El hacker Alcasec acepta 2 años y 7 meses de cárcel por robar más de medio millón de datos bancarios

José Luis Huertas, de 22 años, llegó a tener acceso presuntamente al 90% de los datos de los españoles tras infiltrarse en instituciones clave. Actualmente cumple prisión provisional por otra causa vinculada a una red de ciberataques. — MADRID.-El reconocido hacker José Luis Huertas, conocido en el mundo digital como Alcasec, ha aceptado este miércoles una condena de dos años y siete meses de prisión tras un acuerdo de conformidad con la Fiscalía en la Audiencia Nacional. El joven de 22 años fue juzgado por robar más de 574,000 registros con datos bancarios de ciudadanos españoles, tras un ciberataque ejecutado en octubre de 2022 contra el Punto Neutro Judicial (PNJ) del Consejo General del Poder Judicial (CGPJ).

Inicialmente, la fiscalía solicitaba para Alcasec tres años de cárcel por los delitos de acceso ilegal a sistemas informáticos y descubrimiento y revelación de secretos. Sin embargo, la pena se redujo al aplicarse la atenuante de confesión, valorando su colaboración durante la investigación, especialmente al facilitar claves y contraseñas que permitieron avanzar en el caso, dice la agencia EFE.

Cómplices y decomiso de bienes

Junto a Alcasec, también alcanzaron un acuerdo con la Fiscalía sus dos colaboradores:

Mundo

OMS asegura que el riesgo de contagio por hantavirus en crucero MV Hondius es “bajo” mientras inicia evacuación de pasajeros en España

• Daniel B.E. , de 32 años, cooperador en los hechos, aceptó dos años y dos meses de prisión (la fiscal pedía cuatro años y cuatro meses).
• Juan Carlos O.G. , de 28 años, fue condenado a un año y tres meses por descubrimiento de secretos (la petición inicial era de tres años y cuatro meses).

Los tres aceptaron el comiso de efectos, dinero físico y criptomonedas incautados durante los registros practicados en sus domicilios en Madrid, Cartagena (Murcia) y Dos Hermanas (Sevilla). A Juan Carlos O.G., además, se le intervinieron diversas armas, hallazgo que ya se investiga en un juzgado independiente.

Te puede interesar: El FBI desmanteló una red de espionaje rusa que secuestró miles de routers domésticos en 23 estados de EEUU y expuso datos de usuarios, agencias y sectores críticos

El modus operandi: Servidores en Lituania y páginas falsas

Según el relato fiscal que quedará plasmado en la sentencia, el ataque comenzó el 19 de octubre de 2021, cuando Alcasec contrató dos sistemas de almacenamiento masivo de datos con la empresa Cherry Servers, con sede en Lituania, usando una cuenta de Gmail creada cuando aún era menor de edad para ocultar su identidad.

Posteriormente, obtuvo de Daniel B.E. —usuario de foros rusos especializados en la venta ilegal de contraseñas— un certificado digital robado, originalmente emitido por la Fábrica Nacional de Moneda y Timbre para la Dirección General de Tráfico (DGT). Con esa credencial logró navegar por la red SARA (Sistemas de Aplicaciones y Redes para las Administraciones) y acceder al Punto Neutro Judicial.

Una vez dentro, Alcasec y su cómplice crearon una página web idéntica a la de acceso legítimo al PNJ y enviaron a distintos juzgados un enlace fraudulento. Dos funcionarios introdujeron sus claves en la página falsa, lo que permitió al hacker realizar 438,099 peticiones al servicio de “cuentas bancarias ampliadas” de la Agencia Tributaria, en un primer ataque. Poco después ejecutó un segundo asalto.

Venta masiva de datos y comprador principal

Para comercializar la información robada, Alcasec utilizó el portal uSms, donde volcó 574,908 registros extraídos del PNJ. Las transacciones se realizaban mediante la pasarela de pagos en criptomonedas Plisio. El mayor comprador fue precisamente Juan Carlos O.G., quien invirtió 109,876 euros con el objetivo de lucrarse revendiendo los datos.

Antecedentes y perfil del hacker

A sus 22 años, Alcasec ya acumula un historial delictivo relevante. Con solo 19 años saltó a la fama tras su primera detención, cuando se creía que “podía tener acceso al 90% de los datos de los españoles”, tras infiltrarse en la DGT, ayuntamientos y otras instituciones públicas.

Actualmente, se encuentra en prisión provisional desde mayo de 2024 por otra causa distinta, aún más grave: se le acusa de liderar una red de ciberataques que se apoderó de datos sensibles de millones de ciudadanos. En esa misma operación fue detenido el exsecretario de Estado de Seguridad Francisco Martínez, quien hoy es juzgado por la llamada operación Kitchen, supuestamente orquestada desde el Ministerio del Interior durante el gobierno de Mariano Rajoy para espiar al extesorero del PP Luis Bárcenas.

De la prisión provisional a la colaboración con la justicia

Cuando fue arrestado en marzo de 2023 por el ataque al CGPJ, Alcasec permaneció mes y medio en prisión. El juez de la Audiencia Nacional José Luis Calama acordó entonces su excarcelación, con el visto bueno de la Fiscalía, atendiendo a su juventud —19 años en ese momento— y a su compromiso de colaborar con la Justicia. Esa colaboración permitió recuperar 863,000 euros de las ganancias obtenidas por la venta de los datos robados.

Mundo

¡Peleas, uso de gas pimienta se reportan en Miami por un reloj! Swatch junto a Audemars Piguet sacan su nuevo modelo de bolsillo y que puede encontrarse en más de 8 mil pesos, pero los revendedores pueden ofrecerlo en más de 50 mil pesos

Perfiles de los cómplices

• Daniel B.E. ya había sido condenado en 2022 por tentativa de homicidio y en 2023 por estafa.
• Juan Carlos O.G. registraba un antecedente por estafa en 2017.

Conclusión del caso

La conformidad alcanzada en la Audiencia Nacional pone fin a la causa por el robo de los datos bancarios, aunque Alcasec continúa en prisión provisional a la espera de juicio por la presunta dirección de una red de ciberataques masivos. El acuerdo, no obstante, refuerza la estrategia de colaboración del joven hacker con la justicia, que ya ha demostrado ser efectiva para la recuperación de activos y el esclarecimiento de los hechos.