La Fiscalía de la Audiencia Nacional solicita tres años de cárcel para José Luis Huertas, el hacker conocido como Alcasec, por el ataque a la web del Punto Neutro Judicial del Consejo General del Poder Judicial (CGPJ), del cual extrajo los datos bancarios de más de medio millón de contribuyentes.
En su escrito de acusación, al que ha tenido acceso EFE, la fiscal aplica la atenuante muy cualificada de confesión tardía, por lo que solicita para él una pena menor por los delitos continuados de acceso ilegal a sistemas informáticos y de descubrimiento y revelación de secretos. Gracias a su colaboración con la Justicia, se han podido decomisar 863.000 euros de las ganancias que obtuvo de la venta de datos robados.
Los otros acusados
No sucede lo mismo con los otros dos acusados, el también hacker Daniel Baíllo y Juan Carlos O. Para el primero, se reclaman 4 años y 4 meses de prisión por un delito continuado de acceso ilegal a sistemas informáticos y otro de descubrimiento de secretos. Además, se le considera cooperador necesario en la revelación de secretos de la que se acusa a Alcasec.
En cuanto al tercer acusado, la fiscal únicamente lo considera autor material de un delito de descubrimiento de secretos, por el cual solicita una pena de 3 años y 4 meses de cárcel.
Con un certificado digital robado
Según la fiscal, el 19 de octubre de 2021, Alcasec contrató con la empresa Cherry Servers, con sede en Lituania, dos sistemas de almacenamiento masivo de datos utilizando una cuenta de Gmail que había creado cuando era menor de edad, con el fin de ocultar su verdadera identidad.
«Con la intención de enriquecerse ilícitamente, obtuvo de Baíllo, quien era usuario de foros rusos especializados en la venta no autorizada de contraseñas de acceso a sistemas de información restringidos, un certificado digital robado, emitido por la Fábrica Nacional de Moneda y Timbre (FNMT) para la Dirección General de Tráfico (DGT).»
El certificado permitía la conexión remota a los sistemas de la DGT y proporcionaba acceso a la red policial mediante la asignación de una dirección IP de la red interna de la Dirección General de Policía.
Con dichas credenciales, realizó 876 conexiones al portal de la Policía Nacional (PN) «w6.policia.es» desde el 8 de julio de 2022. Estos hechos, la difusión y venta de los datos policiales extraídos, son por los que Alcasec y Baíllo están siendo investigados en el Juzgado de Instrucción 50 de Madrid, después de que la Audiencia Nacional se inhibiera por falta de competencia.
En la intranet de la Policía Nacional y en el CGPJ
Una vez conectado a la intranet de la Dirección General de Policía, Alcasec obtuvo las credenciales de otro funcionario de la Policía Nacional y logró navegar a través de la red SARA (Sistema de Aplicaciones y Redes para las Administraciones).
De este modo, logró conectarse a la web del Punto Neutro Judicial (PNJ) del CGPJ y, desde ese acceso, obtuvo las credenciales de un usuario de un juzgado de Bilbao, las cuales utilizó para comprobar el funcionamiento del PNJ.
Huertas y Baíllo decidieron entonces crear una página falsa que simulara ser el sitio web de acceso al PNJ, con el fin de obtener más credenciales y poder acceder a la red de servicios.