Alcasec 'celebró' su procesamiento invitando a chupitos a quien viniera encapuchado

La convocatoria la realizó unos días antes a través de las redes sociales. Alcasec aparece encapuchado en el cartel con los datos de la convocatoria y el enlace para acceder a las entradas, en el que añadió un texto: «Todo el que venga con pasamontañas tiene un chupito gratis». La capucha es para él casi un símbolo, ya que antes de su última detención concedió algunas entrevistas a distintos canales digitales en los que aparecía encapuchado.

Según fuentes presentes en la sala, Alcasec se mostró muy tranquilo y feliz porque «había conseguido una conformidad con la acusación». El día de la fiesta fue el pasado sábado por la noche, y poco más de 24 horas después, el lunes 16 de septiembre, el juez de la Audiencia Nacional José Luis Calama dictó el auto de procesamiento contra Alcasec y los otros dos implicados, Daniel Baillo y Juan Carlos Ortega.

Con esta resolución, el titular del Juzgado Central de Instrucción número 4 dictó la continuación del procedimiento abreviado, equivalente al procesamiento en los casos con sumario, por delito continuado de revelación de secretos, en tanto que pusieron a la venta los datos sustraídos a los que habían accedido, además, con las claves de dos funcionarios de la administración de Justicia obtenidas de manera ilícita.

El siguiente paso será la presentación de los escritos de acusación y defensa, por lo que aún se desconoce cuál será la petición de pena que formule la Fiscalía de cara al inicio del juicio.

Alcasec fue detenido en abril y consiguió la libertad provisional a finales de mayo. El principal motivo fue que decidió colaborar con la investigación, informan Isabel Vega y Adriana Cabezas. El 'niño prodigio' del hackeo reconoció los hechos, facilitó las claves de los dispositivos que le fueron intervenidos y devolvió el dinero obtenido con la venta ilícita de datos. Por todo ello la Fiscalía presentó al juez informe favorable a su puesta en libertad, que se produjo con medidas de control: comparecencias quincenales en el juzgado más cercano a su domicilio y prohibición de abandonar el país, con retirada de pasaporte.

Estos hechos dan verosimilitud a la actitud que mostró en su fiesta de cumpleaños, según los testimonios recabados. Por contra, los otros dos implicados, Daniel Baillo y Juan Carlos Ortega, que eran sus colaboradores, continúan en prisión preventiva. Respecto al tercero, Juan Carlos Ortega, a quien se le atribuye la compra del material exfiltrado, el juez ha abierto una pieza separada por delito de estafa con el fin de investigar las denuncias de contribuyentes afectados por estos hechos. Su perfil es distinto al de los otros dos imputados: en su casa se intervinieron una escopeta de cañones superpuestos; un subfusil, una pistola y abundante munición. Está en prisión provisional, como Baíllo. El juez Calama atribuye a Alcasec y a Baíllo, además de la revelación de secretos, un delito de acceso ilegal a sistemas informáticos.

La intrusión a la red del Consejo General del Poder Judicial tuvo lugar en octubre de 2022, cuando Alcasec consiguió de forma ilícita las claves de dos funcionarios de Justicia que le abrieron las puertas del Punto Neutro Judicial (PNJ), un sistema gestionado desde el Consejo General del Poder Judicial que conecta los juzgados con otras instituciones del Estado.

El auto explica que los investigados Huertas y Baíllo, en una fase inicial, obtuvieron información sobre el Punto Neutro Judicial y su funcionamiento. Después, elaboraron plantillas para simular su página web: crearon el dominio malicioso cgpj-pnj.com, registrado a través de una empresa con sede en Hong Kong (China) y llevaron hasta ella a dos funcionarios de Justicia que trabajan en juzgados de Bilbao mediante técnicas de phising.

No obstante, conforme detalla el juez, el ciberataque se produjo desde una dirección IP «cuyo rango corresponde a la Dirección General de Policía (red Sara), usando dos cuentas de usuarios del País Vasco«. En concreto, utilizaron las credenciales de una funcionaria de la Dirección General de Tráfico »para conectarse al sistema Pulse de Policía« -la red protegida interna- desde una IP vinculada a otro servidor, ambos, a su vez, vinculados a una empresa con sede en Lituania.

Fue así como consiguieron sus claves para luego poder acceder a la web de verdad, según la reconstrucción de los hechos realizada por los investigadores a partir, entre otras diligencias, del análisis forense del servidor y la IP de los que las autoridades lituanas facilitaron una copia. El estudio reveló que manejaron credenciales de funcionarios de los Cuerpos Generales de la Administración, de la Dirección General de la Policía (DGP) y del CGPJ utilizadas para llevar a cabo el ciberataque.

Con estas capacidades ya en sus manos, entraron al Punto Neutro Judicial, el nudo que comunica los órganos judiciales de todo el país con distintas administraciones, desde la Dirección General de Tráfico hasta la Agencia Tributaria, pasando por decenas de entidades bancarias.

Así, el 18 de octubre, durante más de cinco horas, realizaron el primer ciberataque en el que accedieron y exfiltraron los datos bancarios de 438.000 contribuyentes. Dos días después realizaron otro ciberataque para acceder a la base de datos de «cuentas ampliadas« de Hacienda. Como consecuencia de dicha acción se exfiltraron los datos de otras 137.186 personas.