El juez procesa a Alcasec y los otros dos implicados en el hackeo del Poder Judicial
Apunta revelación de secretos y acceso ilegal a sistemas informáticos en la sustracción de datos de medio millón de contribuyentes
Vendieron información de más de 80.000 ciudadanos y a una veintena ya les han estafado 129.000 euros
El titular del Juzgado Central de Instrucción número 4 de la Audiencia Nacional, José Luis Calama, ha dictado un auto que enfila hacia el banquillo a los tres presuntos responsables del ciberataque perpetrado en octubre del año pasado contra el Punto Neutro Judicial en el ... que se sustrajeron datos bancarios de cerca de medio millón de contribuyentes: José Luis Huertas, conocido como Alcasec; y sus supuestos colaboradores Daniel Baillo y Juan Carlos Ortega.
Contra los tres dicta la continuación del procedimiento abreviado, equivalente al procesamiento en los casos con sumario, por delito continuado de revelación de secretos, en tanto que pusieron a la venta los datos sustraídos a los que habían accedido, además, con las claves de dos funcionarios de la administración de Justicia obtenidas de manera ilícita.
En el caso de Alcasec -célebre niño prodigio del hacking y que se encuentra en libertad provisional porque colaboró con la investigación-, y en el de Baíllo el juez les atribuye además un delito de acceso ilegal a sistemas informáticos, que se consuma, según razona el auto, por el mero hecho de acceder o facilitar a otro el acceso a un sistema informático o a parte de este aun cuando la acción no fuera seguida de un apoderamiento de datos.
A prisión el mayor comprador de datos del hackeo al CGPJ perpetrado por Alcasec
La Policía da con 'Lonastrump', que habría pagado por 15.284 registros, entre ellos datos tributarios de españoles
Respecto al tercero, Juan Carlos Ortega, a quien se le atribuye la compra del material exfiltrado, el juez ha abierto una pieza separada por delito de estafa con el fin de investigar las denuncias de contribuyentes afectados por estos hechos. Su perfil es distinto al de los otros dos imputados: en su casa se intervinieron una escopeta de cañones superpuestos; un subfusil, una pistola y abundante munición.
Está en prisión provisional, como Baíllo. Alcasec, sin embargo, quedó en libertad un mes después de ser detenido por su colaboración activa con la investigación.
Una web falsa, claves de funcionarios y una IP de la Policía
El auto explica que los investigados Huertas y Baíllo, en una fase inicial, obtuvieron información sobre el Punto Neutro Judicial y su funcionamiento. Después, elaboraron plantillas para simular su página web: crearon el dominio malicioso «cgpj-pnj.com», registrado a través de una empresa con sede en Hong Kong (China) y llevaron hasta ella a dos funcionarios de Justicia que trabajan en juzgados de Bilbao mediante técnicas de phising.
No obstante, conforme detalla el juez, el ciberataque se produjo desde una dirección IP «cuyo rango corresponde a la Dirección General de Policía (red Sara), usando dos cuentas de usuarios del País Vasco«. En concreto, utilizaron las credenciales de una funcionaria de la Dirección General de Tráfico »para conectarse al sistema Pulse de Policía« -la red protegida interna- desde una IP vinculada a otro servidor, ambos, a su vez, vinculados a una empresa con sede en Lituania.
Fue así como consiguieron sus claves para luego poder acceder a la web de verdad, según la reconstrucción de los hechos realizada por los investigadores a partir, entre otras diligencias, del análisis forense del servidor y la IP de los que las autoridades lituanas facilitaron una copia. El estudio reveló que manejaron credenciales de funcionarios de los Cuerpos Generales de la Administración, de la Dirección General de la Policía (DGP) y del CGPJ utilizadas para llevar a cabo el ciberataque.
Con estas capacidades ya en sus manos, entraron al Punto Neutro Judicial, el nudo que comunica los órganos judiciales de todo el país con distintas administraciones -desde la Dirección General de Tráfico hasta la Agencia Tributaria, pasando por decenas de entidades bancarias-.
Cinco horas extrayendo datos ajenos
Así, el 18 de octubre, durante más de cinco horas, realizaron el primer ciberataque en el que accedieron y exfiltraron los datos bancarios de 438.000 contribuyentes. Dos días después, el 20 de octubre, durante otras más de cinco horas, realizaron otro ciberataque para acceder a la base de datos de «cuentas ampliadas« de Hacienda. Como consecuencia de dicha acción se exfiltraron los datos de otras 137.186 personas, tal y como detalla el auto del juez Calama.
Utilizaron el sistema, dependiente del Consejo General, como «puerta de entrada para la consulta masiva de datos» sirviéndose de una máquina virtual que entró en la VPN de la Policía Nacional y las credenciales comprometidas y una vez dentro, utilizaron una serie de herramientas para «automatizar las consultas» y exfiltrar los datos. En dos documentos de texto encontraron 574.908 registros en total de datos de contribuyentes sustraídos y en otro, una lista denominada «cuentasPNJ» con 1.167.234 apuntes.
Datos de 82.000 españoles vendidos
El auto especifica que el objetivo era «la venta de los datos exfiltrados de la red de servicios del PNJ y su posterior utilización para la comisión de estafas bancarias en diferentes modalidades y, de hecho, considera acreditado el fin lucrativo perseguido por José Luis Huertas y que se infiere por el entramado de wallets de criptomonedas que se le detectaron.
Los datos se ofrecieron en una web, usms.me, donde se facilitaba acceso a la base de datos que bautizaron como «DB 12 FUCKING CRAZY BANK« y que prometía listados con número de teléfono, nombre, DNI e IBAN de una pluralidad de personas. El anuncio que publicitaba la disponibilidad de esta base se colgó en Telegram sólo cinco horas después de que se perpetrase el último ataque.
Y el público respondió. «El total de registros ilícitos vendidos procedentes de los datos exfiltrados de la red de servicios del PNJ asciende 109.038, entre el 20.10.2022 y el 31.10.2022, habiendo sido adquiridos por 78 usuarios registrados en la plataforma web usms.me», explica el auto.
La investigación detectó que el cliente con el nombre de usuario «lonastrump», que corresponde presuntamente a Ortega, fue el que más datos compró, 30 paquetes de datos que contenían 15.284 registros sobre 1.067 contribuyentes españoles. De ellos, veinte han denunciado en los últimos meses en dependencias policiales delitos contra el patrimonio: les han defraudado 129.096,73 euros.
El total de ingresos en euros de la venta de los datos exfiltrados de la red de servicios del PNJ supusieron 39.096,1 euros en solo 11 días, habiéndose comercializado con los datos de 82.018 contribuyentes españoles.
En este sentido, el auto indica que a Alcasec se le han intervenido 32.943 bitcoins cuyo valor a fecha de su intervención ascendía a 838.000 euros, mientras que en el dispositivo electrónico que le fue incautado en la entrada y registro aparecen transferencias de activos digitales por importe de 365.000 euros, todo ello sin que conste que ejerciera actividad laboral alguna que diera soporte a la referida capacidad económica.
Esta funcionalidad es sólo para suscriptores
Suscribete
Esta funcionalidad es sólo para registrados
Iniciar sesiónEsta funcionalidad es sólo para suscriptores
Suscribete