistema de Aplicaciones y Redes para las Administraciones). De este modo logró conectarse con la web del Punto Neutro Judicial (PNJ) y obtuvo las credenciales de un funcionario de un Juzgado de Bilbao, que utilizó para conocer el funcionamiento del PNJ.

Huertas y Baíllo crearon después una página falsa que simulase ser la web de acceso al PNJ, al que Alcasec accedió posteriormente y envió a distintos juzgados una cadena de texto que redirigía a la página falsa para obtener así las claves de otros usuarios. Tras obtener otras dos credenciales de dos funcionarios que por error las introdujeron en la página falsa, Alcasec realizó 438.099 peticiones al servicio web de "cuentas bancarias ampliadas" de la Agencia Tributaria, y poco después realizó un segundo ataque. Al ser detectados, el CGPJ bloqueó a los dos usuarios cuyas credenciales habían sido usurpadas, puso los hechos en conocimiento de la Audiencia Nacional y se bloqueó la página simulada.

Para la venta de datos, algunos de personas relevantes, Alcasec disponía del portal "uSms", donde introdujo 574.908 registros extraídos del PNJ, y las transacciones se hacían a través de la pasarela de pagos en criptomonedas Plisio. El mayor comprador fue el usuario "Lonastrump", alias utilizado por el acusado Juan Carlos O., que invirtió 109.876 euros. La intención de este acusado, al que se le intervinieron diversas armas -hallazgo que se investiga en un juzgado de Dos Hermanas (Sevilla)-, era la de lucrarse con esos datos, según la fiscal.