España

El hacker del Poder Judicial atesoraba 1 millón de datos de españoles que vendió a Lituania

Sus entrevistas en Youtube, en las que se vanagloriaba de hackear a la Policía, y la forma en la que vendió la información facilitó a la Policía la detención de este peligroso ciberdelincuente de 19 años

El hacker de 19 años José Luis Huertas que cuenta con un largo historial en ataques cibernéticos puso en jaque a la Policía en octubre del año pasado por acceder a más de 500.000 cuentas bancarias. El periplo para detenerle llegaba a su fin el pasado viernes cuando los agentes le arrestaron en su vivienda de Madrid. Las entrevistas que dio en redes sociales y el medio que utilizó para vender el material robado facilitó a la Policía su arresto. De esta diligencia han podido acreditar que atesoró más de 1,1 millones de datos de ciudadanos españoles que vendió a Lituania.

Así se desprende del auto del magistrado José Luis Calama Teixeira en el que acordó su prisión provisional sin fianza. El instructor expuso que Huertas perpetró dos ataques al Punto Neutro Judicial (PNJ) del CGPJ que le permitió obtener información bancaria de más de medio millón de personas. Pero este hacker, que se hace llamar 'Alcasec', atesoraba mucho más material. En concreto contenía 1.167.234 registros con datos personales e información bancaria de todos estos contribuyentes.

Se trata de información que, como él mismo confirmó este lunes ante el juez, ya no dispone. La vendió a Lituania a través de un servicio conocido como 'Crime as a Service' (el delito como servicio). Consiste en un modelo que se utiliza especialmente en ciberdelincuencia para vender lo hackeado en foros privados. Al respecto los agentes acreditaron que este joven que ya estaba en el radar de la Policía cobró por vender el ataque al Poder Judicial. En concreto detectaron ingresos a una especie de monedero virtual por importe de 543.514 dólares.

Un hacker peligroso

El cerco se estrechó sobre este hacker a raíz del estudio de dos servicios asociados a su cuenta. Al acceder en su cuenta se corrobora que está detrás de la base de datos Udyat; un servicio de consultas que atesoraría datos obtenidos de manera ilícita, entre otros, de la Policía Nacional. Además, del registro de su casa los agentes se hicieron con abundante documental que coincide con la que difundía en un canal de Telegram que él mismo administraba con el pseudónimo de 'Mango'.

De hecho, tanto estas pruebas como las conversaciones mantenidas en otras redes sociales hacen concluir a los investigadores que este joven está detrás de uno de los mayores ciberataques que ha sufrido el Poder Judicial en toda su historia. El mismo se produjo los días 18 y 20 de octubre en dos tandas separadas. Para ello hackeó la cuenta de dos funcionarios vascos, lo que permitió acceder al Punto Neutro Judicial del CGPJ. De ahí tuvo vía libre para acceder a datos tributarios de más de 500.000 personas.

Los hechos alertaron al CGPJ, el cual los denunció rápidamente ante la Audiencia Nacional. La investigación se ha desarrollado por agentes de la Comisaría General de Información en estrecha colaboración con el Centro Criptológico Nacional. La misma ha culminado con éxito no solo por haber podido localizar a este hacker de apenas 19 años, sino también porque él mismo confesó este lunes ante el juez todos los hechos que se le atribuyen.

Manipuló fichas policiales

De hecho, esta sobreexposición es la que ha facilitado su localización. En los últimos meses, permitió a los usuarios de redes sociales que conocieran un poco más la versión pública de su alias Alcasec. Totalmente encapuchado y vestido de negro concedió varias entrevistas en los canales de Jorge Goorgo y en Zona Gemelos. Ahí dejó varias perlitas que luego fueron aprovechadas por los agentes encargados de la investigación. Confesó, entre risas en lo que parecía una charla de amigos, que podía quitar detenciones y poner órdenes de búsqueda al introducirse en el sistema de la Policía Nacional.

En entrevistas se vanaglorió de que podía manipular datos policiales y dijo que utilizaba tiendas de lujo como Versace y Louis Vuitton para conseguir datos de sus clientes

"Poner señalamientos que se mandaban a toda Europa", manifestó en uno de estos directos de la plataforma Twitch. Por estos servicios que ofrecía también le proporcionaban sus clientes un montante económico que no ha desvelado. Si que manifestó el dinero que se gastaba en reservados incluso que llegó a pagar 600 botellas de la marca Pepsi, como capricho.

Robar datos de clientes en tiendas de lujo

En estas entrevistas llegó a vanagloriarse de que los agentes de la Policía Nacional no sabían descargarse los datos de su ordenador. Un relato, altamente improbable, que contaba de la siguiente manera: "La primera vez que vinieron a mi casa, me pillaron con todo abierto, no me lo esperaba. Tenía un servidor Linux normal y me dijeron; ¿Cómo nos descargamos esto? Le expliqué: 'hazte un zip de la carpeta'".

También narró a los streamers que las tiendas de lujo, mencionando Versace y Louis Vuitton, eran establecimientos para conseguir los datos de la lista de sus clientes, los pedidos y generar ventas privadas a unos precios lejos de la realidad de la realidad de estas marcas. "En la práctica es más jodido pero se podría hacer", respondió al ser preguntado si podría generar campañas de productos a diez euros. Sus acompañantes ironizaron en ese momento por su forma de vestir debido a la afición de este joven por las marcas de alto standing. No solo era su vestimenta ya que también se habría dedicado a blanquear gran parte del capital de los hechos ilícitos en coches de la marca Porsche.

Su encargo más difícil

'Alcasec' contó que suplantó al exCEO de Mediaset Paolo Vasile supuestamente por culpa del periodista de La Sexta Manuel Marlasca. Al parecer, dijo que fue un error porque este periodista dijo que toda su familia vivía de las estafas y de forma equivocada quiso centrar su ira en Mediaset. Accedió a todas las cuentas bancarias, transferencias, nóminas y pagos de la cadena. Pagó 1.500 euros de un reservado de una discoteca con ocho botellas a cuenta de Paolo Vasile. "Creo que dudaron mucho en consultarle si eran sus gastos de verdad porque le tenían miedo sus empleados", añadió.

'Alca', como le llaman sus amigos, dijo que la red social con menos seguridad era Tik Tok y también que un día pirateó la emisora de la Policía Municipal de Madrid y estuvo escuchando durante 24 horas qué pasaba por las calles de la capital y las conversaciones entre los agentes. También confesó que comenzó su carrera de delincuente hackeando las cuentas de HBO y que el encargo más "extraño" que ha recibido en su vida es conseguir informes de inteligencia relativos al blanqueo de capitales.

Apoya TU periodismo independiente y crítico

Ayúdanos a contribuir a la Defensa del Estado de Derecho Haz tu aportación
Salir de ver en versión AMP