El hacker José Luis Huertas, Alcasec, ha aceptado en un juicio celebrado en la Audiencia Nacional ser condenado a dos años y siete meses de prisión por robar más de medio millón de datos bancarios de ciudadanos tras un ataque informático en octubre de 2022 al Punto Neutro del Consejo General del Poder Judicial (CGPJ).
Alcasec, de 22 años de edad, ha llegado este miércoles a un acuerdo de conformidad con la fiscal por el que esta ha rebajado su petición inicial de tres años de cárcel al aplicarle la circunstancia atenuante de confesión a los delitos reconocidos por el acusado, de acceso ilegal a sistemas informáticos y descubrimiento y revelación de secretos.
Igualmente han acordado una conformidad con la fiscal el también hacker Daniel B.E. y Juan Carlos O.G., que han confesado y aceptado dos años y dos meses de prisión el primero como cooperador y un año y tres meses por descubrimiento de secretos el segundo. La fiscal pedía para ellos cuatro años y cuatro meses y tres años y cuatro meses, respectivamente.
También han aceptado el comiso de los efectos y dinero físico y virtual que se les intervino tras los registros practicados en el domicilio y un local de Alcasec en Madrid, la residencia habitual de Daniel B.E. en Cartagena (Murcia) y la vivienda de Juan Carlos O.G. en Dos Hermanas (Sevilla).
La fiscal ha explicado que ha valorado la colaboración de los acusados al facilitar sus claves y contraseñas durante la investigación.
Alcasec lleva un año en prisión provisional por otra causa, la relativa a una red de ciberataques que se apoderó de datos sensibles y privados de millones de ciudadanos y que él presuntamente lideraba.
Fue detenido en mayo del año pasado por estos hechos junto al ex secretario de Estado de Seguridad Francisco Martínez, quien actualmente está siendo juzgado por la operación Kitchen, presuntamente orquestada desde el Ministerio del Interior durante el Gobierno del PP de Mariano Rajoy para espiar al extestorero del partido Luis Bárcenas.
Cuando se produjo su detención, Alcasec se encontraba en libertad provisional tras haber permanecido mes y medio en prisión a raíz de su detención en marzo de 2023 por el ataque a la web del CGPJ.
El juez de la Audiencia Nacional José Luis Calama acordó excarcelarle, con el visto bueno de la Fiscalía, atendiendo a su edad, 19 años entonces, y a su compromiso de colaborar con la Justicia, que se materializó con la recuperación de 863.000 euros de las ganancias que obtuvo de la venta de datos robados.
Según el relato de la fiscal en su escrito de acusación, que se plasmará en la sentencia ante la confesión de los acusados, el 19 de octubre de 2021 Alcasec contrató con la mercantil Cherry Servers, con sede en Lituania, dos sistemas de almacenamiento masivo de datos con una cuenta de gmail que había creado cuando era menor de edad a fin de ocultar su verdadera identidad.
Posteriormente obtuvo de Daniel B.E., de 32 años, que era usuario de foros rusos especializados en la venta no autorizada de contraseñas de acceso a sistemas de información restringidos, un certificado digital robado, emitido por la Fábrica Nacional de Moneda y Timbre para la Dirección General de Tráfico (DGT).
De esta forma logró navegar a través de la red SARA (Sistema de Aplicaciones y Redes para las Administraciones), conectarse con la web del Punto Neutro Judicial (PNJ) del CGPJ y obtener las credenciales de un funcionario de un Juzgado de Bilbao, que utilizó para conocer el funcionamiento del PNJ.
Alcasec y Daniel B.E. crearon después una página que simulaba ser la web de acceso al PNJ y el primero envió a distintos juzgados una cadena de texto que redirigía a la misma para obtener así las claves de otros usuarios.
Tras obtener las credenciales de dos funcionarios que por error las introdujeron en la página falsa Alcasec realizó 438.099 peticiones al servicio web de 'cuentas bancarias ampliadas' de la Agencia Tributaria y poco después realizó un segundo ataque.
Para la venta de datos, algunos de personas relevantes, Alcasec disponía del portal "uSms", donde introdujo 574.908 registros extraídos del PNJ, y las transacciones se hacían a través de la pasarela de pagos en criptomonedas 'Plisio'.
El mayor comprador fue Juan Carlos O., de 28 años, que invirtió 109.876 euros. La intención de este acusado, al que se le intervinieron diversas armas -hallazgo que se investiga en un juzgado de Dos Hermanas-, era lucrarse con esos datos.
Daniel B.E. fue condenado en 2022 por tentativa de homicidio y en 2023 por estafa y Juan Carlos O.G en 2017 por este último delito.