España

Ciberataque al Poder Judicial: rastrean el móvil del segundo hacker por sus operaciones con 'criptos'

El segundo detenido por el robo masivo de datos a medio millón de españoles ha vuelto a comparecer en la Audiencia Nacional para dar cuenta del movimiento con criptomonedas procedente de la venta de estos datos

  • El segundo hacker implicado en el ataque al CGPJ, detenido por la Policía en Cartagena

El segundo hacker implicado en el ciberataque sin precedentes en octubre al Poder Judicial compareció el pasado jueves en la Audiencia Nacional para dar cuenta de sus operaciones con criptomonedas. Daniel Baíllo, que fue detenido el martes 30 de junio por colaborar en el hackeo de cuentas bancarias de más de medio millón de contribuyentes, entregó su terminal a requerimiento expreso de los investigadores de esta causa.

Fuentes jurídicas confirman a Vozpópuli que el detenido fue trasladado directamente desde la prisión en la que ingresó hace poco más de una semana por orden del magistrado José Luis Calama Teixera. Se trata de la segunda vez en apenas diez días que Baíllo desfila en la Audiencia Nacional. La primera fue el pasado 1 de junio, dos días después de su detención en Cartagena (Murcia) por su presunta implicación en estos hechos.

En aquel momento el juez dejó claro que había que tomar todas las precauciones posibles para evitar que pudiera eliminar la información sustraída por los agentes. En su comparecencia, Baíllo facilitó los datos que permitían el acceso a sus dispositivos pero el juez prefirió apartarlos de él hasta estudiar su contenido. A todo ello hay que añadir que disponía de un portátil que ha desaparecido y que los agentes no lo encontraron en el registro.

Estudio del móvil

Hasta la fecha, el Juzgado Central de Instrucción número 4, que es el que dirige las pesquisas, mantenía imputado únicamente a José Luis Huertas, más conocido como Alcasec. El joven, de 19 años, está detrás de uno de los ataques más feroces a las bases de datos del Poder Judicial que dejaron al descubierto datos bancarios de 575.186 contribuyentes.

Las pesquisas de los investigadores rápidamente les llevaron a este joven hacker al que estrecharon el cerco en parte por sus entrevistas en diferentes canales de Youtube. Sin embargo, los agentes descubrieron que no operaba solo. Consiguió sustraer los datos y transferirlos a dos servidores alojados en Lituania gracias a la ayuda de este segundo implicado, de 29 años de edad, a quien la Policía acabó arrestando hace unos días.

Tras pasar a disposición judicial, el magistrado, que le imputa delito continuado de revelación de secretos, ordenó su inmediato ingreso en prisión. El motivo esgrimido fue la posibilidad de que destruyera las pruebas recabadas y también el riesgo de fuga el cual, según plasmó, se situaba en "cotas máximas".

Su cualificación profesional en informática y la propiedad de varios monederos fríos que podría convertir en dinero fiduciario facilitarían la salida fuera del país de este hacker que, según la Policía, cuenta con una muy alta reputación en los foros de cibercrimen en los que participa. Precisamente, una vez localizados los responsables del hackeo al Punto Neutro Judicial (PNJ) del CGPJ, el objetivo ahora de los investigadores es rastrear el movimiento de fondos obtenidos con la presunta venta de la información sustraída.

Agentes de la Policía detienen al hacker Alcasec por el ciberataque al PJN del CGPJ

Al respecto la Policía apunta en sus pesquisas al delito de blanqueo de capitales. Cabe destacar que desde la detención de Baíllo hasta su nueva comparecencia en la Audiencia Nacional los agentes de esta operación bautizada como 'Pousada' han tenido tiempo de analizar todo el material incautado en su domicilio, entre el que destaca numerosa documentación y soportes técnicos.

La investigación desarrollada hasta la fecha ha permitido acreditar la venta de los datos exfiltrados desde el Punto Neutro Judicial y, probablemente, la posterior utilización de estos para la comisión de una pluralidad de delitos que incluirían estafas bancarias en diferentes modalidades.

Monederos de criptomonedas

El teléfono de Alcasec también aportó información clave sobre la actuación. Los agentes localizaron conversaciones entre los dos hackers imputados que demostrarían la connivencia de ambos no solo en este asunto concreto, sino también en otros ataques informáticos contra sistemas de información de entes públicos y privados, como podría ser una aplicación del Ministerio de Justicia.

En este caso concreto, la intervención del segundo hacker -que operaba en el mundo digital con las identidades de 'Kermit' y 'Flores'- consistió por un lado en conseguir las credenciales de un funcionario de un juzgado de Bilbao para poder acceder a los datos robados, y por otra, en la venta de los mismos. El ataque se produjo en dos fases, el 18 y el 20 de octubre. Los imputados lograron entrar en el Punto Neutro Judicial (que es la red que conecta a los órganos judiciales con otras instituciones) y, de ahí, accedieron a información bancaria de primero de 438.000 contribuyentes y luego de 137.186. En total, sustrajeron datos de 575.186 españoles.

Acto seguido la derivaron a servidores de Lituania y procedieron a su venta. Y en este punto los agentes se topan con la dificultad de seguir el rastro de la información vendida así como del dinero percibido puesto que operaban con monederos fríos (dispositivos que almacenan criptomonedas). No obstante pudieron acreditar que Alcasec empleó estos soportes para ingresar bitcoins por valor de 533.514 dólares.

Proveedor ruso

En los servidores analizados habían cuentas instaladas con alias que empleaba Alcasec y también su colaborador. Además trabajaban con el portal UDYAT, desde donde vendía estos datos robados a terceros. El propio Alcasec confirmó en una entrevista en Youtube que era el creador de esta base de datos y que ahí tenía almacenados datos del 90% de españoles. Con todo, el juez le dejó hace unas semanas en libertad al disminuir el riesgo de fuga y por su colaboración con la Justicia.

En lo que respecta al segundo hacker detenido, la Policía alude también al hecho de que operaba con varios alias en las plataformas donde vendían el material ilícito y resaltan de él que era experto en anonimización y encriptación de comunicaciones. Incluso se le atribuyen vínculos con un proveedor ruso, al que le contrata servidores virtuales que luego administra y utiliza para la venta de todo el material robado.

Baíllo participaba en foros de cibercrimen muy selectos y cerrados donde tenía una alta reputación. Precisamente su dominio en la materia multiplicaba el riesgo de exponer los datos robados al Poder Judicial lo que, en palabras de la Policía, representa "un grave riesgo para la Seguridad Nacional".

Apoya TU periodismo independiente y crítico

Ayúdanos a contribuir a la Defensa del Estado de Derecho Haz tu aportación Vozpópuli