El tercer imputado por el ciberataque al CGPJ tenía 1,2 millones de euros en ocho monederos de criptomonedas y ocultaba tres armas de fuego en su casa, una de ellas prohibida por ley. La Policía así lo constató tras detenerle y registrar su casa ante las sospechas de los investigadores de que el joven, de 25 años de edad, era el mayor comprador de los datos hackeados al Punto Neutro Judicial.
De hecho, tras su arresto en la localidad sevillana de Dos Hermanas, la Policía le puso a disposición judicial y el magistrado de la Audiencia Nacional al frente de la causa ordenó la prisión provisional para él. El instructor actuó del mismo modo que lo hizo con el principal investigado, Alcasec, y decretó su envío a la cárcel por la gravedad de los delitos imputados (revelación de secretos, estafa agravada y tenencia de armas).
La Policía requisó hasta tres armas distintas en el registro a este joven, que responde a la identidad de Juan Carlos O.G. Según consta en un informe policial adherido al sumario y al que ha tenido acceso Vozpópuli, el ahora imputado ocultaba una escopeta marca Lig de calibre 12, un subfusil 'Skorpion' y una pistola semiautomática marca Star. Además le requisaron un total de 37 cartuchos.
Los agentes advierten en su informe de que, en el caso de subfusil, se trata de un arma que, al poder disparar el modo automático, está considerada de guerra. Por ello, el Reglamento de Armas que regula su tenencia la prohíbe para particulares. Algo parecido ocurre con la pistola semiautomática que el detenido guardaba en su casa. Está clasificada en la primera categoría del Reglamento y precisa de una licencia tipo B que se autorizan desde la dirección de la Guardia Civil en casos muy puntuales y justificados.
Armas listas para usar
Tras detectar todo este arsenal, los agentes realizaron un estudio balístico sobre las características y el estado de conservación. Al respecto concluyeron que la escopeta, la metralleta y la pistola presentaban mecanismos de disparo correcto y estaban en perfecto estado. "En galería de tiro se realizaron pruebas de fuego real con las tres armas, comprobándose su capacidad para el disparo", reza el oficio de la Comisaría General de Información de la Policía.
Los agentes habían puesto el foco en los posibles compradores de los datos hackeados al Poder Judicial. Hasta el momento habían dado con Alcasec (el joven que se erige como principal responsable del robo de datos a medio millón de españoles) y con un colaborador suyo. Este segundo responde a la identidad de Daniel Baíllo y se le atribuye el contrato de dominio a través del cual obtuvieron las credenciales para acceder a los sistemas informáticos del Punto Neutro Judicial.
El análisis de los datos ha permitido individualizar a 'lonastrump' como el mayor comprador de datos exfiltrados habiendo adquirido 15.284 registros
Con estos parámetros la Policía se centró en rastrear posibles compradores de todo este material robado y así fue como llegaron al tercer imputado. El hilo conductor fue uSms, la plataforma donde se vendió lo hackeado. Los agentes detectaron al usuario 'lonastrump' como "el mayor comprador" de los datos ilícitos robados. En concreto, adquirió 15.284 registros distribuidos en 30 paquetes de datos diferenciados, en función del banco al que perteneciera el contribuyente en cuestión.
Rolex, relojes de oro y metálico
Una vez identificado, los agentes pidieron al juez autorización para proceder a su detención y registro, diligencia que se acordó el pasado 10 de julio. Además de las armas, se incautaron de cinco relojes de lujo (dos Rolex, un Masratii y un Versace), 2.750 euros en metálico y varias tarjetas prepago y revolut. Del mismo modo atesoraba decenas de teléfonos de diferentes marcas, varios discos duros y una sustancia que asocian al hachís.
Al igual que Alcasec, Carlos O.G también operaba con criptomonedas. Se trata de una herramienta de dinero virtual muy utilizada en el mundo de la ciberdelincuencia por su facilidad para camuflar el rastro del dinero. Al respecto la Policía identificó hasta ocho 'frases semilla' que son las que se usan para recuperar las billeteras (wallet) de criptos. De su análisis concluyeron que el imputado había movido 1,2 millones de euros.
En el auto por el cual el magistrado acordó su prisión se hacía hincapié en que todo este material hackeado se pudo utilizar para "la comisión de una pluralidad de delitos", entre ellos posible estafa bancaria. De hecho, pocas horas después de perpetrar el ciberataque, se anunció en el canal de Telegram 'Usm Alerts' la venta de todos estos datos privados. Este chat contaba con un total de 459 suscriptores.
Ciberataque al CGPJ
El magistrado llama la atención del volumen de dinero que se mueve por esta vía. El total de ingresos en euros de la venta de los datos robados al CGPJ sobre 82.018 contribuyentes españoles fue de poco más de 39.000 euros en solo 11 días. La cifra se dispara si se refiere a todos los ingresos generados por uSms. Desde que empezó a operar de manera ilícita en octubre de 2021 habría obtenido 1,8 millones de euros.
Con todo, el principal investigado en la causa es Alcasec. Detrás de este usuario se esconde José Luis Huertas, un joven de 19 años que puso en jaque al sistema al propiciar este ataque sin precedente al Poder Judicial. Pese a su corta edad tiene un largo historial en ciberdelincuencia. De hecho, ya había protagonizado entrevistas en Youtube donde se jactaba de quitar detenciones y poner órdenes de búsqueda policiales, burlando así el sistema de la Policía Nacional.
También atacó servidores de las tiendas de lujo para conseguir datos de sus clientes VIP y luego venderlos en las plataformas clandestinas. Sin embargo, su mayor golpe hasta el momento ha sido el hackeo al CGPJ ya que se sospecha que atesoró más de 1,1 millones de datos de ciudadanos españoles que vendió a Lituania. El juez le dejó en libertad en mayo al reducirse su riesgo de fuga y constatar su colaboración en esta investigación.