La Audiencia Nacional ha enviado prisión provisional, comunicada e incondicional por un delito continuado de revelación de secretos al ciberdelincuente Alcasec, responsable de hackear el Punto Neutro Judicial, que conecta a los órganos judiciales con otras instituciones del Estado y que gestiona el Consejo General del Poder Judicial (CGPJ). El joven de 19 años está acusado de vender los datos de 575.186 contribuyentes.

El propio Alcasec, cuyo nombre real es José Luis Huertas, ha reconocido frente al juez José Luis Calama que exfiltró datos del servicio del CGPJ donde se obtiene la información para los procesos judiciales almacenados en el propio Consejo, de organismos de la Administración General del Estado y de otras instituciones, la información de los contribuyentes, que posteriormente vendió a terceras personas, según los investigadores.

El juez ha aceptado la petición de la fiscal encargada del caso, Ana Noe, de enviarlo a prisión provisional ante el riesgo de fuga, destrucción de pruebas y el peligro de reiteración delictiva. Alcasec fue detenido por la Policía el pasado viernes, además de registrar su domicilio y un local de Madrid en el que operaba.

Según la denuncia que originó esta investigación y que recoge el juez en su auto, entre el 18 y 20 de octubre de 2022, el joven accedió con claves de dos funcionarios de la Administración de Justicia de Bilbao al PNJ y desde ahí a la base de datos de "cuentas ampliadas" de la Agencia Estatal de la Administración Tributaria.

La operación ha sido llevada a cabo por la Comisaría General de Información en coordinación con la Fiscalía de la Audiencia Nacional y dirigida por el Juzgado Central de Instrucción número 4. Además, ha contado con la colaboración del Centro Criptológico Nacional dependiente del Centro Nacional de Inteligencia (CNI), así como de las instituciones públicas afectadas.

Servidores en Lituania y criptomonedas

El auto del magistrado explica que una vez obtenidos los datos, fueron transferidos a los servidores de la empresa de alojamiento web Cherry Servers, en Lituania, y posteriormente "parte de esos datos se han enajenado a terceras personas, tal y como ha reconocido el investigado en su declaración" ante el juez.

El texto también detalla que en los registros hallaron pruebas de que Alcasec fue el autor del ciberataque, además de obtener de "forma ilícita" las credenciales de los funcionarios de Bilbao. Los investigadores hallaron evidencias en los servidores y en la contratación de los mismos con criptomonedas.

Según apunta el juez, la investigación ha acreditado que desde los servidores gestionados por el joven se han vendido datos de múltiples afectados a través de la plataforma uSms con pagos en criptomonedas con destino final a los denominados monederos fríos, vinculados al investigado.

"Ha quedado acreditado que, desde dos de los monederos utilizados para realizar la contratación de estos servidores, se realizan ingresos directos por valor de 13,5282 bitcoins (cerca de 350.000 euros) a un monedero controlado por J.L.H.R. Asimismo, ha quedado acreditado que desde estos mismos monederos el investigado recibe ingresos por valor de 0,1668 bitcoins (...) a través de una tarjeta BITSA a su nombre", indica.

El magistrado ha reconocido el peligro de fuga, dado que el encarcelado tiene "importantes cantidades de criptomonedas que le permitirían disponer de liquidez suficiente para residir en cualquier parte del mundo, eludiendo la acción de la Justicia española".

El 'ojo de Horus'

La resolución recoge que los datos estaban alojados en uno de los servidores del portal UDYAT, también conocido como el ojo de Horus, un servicio de consultas bajo demanda de información obtenida de forma ilícita. El propio Alcasec ha reconocido en el podcast Club 113 que él es el creador y propietario de este portal, donde según ha asegurado, hay almacenados datos del 90% de los españoles.

Se da la circunstancia de que en ese mismo servidor los investigadores hallaron documentación personal del joven, "con lo que se pone de manifiesto que el investigado administra este servidor".

El juez indica en su auto que al detenido se le podría imponer una pena superior a cinco años de prisión, dado que cuando los datos personales se difunden, revelan o se ceden a terceros con fines lucrativos, el delito de revelación de secretos tiene una sanción mayor.

Una vida de lujos

Según la Policía, el ciberdelincuente llevaba una vida de lujos impropia de alguien de su edad y sin actividad laboral: realizaba viajes caros, vestía marcas exclusivas, frecuentaba lugares de moda de ocio y restauración e incluso conducía un vehículo de alta gama.

"Gran parte de su actividad ilícita la monetizaba a través de una compleja estructura de ocultación del dinero mediante servicios mezcladores-mixers de criptomonedas, impidiendo el rastreo por la ruptura del vínculo entre los fondos y el destinatario", explica para añadir que la magnitud de los ciberataques realizados y la ingente cantidad de datos personales sensibles que manejaba convertían a este sujeto "en una amenaza muy grave para la Seguridad Nacional".

Apuntan que en los registros se ha intervenido una gran cantidad de dinero en efectivo, numerosa documentación, efectos y soportes informáticos, además de una motocicleta y un vehículo de alta gama.