La Fiscalía de la Audiencia Nacional ha solicitado tres años de prisión para José Luis Huertas, conocido como Alcasec, por el ciberataque a la web del Punto Neutro Judicial (PNJ) del Consejo General del Poder Judicial (CGPJ), del que sustrajo datos bancarios de más de 571.000 contribuyentes.

La fiscalía le aplica la atenuante muy cualificada de confesión tardía, lo que ha permitido reducir la petición de pena por los delitos continuados de acceso ilegal a sistemas informáticos y descubrimiento y revelación de secretos. Gracias a su colaboración, las autoridades han decomisado 863.000 euros de sus beneficios obtenidos por la venta de datos robados.

Los cómplices y la red criminal

No ocurre lo mismo con los otros dos acusados: Daniel Baíllo, también hacker, y Juan Carlos O.

• Para Baíllo, la Fiscalía solicita 4 años y 4 meses de prisión, considerándolo cooperador necesario en la revelación de secretos y autor de delitos informáticos.

• A Juan Carlos O., presunto comprador masivo de datos y hallado en posesión de armas (investigado en Dos Hermanas, Sevilla), se le atribuye un delito de descubrimiento de secretos, por el que se solicitan 3 años y 4 meses de cárcel.

Así se fraguó el ciberataque

Todo comenzó el 19 de octubre de 2021, cuando Huertas contrató dos sistemas de almacenamiento en la empresa Cherry Servers (Lituania) utilizando una cuenta falsa de Gmail. Usando un certificado digital robado de la DGT, facilitado por Baíllo, logró infiltrarse en la red policial y acceder a la intranet de la Dirección General de Policía.

Desde ahí, obtuvo credenciales judiciales del PNJ, accedió a la red SARA, y junto a Baíllo creó una página web falsa (cgpj-pnj.com) para captar nuevas claves de funcionarios. Dos usuarios judiciales cayeron en la trampa.

Con sus credenciales, Alcasec realizó 438.099 peticiones al servicio de cuentas bancarias ampliadas de la Agencia Tributaria, además de un segundo ataque posterior.

El alcance del robo

El Centro Criptológico Nacional (CCN) confirmó que la intrusión afectó a múltiples organismos: Catastro, Agencia Tributaria, DGT, INE, Seguridad Social, SEPE y Policía Nacional. Las consultas ilegales afectaron a 571.210 ciudadanos, además de 373 NIF de personas relevantes.

Para monetizar los datos, Alcasec creó el portal 'uSms', con 574.908 registros extraídos y 17 bases de datos en venta. Tuvo 1.746 usuarios registrados, de los cuales 518 realizaron 95.445 compras, vendiéndose más de 30 millones de registros y generando ingresos de 1.866.175,73 euros.

El mayor comprador fue 'Lonastrump', alias de Juan Carlos O., con 1.247.727 registros adquiridos por 109.876 euros.

Además, Alcasec ofrecía un servicio VIP llamado 'Udyat', con búsquedas personalizadas, al que también tenía acceso Baíllo, quien realizó 763 consultas.