La Fiscalía pide tres años de cárcel para José Luis Huertas, alias Alcasec, por hackear la web del CGPJ y vender datos bancarios de 571.000 personas, obteniendo ganancias millonarias.
PUBLICIDADLa Fiscalía de la Audiencia Nacional solicita tres años de cárcel para José Luis Huertas, conocido como Alcasec, por atacar la web del Punto Neutro Judicial del CGPJ. El hacker logró extraer datos bancarios de más de 571.000 contribuyentes, un ataque que le permitió obtener ganancias millonarias por la venta de esta información.
En el escrito de acusación se le aplica la atenuante muy cualificada de confesión tardía, lo que reduce la petición de condena por los delitos continuados de ilegal a sistemas informáticos y descubrimiento y revelación de secretos. Su colaboración con la Justicia ha permitido el decomiso de 863.000 euros procedentes de la venta de los datos robados.
Los otros implicados en el caso
La situación es diferente para los otros dos acusados. Para Daniel Baíllo, otro hacker implicado, la Fiscalía pide 4 años y 4 meses de prisión por un delito continuado de ilegal a sistemas informáticos y otro de descubrimiento de secretos. Además, se le considera cooperador necesario en la revelación de secretos atribuida a Alcasec.
El tercer acusado, Juan Carlos O., se enfrenta a 3 años y 4 meses de cárcel como autor material de un delito de descubrimiento de secretos. Según la investigación, este último compró 1.247.727 registros por valor de 109.876 euros con la intención de lucrarse con ellos.
El método de al sistema
El sofisticado ataque comenzó en octubre de 2021, cuando Alcasec contrató dos sistemas de almacenamiento masivo con una empresa lituana utilizando una cuenta de correo creada durante su minoría de edad para ocultar su identidad.
Con ánimo de ilícito enriquecimiento, obtuvo de Baíllo un certificado digital robado emitido por la FNMT para la DGT. Este certificado le permitió conectarse remotamente a los sistemas de Tráfico y acceder a la red policial mediante una dirección IP interna de la Dirección General de Policía.
Utilizando estas credenciales, realizó 876 conexiones al portal de la Policía Nacional entre julio de 2022 y la fecha de su detección. Estos hechos están siendo investigados separadamente en el Juzgado de Instrucción 50 de Madrid.
La infiltración en el sistema judicial
Una vez dentro de la intranet policial, Alcasec consiguió credenciales de un funcionario de la Policía Nacional y logró navegar a través de la red SARA (Sistema de Aplicaciones y Redes para las istraciones).
Este le permitió conectarse con la web del Punto Neutro Judicial del CGPJ, desde donde obtuvo las credenciales de un de un Juzgado de Bilbao que utilizó para comprobar el funcionamiento del sistema.
Junto con Baíllo, crearon una página web falsa que simulaba ser el portal de al PNJ para capturar más credenciales. Baíllo contrató el dominio malicioso "cgpj-pnj.com" con un subdominio que apuntaba a una dirección IP ubicada en Rusia.
El robo masivo de datos
Tras acceder al PNJ con las credenciales capturadas, Alcasec envió comunicaciones a distintos juzgados con enlaces que redirigían a su página falsa, obteniendo así las claves de otros s del sistema judicial.
Con las credenciales de dos funcionarios judiciales que cayeron en la trampa, realizó 438.099 peticiones al servicio web de "cuentas bancarias ampliadas" de la Agencia Tributaria, seguidas por un segundo ataque.
El CGPJ bloqueó las cuentas comprometidas al detectar la actividad sospechosa y puso los hechos en conocimiento de la Audiencia Nacional. Con la ayuda del Centro Criptológico Nacional se logró bloquear la página simulada.
El alcance del ataque y la venta de datos
Según el CCN, las entidades afectadas por la sustracción de datos fueron Catastro, Agencia Tributaria, DGT, INE, Seguridad Social, SEPE y Policía Nacional. La Agencia Tributaria confirmó que estas consultas masivas afectaron a 571.210 personas físicas, mientras que las consultas individualizadas realizadas previamente afectaron a 373 números NIF, algunos pertenecientes a personas con relevancia pública.
Para comercializar los datos robados, Alcasec creó el portal uSms, donde introdujo 574.908 registros extraídos del PNJ. Las transacciones se realizaban a través de la pasarela de pagos en criptomonedas Plisio.
El portal, que llegó a tener 17 bases de datos a la venta, contaba con 1.746 s registrados, de los cuales 518 realizaron compras correspondientes a más de 30 millones de registros vendidos, generando ingresos de 1.866.175 euros.