Alcasec, de genio precoz a riesgo para la seguridad nacional

Mataba el tiempo aprendiendo a programar con tutoriales de YouTube, hasta que fue consciente de los apuros económicos que atravesaba su madre y, con solo 12 años, empezó a buscarse la vida, vendiendo extras para un famoso videojuego que daban a los jugadores ventaja sobre otros. No era un friki, ni mucho menos, pero tampoco una persona especialmente popular. Todo lo contrario.

Víctima de acoso escolar cuando era un chaval -según su entorno-, la aprobación de José Luis Huertas (Madrid, 2003) entre sus compañeros llegó en su época de instituto, cuando, a pesar de no ser un estudiante aplicado, fue capaz de piratear el sistema de gestión de notas y poner a todos los alumnos un diez. Era el preludio del 'alter ego' que después creó para sí: Alcasec, el hacker del pasamontañas que, con solo 19 años, acabaría convirtiéndose, en palabras de la Policía, en una «amenaza para la seguridad nacional».

Noticia Relacionada

La juez manda a prisión a Francisco Martínez, ex número dos de Interior con el PP, y al hacker Alcasec

Javier Lillo

Quiere evitar la destrucción o alteración de las fuentes de prueba recabadas por la Policía y el riesgo de fuga o reiteración delictiva

Todo había empezado como un juego años antes, cuando aún era menor de edad, con intrusiones que parecían casi trastadas. Así, hackeó BiciMAD -el sistema público de bicicletas de Madrid-, en cuyas máquinas dejó la firma de su nick; entró en los servidores de HBO y regaló más de 140.000 cuentas por Instagram; y manipuló las máquinas de autoventa de un Burger King de la capital, dejando miles de hamburguesas gratis. «¿Os receto algo?», escribió también en sus perfiles para presumir de que se había hecho con la ficha médica del líder de Vox, Santiago Abascal, tras hackear el sistema informático del Servicio Madrileño de Salud. Aquí llegaron los miles de seguidores en redes y, también, en plena pandemia, su primera detención.

Entonces tenía 16 años y sus andanzas comenzaron a hacerse conocidas, a ocupar espacio en programas de televisión. Fue por equivocación, en un intento de vengarse del periodista Manuel Marlasca (entonces jefe de investigación de La Sexta) como acabó buceando en las cuentas bancarias de Mediaset, creyendo que la cadena pertenecía al grupo de comunicación italiano. Logró clonar las tarjetas de gastos del entonces consejero delegado, Paolo Vasile, con las que se pagó ropa de marca, fiestas y restaurantes.

Como un reto que se había marcado -encontrar fallos, quizá también hacer ruido-, penetró también en el sistema de la Policía Nacional y la Dirección General de Tráfico (DGT), que le costaría su primer ingreso en un centro de menores en Madrid. Después, el juez Emilio Calatayud, conocido por sus sanciones singulares a menores, lo mandó a otro centro, ubicado en Almería, a seis horas de su domicilio familiar. En esta ocasión fueron unas zapatillas Air Jordan Retro, captadas por las cámaras de seguridad de un cajero, las que llevaron a la Policía hasta un supuesto compinche que después lo acusó de haber entrado en los sistemas del Ayuntamiento de Granada con el objetivo de desviar las nóminas de distintos funcionarios.

Fue en esta época cuando Francisco Nicolás Gómez Iglesias, apodado Pequeño Nicolás -cuya amistad había empezado poco antes- le presentó a Francisco Martínez, el ex secretario de Estado de Seguridad durante el Gobierno de Mariano Rajoy. Para entonces, Martínez ya había sido marcado y repudiado públicamente por sus antiguos compañeros de partido, después de que lo imputaran en la operación Kitchen, la trama parapolicial supuestamente orquestada desde el Ministerio del Interior para robar al extersorero del PP Luis Bárcenas documentación sensible que pudiera afectar a altos cargos del partido, en pleno estallido de la Gürtel.

Martínez había vuelto a ejercer su profesión de abogado para ganarse la vida y asistió legalmente a Huertas. Gracias a un recurso que presentó, la Audiencia de Granada acabó dejando en libertad al hacker tras seis meses encerrado en el centro de Almería. Salió cabreado.

Y en octubre de 2022 entró en el Punto Neutro Judicial, el sistema que conecta los juzgados con el resto de administraciones públicas, en el que robó datos sensibles de casi 600.000 contribuyentes, según la cifra oficial. Un ciberataque «sin precedentes» en la historia de España, en opinión de los investigadores entonces, que llegaron incluso a creer en un primer momento que detrás podía estar un país extranjero. Había dejado en evidencia la ciberseguridad del Estado. Ya no era ninguna chiquillada, si es que en algún momento lo fue.

Para entonces, Huertas ya sabía el valor que tenía la información. Había empezado a ganar dinero vendiendo los datos que a lo largo de los años, intrusión tras intrusión, tanto en instituciones públicas como empresas privadas, había ido acumulando. Y casi como una especie de obsesión personal, creó Udyat, 'El ojo de Horus', un servidor de consultas: una suerte de base de datos monstruosa con información personal de millones de ciudadanos. «Del 90% de los españoles», se jactó en una entrevista para el podcast Club 113. Otro colaborador ofrecía la información sensible en un foro ruso de hacking, Exploit.IN.

Entonces, la Comisaría General de Información ya le seguía la pista. Esperó a que Huertas volviera de Japón, donde se había ido de vacaciones, para detenerlo. Ocurrió el 31 de marzo de 2023. Pasó unos días después a disposición del juez de la Audiencia Nacional José Luis Calama, a quien reconoció los hechos, y se ordenó su ingreso en prisión provisional. Era la primera vez que el joven entraba en la cárcel. Tenía 19 años.

Estuvo poco: no llegó a dos meses, porque colaboró con la investigación judicial y entregó casi un millón de euros para reparar el daño causado. Ese tiempo en el centro penitenciario de Alcalá Meco (Madrid) lo aprovechó para leer y hacer ejercicio. Desde su entorno se creía que estar entre rejas había sido un punto de inflexión, que le había servido para querer cambiar la dirección; reconducir su talento.

De hecho, montó su propia empresa de ciberseguridad y daba apoyo a Martínez en algunos informes para causas judiciales. Ahora, según parecía, era él quien protegía a sus clientes de los ataques de otros hackers. También había empezado a dar charlas en algunas universidades y sobrevolaba una posible colaboración con unidades de inteligencia. Atrás quedaba el pasamontañas.

Pero los dispositivos electrónicos que le habían intervenido durante los registros por el ataque al Punto Neutro Judicial, y que él mismo había ayudado a desbloquear, fueron la llave para abrir la caja de los truenos. La CGI lo detuvo en mayo de 2024 y volvió a ser detenido en julio por el ciberataque a una eléctrica dos años antes. Entre las causas que tiene abiertas, destaca la que dirige el Juzgado de Instrucción número 50 de Madrid, por la presunta intrusión en el servidor de la Policía, de donde habría obtenido información de agentes que, posteriormente, habría facilitado a terceros: delincuentes -según los investigadores- vinculados a organizaciones criminales como los Miami y el Niño Skin, dedicadas al tráfico de drogas. La tesis es que esa información se podía utilizar después para extorsión.

La operación Borraska, explotada esta misma semana por la Policía y que ha contado con la participación del Centro Nacional de Inteligencia (CNI), ha sido la guinda del pastel. La investigación apunta, lejos de las promesas de reinserción, a que Huertas había vuelto a las andadas. Al menos desde el año pasado.

Según informó la Policía en una nota de prensa esta semana, Huertas se dedicó a ciberatacar empresas estratégicas públicas y privadas para robar millones de datos sensibles que, después, se ponían a la venta en el mercado negro. Con la ayuda del ex secretario de Estado de Seguridad del PP, habría blanqueado los beneficios obtenidos «mediante estructuras societarias y servicios de 'consultoría'». Martínez también habría tenido acceso a la información robada.

Ambos llevan ya dos noches en prisión por orden de la jueza de la Audiencia Nacional María Tardón, junto con otro colaborador. Y hay un cuarto, un youtuber conocido como Valyrio, que está a la espera de que Andorra haga efectiva su entrega. En el caso de Huertas, la magistrada aprecia riesgo de fuga, a pesar de que él sabía que estaba siendo vigilado y no se marchó. Quién sabe si por ganas de ruido o por exceso de confianza.