La Policía ha acabado, al menos de momento, con las andanzas del más precoz y peligroso delincuente informático de España. Un chico de tan solo diecinueve años que se hacía llamar Alcasec está en prisión acusado de haber robado los datos personales de más de medio millón de contribuyentes, datos que después vendió y por los que obtuvo, según la investigación, más de medio millón de dólares.
José Luis Huertas Rubio, que así se llama en realidad Alcasec, contaba en un vídeo, que estaba colgado en Tik Tok y que forma parte de una emisión del canal de You Tube Club 113, cómo había entrado hasta la cocina, según sus propias palabras, en los servidores de 'Mediaset', pensando que 'La Sexta' pertenecía a ese grupo de comunicación. Era su peculiar forma de vengarse y responder a las informaciones que en 'La Sexta' hablaron sobre él y sobre su manera de ganarse la vida, que en aquel momento eran las estafas.
Ahora, Alcasec ha sido detenido en la Operación Pousada, un trabajo de la Comisaría General de Información, concretamente de la sección que se encarga de perseguir las intrusiones cibernéticas que ponen en riesgo la seguridad nacional.
¿Cuándo y cómo empezó esta operación Pousada?
El Consejo General del Poder Judicial avisó en noviembre a la Policía de que sus servidores informáticos habían sufrido un grave ciberataque. Un hacker había accedido al punto neutro judicial, la red de servicios que el CGPJ tiene para poder tener información procedente de otros organismos de la Administración General del Estado. Las alarmas saltaron ante la masiva cantidad de datos que habían sido solicitados en un corto espacio de tiempo por dos juzgados de Bilbao, algo fuera de lo normal.
El 18 de octubre y el 20 de octubre de 2022 un hacker atacó ese punto neutro, se coló en esos servidores. Pero el objetivo del asalto no eran los procedimientos judiciales, los sumarios allí depositados o los millones de sentencias a las que se puede acceder, sino la pasarela que permite a los funcionarios judiciales consultar datos de la Agencia Tributaria. De esta forma, el hacker se llevó más de un millón de datos bancarios, cuentas, saldos y otros datos privados de 575.186 contribuyentes en apenas diez horas de trabajo.
¿Cómo es posible que pase?
Los sistemas de la Administración Pública están bien armados y protegidos, pero el ataque estuvo muy bien preparado. El hacker se había hecho con las credenciales de varios funcionarios de los juzgados de Bilbao, a los que envió una página web falsa que simulaba ser el acceso real al punto neutro judicial. Cuando estos funcionarios colocaron allí su usuario y su contraseña, los datos confidenciales fueron remitidos directamente al hacker. Después, una vez dentro del punto neutro y hallada la conexión con la agencia tributaria, el delincuente creó un programa informático capaz de realizar miles de consultas a la base de datos de Hacienda en muy poco tiempo.
Después de esto, la Comisaría General de Información y el Centro Criptológico Nacional comenzó a investigar el caso. Lo primero que detectaron fue que los datos habían sido transferidos a dos servidores de una empresa llamada Cherry Servers, con sede en Lituania. Trabajando con esos servidores, los investigadores encontraron una aplicación allí instalada llamada Gajim, una mensajería instantánea configurada con el nombre de usuario "chimichurri", una especie de WhastApp que funcionaba bajo sus propios servidores y que, por tanto, no dejaba rastro en los ordenadores de terceros.
Según el auto del juez de la Audiencia Nacional que envió a Alcasec a prisión, "se ha acreditado provisionalmente que el usuario Chimichurri es José Luis Huertas, el cual utiliza esta aplicación para mantener todo tipo de conversaciones sobre su actividad delictiva".
'Chimichurri', la pista que llevó a la Policía hasta Alcasec
En Internet todo deja rastro y el de "Chimichurri" fue uno de los que dejó Alcasec, pero "Mango" fue otro. Con ese otro alias figura en la plataforma digital usms como el vendedor de la información extraída a través del ciberataque al Poder Judicial mediante una base de datos bautizada como "DB 12 Fucking Crazy Bank" ("DB 12 Puto Banco Loco", en español). Mango es el mismo alias que Alcasec usaba en un canal de la aplicación Telegram que administraba y donde compartió documentación personal de él mismo, como una autorización temporal para conducir, un informe de calificaciones emitido por el Centro de Estudios González Cañadas o los datos de una tarjeta de crédito.
¿Cuál fue el beneficio económico para Alcasec?
Alcasec y su familia llevaban un altísimo tren de vida, que incluía viajes, ropa cara, visitas a locales exclusivos y coche y motos de lujo. El último coche que manejaba este chico de 19 años era un Mercedes Benz coupé clase C. El fin último del robo de los datos de medio millón de contribuyentes era venderlos a través de la plataforma usms, que él mismo administraba. La Policía ha seguido el camino de las criptomonedas usadas para contratar los servidores donde se guardó la información robada, es decir, ha seguido el rastro del dinero.
Los agentes comprobaron que, desde dos monederos usados para pagar estos servicios, se transfirieron bitcoins por valor de 543.514 dólares a otro monedero controlado por Alcasec. Para la venta de esos datos, la Policía halló en uno de los servidores lituanos una especie de buscador, una base de datos orientada como un servicio de consultas y venta de información ilícita que el propio Alcasec denominó Udyat, 'el ojo de Horus', lo que él mismo consideraba su gran creación, su gran obra, con la que aspiraba a tener los datos del 90% de los españoles.
Alcasec, a prisión
Hasta ahora, todas las detenciones de Alcasec habían sido cuando él era menor y por delitos con mucha menos carga penal que los que ha cometido ahora. Alcasec podría enfrentarse por esta intrusión al punto neutro judicial a una pena superior a cinco años de prisión, pues se le atribuye un delito continuado de revelación de secretos, que contempla una mayor sanción cuando los datos personales se difunden, revelan o ceden a terceros con fines lucrativos, tal y como ha sido en este caso, según él mismo reveló.
Además, Alcasec tiene "importantes cantidades de criptomonedas que le permitirían disponer de liquidez suficiente para residir en cualquier parte del mundo, eludiendo la acción de la Justicia española", argumenta el magistrado de la Audiencia Nacional José Luis Calama en su auto de prisión. Entiende que esta medida además impide al detenido destruir posibles pruebas, "manipulando los repositorios informáticos donde tiene depositados los datos objeto de su actividad delictiva", así como evitar una posible reiteración delictiva. Cuenta con "capacidad demostrada" para ello, según el juez.
Los antecendetes de Alcasec
Su último arresto fue en marzo de 2022, poco antes de cumplir dieciocho años. La Policía lo consideraba el cerebro de un ciberataque al Ayuntamiento de Granada y a una consejería de la Comunidad de Madrid, instituciones a cuyos sistemas accedió junto a otros siete jóvenes para cambiar la domiciliación de las nóminas más cuantiosas. Este dinero, unos 53.000 euros, fue desviado a dos cuentas bancarias abiertas con documentación falsificada. Después, los detenidos convertían el dinero extraviado en criptomonedas.
Alcasec comenzó su actividad delictiva con 15 años, cuando hackeó la plataforma de televisión HBO y creó más de 151.000 cuentas con dos meses de suscripción gratuita que regaló por Instagram, lo que le valió el apodo de 'Robin Hood', un alias bastante discutible visto de lo que está ahora acusado.
También en sus inicios Alcasec hackeó BiciMad, el servicio de alquiler de bicicletas públicas de Madrid. Él mismo contó que lo hizo a plena luz del día, de resaca, desde una de las máquinas que están en la calle. Cualquier madrileño que se acercó a alquilar una bici ese día lo pudo hacer gratis y vio una firma en el terminal: 'Hackeado por Alca'.