Kermit, el cibercriminal ¡°selecto¡± y de ¡°alta reputaci¨®n¡± que atac¨® al Poder Judicial
La Polic¨ªa detiene a Daniel Ba¨ªllo por colaborar presuntamente con el ¡®hacker¡¯ Alcasec para robar y vender datos de medio mill¨®n de contribuyentes
Dos polic¨ªas bajan por las escaleras de un edificio de Cartagena (Murcia) con un hombre engrilletado. Los agentes conducen a Daniel Ba¨ªllo, que a sus 29 a?os camina resignado (vestido con pantal¨®n de ch¨¢ndal, sudadera blanca y zapatillas deportivas) tras convertirse el pasado martes en el segundo detenido por la Operaci¨®n Pousada, que investiga el ciberataque perpetrado en 2022 contra el Consejo General del Poder Judicial (CGPJ). El ataque permiti¨® a sus autores hacerse con informaci¨®n de medio mill¨®n de contribuyentes para venderlos al mejor postor. Tras la captura en marzo del hacker Jos¨¦ Luis Huertas, Alcasec, uno de los cerebros del pirateo, los investigadores han seguido el rastro hasta Ba¨ªllo, un inform¨¢tico que se mov¨ªa como pez en el agua en ¡°foros de cibercrimen muy selectos¡±, donde gozaba de una ¡°alta reputaci¨®n¡±; y que usaba, entre otros, el alias de Kermit (nombre original del mu?eco conocido en Espa?a como La Rana Gustavo y en Am¨¦rica Latina como La Rana Ren¨¦).
La captura de Ba¨ªllo se produjo este martes tras varios meses de pesquisas, que han incluido el an¨¢lisis de conversaciones que mantuvo bajo pseud¨®nimo con Alcasec, a trav¨¦s de aplicaciones de mensajer¨ªa halladas en el m¨®vil de este segundo hacker, seg¨²n fuentes jur¨ªdicas. Los agentes han puesto este jueves a Kermit a disposici¨®n del juez Jos¨¦ Luis Calama, instructor de la Audiencia Nacional, que ya ha ordenado su inmediato ingreso en prisi¨®n provisional. En l¨ªnea con la Fiscal¨ªa, que hab¨ªa pedido su reclusi¨®n, el magistrado ha considerado que existe un elevado riesgo de fuga, de que destruya pruebas y de que contin¨²e con su actividad delictiva. El juez le atribuye un delito continuado de descubrimiento y revelaci¨®n de secretos con fines lucrativos.
La historia que cerca a Kermit y Alcasec comienza hace m¨¢s de medio a?o. El CGPJ inform¨® de que hab¨ªa sufrido en la segunda quincena de octubre de 2022 un ciberataque a trav¨¦s del Punto Neutro Judicial (PNJ), la red de telecomunicaciones que conecta a los ¨®rganos judiciales con otras instituciones. Seg¨²n el sumario, los hackers eligieron esta plataforma como el punto d¨¦bil para adentrarse en las bases de datos confidenciales del Estado y llegar as¨ª hasta la informaci¨®n de la Agencia Tributaria. Para ello, los piratas usurparon las claves de dos funcionarios de los juzgados de Bilbao, con las que accedieron al sistema. Y, una vez superada esa barrera, extrajeron datos bancarios de 575.186 contribuyentes, que despu¨¦s vendieron a terceras personas a cambio de pagos en criptomonedas, seg¨²n el juez.
Ba¨ªllo jug¨® un papel clave en esa trama, seg¨²n los agentes, que destacan sus antecedentes en el mundo del cibercrimen y que lo definen como ¡°experto en anonimizaci¨®n, medidas de seguridad operacionales, encriptaci¨®n de comunicaciones y multidentidad¡±. Los investigadores inciden en que, en este caso, ¡°se ocup¨® de la obtenci¨®n il¨ªcita de distintas credenciales de usuario para realizar los ciberataques¡±. En esa l¨ªnea, el juez precisa que, tras concertarse con Alcasec, Kermit particip¨® en la campa?a de phishing (env¨ªo de mensajes que suplantan la identidad) contra los juzgados de Bilbao; y se ocup¨® de contratar el dominio (direcci¨®n web) a trav¨¦s del cual consiguieron las claves de los funcionarios de Justicia. ?l tambi¨¦n administr¨® presuntamente la identidad digital Kermit, ¡°utilizada para la compra de los datos de contribuyentes espa?oles¡± sustra¨ªdos.
El arresto de Ba¨ªllo, que usaba otros alias (como Flores y H4kim), se ha producido despu¨¦s de que Alcasec quedase en libertad en mayo. Entre otros motivos, por su colaboraci¨®n con la justicia.
Un port¨¢til desaparecido
El juez ha ordenado el ingreso en prisi¨®n de Kermit por varias razones. En primer lugar, considera que el riesgo de fuga es elevad¨ªsimo: ¡°Dada su facilidad de inserci¨®n en el mercado laboral de cualquier pa¨ªs por su cualificaci¨®n profesional en inform¨¢tica, as¨ª como por la propiedad de varios monederos [de criptomonedas] fr¨ªos que, a trav¨¦s de extracciones en cajeros autom¨¢ticos, se convierte en dinero fiduciario¡±. Segundo, porque podr¨ªa destruir pruebas: ¡°Los indicios permiten afirmar que dispone de una s¨®lida infraestructura cibern¨¦tica con la que, de quedar en libertad, puede destruir de forma remota fuentes de prueba relacionadas con los hechos investigados.¡±
Y tercero, porque podr¨ªa continuar con su actividad delictiva, en opini¨®n del juez. En el registro de su casa, la Polic¨ªa Nacional le intervino numerosa documentaci¨®n, efectos y soportes t¨¦cnicos, que ya han comenzado a analizar. Pero, sin embargo, los agentes no han encontrado un port¨¢til que usa, adem¨¢s de tener acceso a ¡°un proveedor ruso donde tiene contratados servidores virtuales que administra y utiliza para su actividad il¨ªcita¡±, dice Calama.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.