El hacker Alcasec podría pasar tres años en prisión por el robo de datos a 500,000 personas

La Fiscalía de la Audiencia Nacional solicita tres años de cárcel para José Luis Huertas, el hacker conocido como Alcasec, por el ataque a la web del Punto Neutro Judicial del Consejo General del Poder Judicial (CGPJ), del cual extrajo los datos bancarios de más de medio millón de contribuyentes.

En su escrito de acusación, al que ha tenido acceso EFE, la fiscal aplica la atenuante muy cualificada de confesión tardía, por lo que solicita para él una pena menor por los delitos continuados de acceso ilegal a sistemas informáticos y de descubrimiento y revelación de secretos. Gracias a su colaboración con la Justicia, se han podido decomisar 863.000 euros de las ganancias que obtuvo de la venta de datos robados.

Los otros acusados

No sucede lo mismo con los otros dos acusados, el también hacker Daniel Baíllo y Juan Carlos O. Para el primero, se reclaman 4 años y 4 meses de prisión por un delito continuado de acceso ilegal a sistemas informáticos y otro de descubrimiento de secretos. Además, se le considera cooperador necesario en la revelación de secretos de la que se acusa a Alcasec.

En cuanto al tercer acusado, la fiscal únicamente lo considera autor material de un delito de descubrimiento de secretos, por el cual solicita una pena de 3 años y 4 meses de cárcel.

Con un certificado digital robado

Según la fiscal, el 19 de octubre de 2021, Alcasec contrató con la empresa Cherry Servers, con sede en Lituania, dos sistemas de almacenamiento masivo de datos utilizando una cuenta de Gmail que había creado cuando era menor de edad, con el fin de ocultar su verdadera identidad.

«Con la intención de enriquecerse ilícitamente, obtuvo de Baíllo, quien era usuario de foros rusos especializados en la venta no autorizada de contraseñas de acceso a sistemas de información restringidos, un certificado digital robado, emitido por la Fábrica Nacional de Moneda y Timbre (FNMT) para la Dirección General de Tráfico (DGT).»

El certificado permitía la conexión remota a los sistemas de la DGT y proporcionaba acceso a la red policial mediante la asignación de una dirección IP de la red interna de la Dirección General de Policía.

Con dichas credenciales, realizó 876 conexiones al portal de la Policía Nacional (PN) «w6.policia.es» desde el 8 de julio de 2022. Estos hechos, la difusión y venta de los datos policiales extraídos, son por los que Alcasec y Baíllo están siendo investigados en el Juzgado de Instrucción 50 de Madrid, después de que la Audiencia Nacional se inhibiera por falta de competencia.

En la intranet de la Policía Nacional y en el CGPJ

Una vez conectado a la intranet de la Dirección General de Policía, Alcasec obtuvo las credenciales de otro funcionario de la Policía Nacional y logró navegar a través de la red SARA (Sistema de Aplicaciones y Redes para las Administraciones).

De este modo, logró conectarse a la web del Punto Neutro Judicial (PNJ) del CGPJ y, desde ese acceso, obtuvo las credenciales de un usuario de un juzgado de Bilbao, las cuales utilizó para comprobar el funcionamiento del PNJ.

Huertas y Baíllo decidieron entonces crear una página falsa que simulara ser el sitio web de acceso al PNJ, con el fin de obtener más credenciales y poder acceder a la red de servicios.

Baíllo registró el dominio malicioso “cgpj-pnj.com” con un subdominio que dirigía a una dirección IP perteneciente a una empresa de la Federación Rusa.

Días después, Alcasec accedió al PNJ utilizando las credenciales del usuario del Juzgado de Bilbao y envió comunicaciones a distintos juzgados con una cadena de texto que redirigía a la página falsa para obtener las claves de otros usuarios.

Acceso a la Agencia Tributaria 

Tras obtener otras dos credenciales de dos funcionarios judiciales que, por error, las introdujeron en la página falsa, Alcasec realizó 438,009 peticiones al servicio web de «cuentas bancarias ampliadas» de la Agencia Tributaria, y poco después llevó a cabo un segundo ataque.

Al ser detectados, el CGPJ bloqueó a los dos usuarios cuyas credenciales habían sido usurpadas, informó de los hechos a la Audiencia Nacional y, con la colaboración del Centro Criptológico Nacional (CCN), bloqueó la página simulada.

Según comprobó el CCN, las entidades de las que se sustrajeron datos fueron el Catastro, la Agencia Tributaria, la DGT, el INE, la Seguridad Social, el SEPE y la Policía Nacional.

Según la Agencia Tributaria, estas consultas masivas afectaron a 571,210 personas físicas, mientras que las consultas individualizadas realizadas con anterioridad afectaron a 373 números de NIF, algunos de los cuales pertenecen a personas con relevancia pública.

Cómo vendía los datos

Para la venta de datos, Alcasec disponía del portal «uSms», donde introdujo 574,908 registros extraídos del PNJ, y las transacciones se realizaban a través de la pasarela de pagos en criptomonedas «Plisio».

Dicho portal, con 17 bases de datos a la venta, llegó a tener 1,746 usuarios, de los cuales 518 realizaron 95,445 compras, correspondientes a 30,067,574 registros vendidos, por las que ingresó 1,866,175.73 euros.

El mayor comprador fue el usuario «Lonastrump», alias utilizado por el acusado Juan Carlos O., quien adquirió 1.247.727 registros por 109.876,215 euros. La intención de este acusado, a quien se le incautaron diversas armas -un hallazgo que se investiga en un juzgado de Dos Hermanas (Sevilla)-, era lucrarse con ellos, según la fiscal.

Alcasec también contaba con el servicio «Udyat», el cual estaba destinado a peticiones personalizadas bajo demanda y al que también tenía acceso Baíllo, quien realizó 763 búsquedas.