Fm Golfo Azul Villa Pehuenia
Hay casos de ciberseguridad que parecen lejanos hasta que nos obligan a mirar hacia dentro. No hablamos de una gran tecnológica extranjera ni de una brecha perdida en algún rincón remoto de Internet, sino de datos bancarios de ciudadanos en España, de accesos vinculados a infraestructuras públicas y de una cadena que, según la Fiscalía, acabó con cientos de miles de registros introducidos en un portal para su venta. Lo que hemos visto con Alcasec importa no solo por el nombre propio, sino por lo que revela: la información personal se ha convertido en una mercancía muy valiosa.
El acuerdo. Esta parte del caso se ha saldado en la Audiencia Nacional con una conformidad entre los acusados y la Fiscalía. Según EFE, José Luis Huertas, alias Alcasec, ha aceptado una condena de dos años y siete meses de cárcel por los delitos de acceso ilegal a sistemas informáticos y descubrimiento y revelación de secretos. La Fiscalía pedía inicialmente tres años, pero aplicó la atenuante de confesión. Junto a él, Daniel B.E. y Juan Carlos O.G., identificados así en las informaciones judiciales, también han aceptado condena: dos años y dos meses para el primero como cooperador y un año y tres meses para el segundo por descubrimiento de secretos.
El acceso. La acusación describe una entrada construida por capas, no un simple golpe de suerte. Alcasec contrató el 19 de octubre de 2021 dos sistemas de almacenamiento masivo de datos con Cherry Servers, una mercantil con sede en Lituania, utilizando una cuenta de correo creada cuando era menor de edad para ocultar su identidad. Más adelante, Daniel B.E., al que la Fiscalía vincula con foros rusos especializados en la venta no autorizada de contraseñas, le facilitó un certificado digital robado emitido para la Dirección General de Tráfico. Con ese certificado, siempre según la acusación, logró navegar por la red SARA, conectarse con la web del Punto Neutro Judicial del CGPJ y obtener las credenciales de un funcionario de un juzgado de Bilbao.
La suplantación. El siguiente paso, siempre según el relato de la Fiscalía, fue convertir ese primer acceso en una vía para obtener más credenciales. Alcasec y Daniel B.E. crearon una página que simulaba ser la web de acceso al Punto Neutro Judicial, y el primero envió a distintos juzgados una cadena de texto que redirigía a esa página falsa. Dos funcionarios introdujeron por error sus claves, lo que permitió ampliar el alcance del ataque. La mecánica es importante porque muestra que la intrusión no dependió solo de una vulnerabilidad técnica, sino también del engaño a usuarios reales.
La escala. Con esas credenciales, según el escrito de acusación, Alcasec realizó 438.099 peticiones al servicio web de “cuentas bancarias ampliadas” de la Agencia Tributaria y poco después llevó a cabo un segundo ataque. El dato no es menor: no hablamos de una consulta aislada, sino de un volumen masivo de consultas a información sensible a través de un sistema conectado con la Administración. Para la venta de los datos, algunos de personas relevantes, disponía del portal.
La rebaja. La condena aceptada no sale de la nada, sino de un acuerdo de conformidad con la Fiscalía. Como señalamos arriba , la petición inicial era de tres años de cárcel, pero quedó en dos años y siete meses al aplicarse la atenuante de confesión por los delitos reconocidos. La fiscal también valoró la colaboración de los acusados durante la investigación, en particular al facilitar sus claves y contraseñas. Además, aceptaron el comiso de los efectos y del dinero físico y virtual intervenido en los registros practicados en Madrid, Cartagena y Dos Hermanas.
Una sola empresa fabrica muchas de las cámaras y vigilabebés de marca blanca de Amazon. Hay un problema: cualquiera podía mirarlas
Otra investigación. Hay un matiz importante para no mezclar planos. Alcasec lleva un año en prisión provisional por otra causa distinta, relacionada con una red de ciberataques que se apoderó de datos sensibles y privados de millones de ciudadanos y que él presuntamente lideraba. En esa investigación fue detenido junto al exsecretario de Estado de Seguridad Francisco Martínez, actualmente juzgado por la operación Kitchen.
La lectura. Lo que deja este caso no es solo una condena aceptada, sino una fotografía bastante nítida de hacia dónde se ha movido parte del cibercrimen. Ya no hablamos únicamente de entrar en un sistema, sino de encadenar accesos, aprovechar credenciales reales, consultar servicios sensibles y preparar la información para su venta.
Imágenes | Captura YouTube
En Xataka | Hemos hablado con una de las empresas líder en ciberseguridad en España. Y su diagnóstico no es alentador
–
La noticia
Alcasec logró acceder a cientos de miles de datos bancarios en España: ahora ha aceptado cárcel
fue publicada originalmente en
Xataka
por
Javier Marquez
.
