Concretamente, la Audiencia Nacional ha confirmado el procesamiento de dos de los ciberdelincuentes que robaron datos bancarios de 438.000 contribuyentes. Estos son Daniel Baíllo Escarabajal (alias Kermit) y Juan Carlos Ortega Guerrero. El magistrado José Luis Calama, además, tiene pendiente la resolución sobre otro de los participantes en esos robos de datos de contribuyentes: José Luis Huertas Rubio, conocido como Alcasec.
Los hackers del mayor ciberataque
Esos tres nombres propios son los de los expertos informáticos responsables de lo que puede ser considerado como el mayor ciberataque sufrido nunca por organismos del Estado. Se considera que Alcasec (anteriormente operando bajo el alias de Txapote) es el autor principal de los hechos, por lo que su resolución va por separado.
En cuanto a los otros dos investigados por el ataque al Punto Neutro Judicial, Daniel Baíllo Escarabajal fue el principal ayudante de Alcasec, mientras que Juan Carlos Ortega Guerrero es considerado como el principal comprador de la información robada.
A Kermit, con domicilio en Cartagena, Murcia, se le considera, por ejemplo, el responsable de la contratación del dominio «cgpj-pnj.com» a través de la empresa Eranet International Limited, con sede en Hong Kong. Este se utilizó posteriormente para poder acceder a la Administración de Justicia del País Vasco. Según las pesquisas policiales, este hacker contaba con un total de 16 equipos remotos (9 en Rusia, 3 en Alemania, 2 en España, uno en Reino Unido y uno en Ucrania).
Los datos obtenidos en esta base de datos judicial permitió posteriormente obtener más credenciales con las que obtuvieron datos de la Agencia Tributaria. Allí, según figura en los autos de la Audiencia Nacional del 13 y 29 de noviembre, a los que ha tenido acceso El Periódico de España, se consiguieron los datos privados de al menos 438.000 contribuyentes.
En cuanto a Ortega Guerrero, con domicilio en Sevilla, se valió de una identidad virtual para comprar la mayor parte de los datos conseguidos en el Punto Neutro Judicial. Concretamente, 30 paquetes de datos, seis de ellos con 5.540 registros con información personal y bancaria de contribuyentes.
Este PNJ actúa como un sistema que interconecta las sedes judiciales con el resto de los organismos del estado. Básicamente, es el servidor principal donde se guardan todas las causas del Consejo General del Poder Judicial (CGPJ) y por tanto donde se encuentran adjuntos los documentos de todos los procedimientos judiciales de España. Los datos adquiridos a su vez los reutilizaba para cometer estafas de smishing. Según el auto, administraba y coordinaba «una red de 188 contactos dedicados a actividades de ciberdelincuencia, como el smishing (envíos irregulares de SMS), con los que se asocia para la comisión de diferentes actividades ilícitas cuyo fin último es el lucro económico».
Los hechos cometidos por este grupo de hackers constituyen un delito continuado de revelación de secretos, delito tipificado en los artículos 197.2, 2 y 6 del Código Penal. Además del acceso al Punto Neutro Judicial y posteriormente a la Agencia Tributaria, también se han detallado accesos no permitidos a la Dirección General de Tráfico y al Cuerpo Nacional de Policía. Expertos judiciales señalan que las penas podrían alcanzar los 20 años de cárcel.
¿Qué pasa con Alcasec?
De momento, todavía no hay resolución en firme sobre Huertas, el presunto cabecilla de la operación. La La Sección Cuarta de la Sala de lo Penal de la Audiencia Nacional aún no ha hecho pública su respuesta al recurso que interpuso el abogado de Alcasec.
El pasado mes de marzo, Alcasec fue detenido y llevado a juicio. Sin embargo, en mayo decidió dejar en libertad preventiva al joven con una serie de condicionantes: comparecer en el juzgado cada quince días, donde aparentemente ha estado también colaborando con la Justicia y la prohibición de salir del país, para lo cual se le retiró el pasaporte. La estimación es que podría enfrentarse hasta a 20 años de cárcel por los delitos antes mencionados. Desde entonces, además de colaborar con la investigación, supuestamente ha tomado un mejor rumbo con el que aplicar sus habilidades informáticas: responsable de ciberseguridad de una empresa.
