José Luis Huertas, conocido en el mundo digital como Alcasec, ha llegado a un acuerdo de conformidad con la Fiscalía ante la Audiencia Nacional. Como parte del pacto, el joven de 22 años aceptó una condena de dos años y siete meses de prisión por el robo de más de medio millón de datos bancarios de ciudadanos. Este caso se originó en un ataque informático perpetrado en octubre de 2022 contra el Punto Neutro Judicial del Consejo General del Poder Judicial (CGPJ), considerado el episodio más grave en el historial del acusado.
Huertas, quien se encontraba en prisión provisional, acumula una larga trayectoria de ciberataques desde su adolescencia. Sus blancos han incluido tanto a empresas privadas como a entidades públicas. Entre los objetivos que se le atribuyen figuran HBO, BiciMAD, Burger King, la sanidad pública, la Dirección General de Tráfico (DGT), la Policía Nacional y el Ministerio del Interior, además del propio CGPJ.
Gracias al acuerdo con la Fiscalía, se logró reducir la pena inicial que se solicitaba, la cual era de tres años de prisión, al aplicarse la atenuante de confesión. El acusado ha admitido los delitos de acceso ilegal a sistemas informáticos y descubrimiento y revelación de secretos. En el mismo proceso, los otros dos investigados también cerraron un acuerdo con el Ministerio Público y confesaron su participación en los hechos.
Los detalles del ataque al sistema judicial
Huertas ingresó de manera ilícita al Punto Neutro Judicial utilizando credenciales de dos funcionarios de la Administración de Justicia, según consta en el auto judicial. Desde esa puerta de entrada, logró acceder a la base de datos de “cuentas ampliadas” de la Agencia Tributaria, de donde extrajo información bancaria de 575.186 contribuyentes. Una parte de esos datos habría sido comercializada a través de la plataforma uSms a cambio de criptomonedas.
De acuerdo con el relato de la Fiscalía, el 19 de octubre de 2021, Alcasec contrató con la empresa Cherry Servers, con sede en Lituania, dos sistemas de almacenamiento masivo de datos. Para ello, utilizó una cuenta de Gmail que había creado cuando todavía era menor de edad.
Posteriormente, habría obtenido de Daniel B.E., un usuario de foros especializados en la compraventa ilícita de credenciales, un certificado digital presuntamente sustraído. Este certificado, emitido por la Fábrica Nacional de Moneda y Timbre a nombre de la Dirección General de Tráfico (DGT), le permitió acceder a la red SARA y luego al Punto Neutro Judicial (PNJ). Una vez dentro, consiguió las credenciales de un funcionario de un juzgado de Bilbao.
A partir de ese acceso, Alcasec y Daniel B.E. habrían creado una página web que imitaba a la del PNJ. Luego, enviaron enlaces a varios juzgados con el objetivo de que los empleados introdujeran sus credenciales en el sitio falso. Tras obtener las claves de dos usuarios, se realizaron 438.099 solicitudes al servicio de “cuentas bancarias ampliadas” de la Agencia Tributaria.
Para vender los datos, que incluían información sensible, Alcasec utilizaba el portal uSms. En esta plataforma se habrían cargado 574.908 registros extraídos del sistema. Las transacciones se ejecutaban mediante criptomonedas a través de la plataforma Plisio. El principal comprador fue Juan Carlos O.G., quien habría invertido 109.876 euros en la compra de estos datos.
Por su parte, Daniel B.E. y Juan Carlos O.G. también llegaron a un acuerdo de conformidad con la Fiscalía y reconocieron su implicación. El primero aceptó una pena de dos años y dos meses de prisión como cooperador, mientras que el segundo fue condenado a un año y tres meses por un delito de descubrimiento de secretos. Además, ambos acusados aceptaron el comiso del dinero y de los efectos intervenidos en los registros realizados en varios domicilios vinculados a los investigados.
El historial del joven hacker
El hacker fue arrestado el 27 de mayo del año pasado en una operación de la Policía Nacional dirigida por la Audiencia Nacional contra una presunta red dedicada a la extracción y venta de datos personales y bancarios. En ese momento, se encontraba en libertad provisional, después de haber estado aproximadamente un mes y medio en prisión preventiva tras su detención en marzo de 2023, relacionada con el ataque al CGPJ.
Sin embargo, la carrera de Alcasec no comenzó con este caso. Sus primeras incursiones se remontan a cuando tenía 15 años, con un presunto acceso a HBO, donde habría creado más de 150.000 cuentas con suscripción gratuita. Más tarde, se le atribuyen intrusiones en sistemas como BiciMAD y Burger King, así como el acceso y la difusión de datos personales sensibles, entre ellos la ficha médica del líder de Vox, Santiago Abascal.
Con el paso del tiempo, sus objetivos habrían escalado hacia organismos públicos. Se le vinculan accesos a bases de datos del Ministerio del Interior y la Dirección General de Tráfico (DGT), además de investigaciones sobre expediciones irregulares de permisos de conducir. También figuran presuntos desvíos de fondos en ayuntamientos como los de Granada y Fuenlabrada.
Entre otros episodios, destaca un ataque a Mediaset, supuestamente por confusión con LaSexta, en el que se habrían realizado compras con una tarjeta digital asociada a Paolo Vasile por un valor de hasta 300.000 euros, según información difundida por El Mundo. Su entorno también ha sido objeto de investigación y atención mediática, con vínculos con el conocido Pequeño Nicolás, con quien habría colaborado en el acceso y uso de bases de datos obtenidas de forma ilícita.
Fuente: Infobae