El juez de la Audiencia Nacional, José Luis Calama, ha acordado este lunes prisión provisional, comunicada e incondicional por un delito continuado de revelación de secretos para el presunto autor del ciberataque al Punto Neutro Judicial (PNJ) del pasado mes de octubre. Los investigadores consideran que tras exfiltrar esos datos procedió a monetizarlos vendiéndolos a terceras personas.
En la resolución del magistrado, recogida por Europa Press, se indica que en su comparecencia el joven, J.L.H.R., ha reconocido los hechos que se le imputan y que consisten en el acceso a datos de 575.186 contribuyentes a través del ciberataque al PNJ, que es la red de telecomunicaciones que conecta a los órganos judiciales con otras instituciones del Estado y que se gestiona desde el Consejo General del Poder Judicial (CGPJ).
Calama sigue así el criterio de la fiscal encargada del caso, Ana Noe, que había interesado la prisión provisional ante el riesgo de fuga, el riesgo de destrucción de pruebas y el peligro de reiteración delictiva. El hacker fue detenido por la Policía el pasado viernes 31 de marzo coincidiendo con la entrada y registro tanto en su domicilio como en un local en el que operaba en Madrid.
Según la denuncia que originó esta investigación y que recoge el juez en su auto, el 18 y 20 de octubre de 2022 el detenido, de 19 años, accedió a través de las claves de dos funcionarios de la Administración de Justicia de Bilbao al PNJ y desde ahí a la base de datos de "cuentas ampliadas" de la Agencia Estatal de la Administración Tributaria. Como consecuencia de dichos ataques se exfiltraron los datos bancarios de 575.186 contribuyentes.
Dos servidores en Lituania
El magistrado explica en el auto que esos datos fueron transferidos a dos servidores alojados una compañía denominada 'Cherryservers' en Lituania, y que con posterioridad, "parte de esos datos se han enajenado a terceras personas", tal y como ha reconocido el investigado en su declaración ante el juez.
El auto detalla, recogiendo parte de la resolución de entrada y registro, que de las diligencias practicadas hasta el momento se pone de manifiesto que este joven fue el autor del ciberataque investigado y que consiguió "de forma ilícita" las credenciales de esos dos funcionarios. Además, incide en que hay evidencias en los servidores y en la contratación de los mismos con criptomonedas.
Según apunta el juez, la investigación ha acreditado que desde los servidores gestionados por el detenido se han vendido datos de múltiples afectados a través de la plataforma uSms con pagos en criptomonedas con destino final a los denominados 'monederos fríos', vinculados al investigado.
"Ha quedado acreditado que, desde dos de los monederos utilizados para realizar la contratación de estos servidores, se realizan ingresos directos por valor de 13,5282 bitcoins (equivalente a 543.514 dólares americanos) a un monedero controlado por J.L.H.R. Asimismo ha quedado acreditado que desde estos mismos monederos el investigado recibe ingresos por valor de 0,1668 bitcoins (...) a través de una tarjeta BITSA a su nombre", indica.
Datos ilícitos bajo demanda
De hecho, recoge la resolución que en uno de los servidores se encontraba alojado el portal UDYAT, un servicio de consultas bajo demanda de datos obtenidos de forma ilícita (de Policía, Patrimonio o Caupol entre otros). El joven, en manifestaciones vertidas bajo el pseudónimo de 'Alca' en una entrevista concedida en el canal de Youtube 'Club113', afirmó ser el creador y propietario de la base de datos de UDYAT donde, según el investigado, hay almacenados datos del 90 por ciento de los españoles.
Se da la circunstancia de que en ese mismo servidor los investigadores hallaron documentación personal del joven, "con lo que se pone de manifiesto que el investigado administra este servidor".
En su auto el juez explica que los hechos investigados constituyen un delito de revelación de secretos del artículo 197.2, 3 y 6 del Código Penal en relación con el artículo 74 ( delito continuado) que sanciona a quien sin estar autorizado se apodera, utiliza o modifica, en perjuicio de terceros datos reservados de carácter personal o familiar que se hallan registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivos o registros públicos o privados.
Este delito tiene previsto mayor sanción cuando los datos personales se difunden, revelan o se ceden a terceros con fines lucrativos. El juez indica en su auto que al detenido se le podría imponer en su día una pena superior a 5 años de prisión.
Calama argumenta que existe riesgo de fuga en atención a la posible pena que se le puede llegar a imponer ya que el investigado tiene depositadas "importantes cantidades de criptomonedas que le permitirían disponer de liquidez suficiente para residir en cualquier parte del mundo, eludiendo la acción de la justicia española".
Además, el magistrado entiende que con la prisión se impide que destruya pruebas manipulando repositorios informáticos donde tiene depositados los datos objeto de su actividad delictiva. Añade que también existe riesgo de reiteración delictiva.
La CGI con el CNI
Al tiempo que trascendía el auto de prisión preventiva para este hacker, la Policía ha emitido una nota de prensa, recogida por Europa Press, en la que explica que el arrestado, a través de la vulneración de distintas credenciales de acceso a los sistemas informáticos, "fue escalando privilegios hasta acceder a bases de datos confidenciales y restringidas de distintas instituciones públicas, atacando de manera grave a una alta institución del Estado" como es el CGPJ.
Apunta que la investigación policial se ha desarrollado por agentes de la Comisaría General de Información en coordinación con la Fiscalía de la Audiencia Nacional y dirigida por el Juzgado Central de Instrucción número 4. Además se ha contado con la colaboración del Centro Criptológico Nacional dependiente del Centro Nacional de Inteligencia (CNI), así como de las instituciones públicas afectadas.
Indican que la operación comenzó el pasado noviembre y que tras una compleja investigación, "especialistas en ciberamenazas de la Comisaría General de Información identificaron al sujeto detrás de estos ataques, un joven de 19 años con amplia trayectoria en el mundo de la ciberdelincuencia". Inciden en que el ahora detenido habría instrumentalizado estos ataques y accesos ilegítimos para crear una base de datos orientada como un servicio de consultas y venta de información ilícita a terceros.
Además, aseveran que es el desarrollador de la plataforma Udyat, 'El ojo de Horus', haciendo un paralelismo entre este símbolo egipcio y la capacidad de esta arquitectura informática para obtener datos personales y sensibles.
Alcasec, una vida de lujos
Según la Policía, el detenido, que se hacía llamar 'Alcasec', llevaba una vida de lujos impropia de alguien de su edad y sin actividad laboral: realizaba viajes caros, vestía marcas exclusivas, frecuentaba lugares de moda de ocio y restauración e incluso conducía un vehículo de alta gama.
"Gran parte de su actividad ilícita la monetizaba a través de una compleja estructura de ocultación del dinero mediante servicios mezcladores-mixers de criptomonedas, impidiendo el rastreo por la ruptura del vínculo entre los fondos y el destinatario", explica para añadir que la magnitud de los ciberataques realizados y la ingente cantidad de datos personales sensibles que manejaba convertían a este sujeto "en una amenaza muy grave para la Seguridad Nacional".
Apuntan que en los registros se ha intervenido una gran cantidad de dinero en efectivo, numerosa documentación, efectos y soportes informáticos, además de una motocicleta y un vehículo de alta gama.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios