En libertad con medidas cautelares queda hacker que atacó sistema judicial español

El hacker, de 19 años, también conocido como Alcasec, es el autor confeso tras un ataque al poder judicial español en octubre de 2022 y permanecía en prisión desde comienzos de abril pasado.

Esta semana fue puesto en libertad con medidas cautelares el reconocido hacker español, José Luis Huertas, alias Alcasec, quien fue responsable de atacar al Consejo General del Poder Judicial (CGPJ) de España en octubre de 2022, ocasión en la que se apoderó de medio millón de datos que posteriormente vendió a una empresa en Lituania.

Pese a que la Policía de ese país calificó al cibercriminal como un peligro para la seguridad nacional, el juez de la Audiencia Nacional José Luis Calama justificó la medida teniendo en cuenta la corta edad del atacante y el hecho de que está colaborando con la justicia por este delito, además de la devolución de buena parte del dinero obtenido en la venta de la información. No obstante, el magistrado le impuso las medidas cautelares de comparecencia cada 15 días ante el juzgado, la prohibición de salir de España y el retiro del pasaporte.

En octubre pasado, Huertas, de 19 años, se apoderó de más de más de medio millón de datos de contribuyentes tras infiltrarse en el sistema que centraliza y traslada las peticiones de información entre los órganos judiciales de España, también conocido como Punto Neutro Judicial (PNJ), y que se utiliza para consultar datos de los ciudadanos involucrados en procesos judiciales, así como entidades bancarias.

Alcasec, como se denomina el cibercriminal, tuvo acceso las cuentas bancarias de personas pertenecientes a entidades como la Dirección General de la Policía, la Agencia Tributaria, el Servicio Público de Empleo (SEPE) o el Instituto Nacional de la Seguridad Social.

Huertas realizó dos ataques, entre el 18 y 20 de octubre de 2022, para extraer la información. En el primero de ellos, utilizó las contraseñas de un funcionario de un juzgado en Bilbao, lo que le permitió acceder a 438 mil datos de contribuyentes españoles que se almacenaban en la Agencia Tributaria. Dos días después, utilizó el mismo modus operandi para apoderarse de otros 137 mil datos.

La mayor parte de la información robada era almacenada en dos servidores alojados en una compañía ubicada en Lituania e identificada como Cherryservers, la que los enajenaba a terceros a través de una plataforma llamada uSms, que enviaba criptomonedas a los cold wallets –monederos fríos- del atacante. Estos cold wallets tienen la peculiaridad de que se almacenan en un dispositivo protegido y no están expuestos a los vaivenes del mercado.

Por la venta de la información robada, Alcasec obtuvo una ganancia de 13.500 bitcoins, lo que equivale a cerca de 543 mil dólares.

El rastro del dinero, así como una serie de entrevistas en un canal de youtube en las que confesó otros ilícitos y en las que aparecía encapuchado, ayudaron a la Policía a dar con la identidad y el paradero del cibercriminal.

Alcasec también sería responsable del hackeo a Bicimad, un servicio de alquiler público de bicicleta en Madrid, a un establecimiento de Burger King y a la plataforma de streaming HBO, consiguiendo en esta última crear unas 150 mil cuentas gratuitas.