Un socio y unas zapatillas delataron a Alcasec en el desvío de nóminas

Así arranca la operación Jordan, siguiendo el dinero de las nóminas robadas a cuatro funcionarios del Ayuntamiento de Granada y otro de la Consejería de Sanidad de la Comunidad de Madrid. Fueron los pasos de esas deportivas de marca los que llevaron a los investigadores hasta la puerta del domicilio de A.M., un melillense residente en Madrid que a sus 22 años, era el principal sospechoso. Le llaman Aurex y su confesión acabó dando un vuelco al caso: dijo que tras el ciberataque estaba José Luis Huertas, alias Alcasec, y él se había limitado a mover el dinero siguiendo sus instrucciones.

Porque en esta investigación todo ha ido a más desde el principio. Ese cambio no autorizado de las cuentas de los funcionarios llevó a un banco que había recibido sus nóminas y sueldos de al menos, dos instituciones más. Ya no era un hecho aislado. Constaba que también habían recibido créditos contratados usurpando la identidad de terceros.

Noticia Relacionada

Alcasec, un hacker entre héroe y villano

Isabel Vega

Cuenta con una legión de seguidores en internet y en la Policía hablan de riesgo para la seguridad nacional

Mientras, las zapatillas delataron a quien disponía en cajero del dinero de esas nóminas y, así, a una complicada red de tarjetas de crédito, blanqueo de miles de euros con apuestas online y fraudes diversos por internet, supuestamente coordinado por un tercer protagonista: D. Y., algo mayor que el resto (ahora tiene 30 años), sin oficio conocido ni ingresos legítimos pese al tren de vida que llevaba. Con parte del dinero de uno de los créditos fraudulentos se estaba costeando la «reforma integral» de su casa. Fue allí, cuando explotó la primera fase de la operación, donde los agentes encontraron vehículos de alta gama, incluidos dos Porsche.

Se acabaría descubriendo que el nexo entre ambas ramas era Aurex, quien se relacionaba, por un lado, con Alcasec y más hackers «top de España», y por otro lado, con D. Y., como reconoció ante los investigadores. Sobre Alcasec, declaró que, unidos por el mundo del hacking, entablaron amistad dos años antes en un chat de Telegram donde compartían conocimientos.

Aurex contó a los agentes cómo frecuentaban una conocida discoteca de Madrid, Blackhaus, y un restaurante de cachimbas ubicado en el centro de la capital, Holly Hookah. Es ahí dónde, conforme explicó, entregaba a Alcasec el dinero que, como el día de las zapatillas azules, retiraba antes del cajero. Según diría, todo empezó cuando Alcasec le avisó de que iba a recibir en sus cuentas unos fondos.

Y aunque le extrañó que el origen fuesen administraciones públicas, hizo varias transferencias y retiró parte en efectivo para después entregárselo. Añadió que, a cambio, había recibido del hacker «unos 4.000 euros en comisión mediante criptomonedas». «Tiene mucha facilidad para buscar vulnerabilidades en aplicaciones de empresas e incluso administraciones» afirmó sobre su amigo.

Pero eso los investigadores ya lo sabían. Conforme recuerda el análisis policial incorporado en el sumario al que tuvo acceso ABC, en enero de 2021 la Unidad Central de Ciberdelincuencia puso a disposición de la Fiscalía de Menores de Madrid a Alcasec «por un presunto delito de intrusión informática con acceso a los servidores del Ayuntamiento de Granada y más concretamente, de su Policía Local».

La delación de Aurex cuadraba porque en aquel ataque, se utilizó «el mismo mecanismo de intrusión» que cuando meses después, el acceso lo fue para cambiar la cuenta bancaria en la que iban a cobrar su sueldo un letrado, un bombero y dos policías locales de Granada. Los agentes sacan a colación otras diligencias policiales, más recientes, de un caso que se sigue en Almería. Allí, uno de los detenidos señaló a Alcasec como el líder de un grupo de jóvenes con conocimientos informáticos dedicados a actividades ilícitas variadas, como la compra masiva de móviles con dinero ajeno.

Aurex aportó además que Alcasec «hackeó de alguna manera los servidores de Glovo para recibir todos los viernes transferencias de 2.000 euros con concepto nómina en una cuenta fraudulenta» que un tercero había abierto y de la que él mismo retiraría fondos en efectivo.

Un modus operandi muy similar al que se investiga en el caso de las nóminas, donde, los indicios apuntan a que Alcasec-precoz y autodidacta- entra en las administraciones y modifica el destino de las nóminas, pero «cuenta con la colaboración de A.M. para recibir dichas cuantías, bien por transferencias a cuentas asociadas» a D. Y., «bien mediante extracciones en cajero y entrega en mano».

Con estos indicios, los agentes citaron a Alcasec el 29 de marzo de 2022 para tomarle declaración en Madrid. «La relación es buena y cordial, como un hermano», dijo de Aurex, pero negó su participación en las intrusiones y desvío de nóminas de funcionarios en noviembre de 2021. «Imposible», zanjaría dos días después en el juzgado: «Mi vida está encarrilada». Su abogado -que resultó ser Francisco Martínez, exsecretario de Estado de Interior y procesado por la operación Kitchen- le había buscado un trabajo en una empresa de seguridad detectando vulnerabilidades a petición de diversos clientes. Su jefe, ante la Policía de Granada, hablaría bien de él. Por las tardes, además, estudiaba un grado medio de informática.

Negó así cualquier vinculación con la operación Jordan, si bien reconoció ser el responsable de otros cibertaques previos, curiosamente a las mismas instituciones (el Ayuntamiento de Granada y la Consejería de Sanidad de Madrid) por los que ya fue juzgado y condenado. De hecho, se encontraba en libertad vigilada por esa causa, bajo compromiso de vida normalizada y buena conducta. El juez de menores entendería que aquella pila de indicios era ya una reincidencia y ordenó que ingresase de nuevo, esta vez en Almería. Pero la Audiencia Provincial le acabó dando la razón y fue liberado cinco meses después, en octubre de 2022.

Según su versión, lo único que hizo fue explicar en el chat que compartía con Aurex y los otros hackers «cómo se conectaban los funcionarios y con qué tipo de credenciales» cuando teletrabajaban en el consistorio de Granada.

Su declaración no resultó del todo creíble. Los agentes no se tomaron bien que se presentase sin llevar encima el teléfono móvil. Y tampoco ayudó que en ciernes del registro de su vivienda su madre fuese interceptada sacando del piso la caja de un portátil y una mochila llena de dispositivos, entre discos duros, una cartera con 900 euros y un manuscrito con palabras que parecen claves -list, require, trumset, initial, beyon, gesture, radio, monkey, siender, kite, cement, camera-.

Ella tuvo que prestar declaración y dijo que actuó «de forma impulsiva» para que su hijo no se metiese en más líos. El abogado la llamó avisando de que podía practicarse un registro y ya era la tercera vez. Para los investigadores aquello evidenciaba una clara intención de sustraer pruebas, pero no suficiente para que la juez entendiese que había riesgo. Fue puesto en libertad en este juzgado, justo antes de que se pronunciase el Juzgado de Menores.

Llama la atención que a lo largo de las diligencias afloró un nombre conocido, el de Francisco Nicolás Gómez Iglesias, -el 'Pequeño Nicolás'-. Aurex dejó caer que Alcasec tenía relación con él. A Alcasec los agentes directamente le preguntaron si había parentesco, incluso si era su «hermanastro». «Manifiesta que no quiere contestar a esta pregunta», recoge el acta. Sí consta que en tiempos, ambos tuvieron a Martínez como abogado.

A los pocos días de salir del centro de Menores de Almería, Alcasec se coló en el sistema informático del Poder Judicial y sustrajo los datos de cerca de 600.000 contribuyentes para ponerlos a la venta mediante un servidor en Lituania. Ingresó en prisión provisional por orden de la Audiencia Nacional. Esta semana, han acordado su puesta en libertad con medidas cautelares. Se ha tenido en cuenta su actitud colaboradora con la Justicia y su edad.