El juez propone juzgar a los autores del robo de datos de 500.000 contribuyentes en un ciberataque al Poder Judicial

El juez de la Audiencia Nacional Jos¨¦ Luis Calama ha propuesto juzgar a tres personas por el ciberataque cometido en octubre del a?o pasado al Punto Neutro Judicial (PNJ), la red de telecomunicaciones que conecta los ¨®rganos judiciales con otras instituciones del Estado y que se gestiona desde el Consejo General del Poder Judicial (CGPJ). El magistrado tipifica los hechos como un delito continuado de revelaci¨®n de secretos (art¨ªculo 197.2, 3 y 6 del C¨®digo Penal) que consisti¨® en el acceso a datos, mediante la utilizaci¨®n de las claves de dos funcionarios de Justicia obtenidas de forma il¨ªcita, de m¨¢s de medio mill¨®n de contribuyentes. La informaci¨®n fue extra¨ªda y posteriormente vendida. La Audiencia, adem¨¢s, atribuye a dos de los acusados un delito de acceso ilegal a sistemas inform¨¢ticos (art¨ªculo 197 bis 1?) mientras que sobre el tercero se ha abierto una pieza separada por delito de estafa con el objetivo de investigar las denuncias de contribuyentes afectados.

El PNJ sufri¨® un ciberataque en dos actos los d¨ªas 18 y 20 de octubre de 2022. En ambos, seg¨²n recoge el auto dictado por el juez Calama para dar por cerrada la instrucci¨®n, se utilizaron las claves de dos funcionarios de dos juzgados de lo Penal de Bilbao, obtenidas de forma il¨ªcita, para acceder a la base de datos de ¡°cuentas ampliadas¡± de la Agencia Tributaria (AEAT). El primer d¨ªa lograron extraer los datos bancarios de 438.000 contribuyentes, y el segundo se hicieron con los de 137.186 ciudadanos. Para la campa?a de phishing dirigida a funcionarios de la Administraci¨®n de Justicia que posibilit¨® la obtenci¨®n il¨ªcita de credenciales que fueron utilizadas en el ataque, se utiliz¨® un dominio malicioso (cgpj-pnj.com), registrado a trav¨¦s de una empresa, Eranet International Limited, con sede en Hong Kong (China). Todo el material robado se transfiri¨® a dos servidores alojados en Lituania y despu¨¦s, seg¨²n describe el juez Calama, se vendieron a terceros a trav¨¦s de la plataforma uSms con pagos en criptomonedas.

La investigaci¨®n, desarrollada durante varios meses bajo secreto de sumario, ha llevado a detener a tres personas, que son las que la Audiencia propone ahora sentar en el banquillo. Dos de ellos, Jos¨¦ Luis Huertas, Alcasec, y Daniel Ba¨ªllo, Kermit, son quienes supuestamente obtuvieron informaci¨®n sobre el PNJ y su funcionamiento, y elaboraron plantillas simulando su p¨¢gina web, con las que lograron suplantar esta plataforma. Adem¨¢s, pusieron en marcha campa?as de phishing mediante las que obtuvieron de forma il¨ªcita credenciales para acceder al PNJ.

Huertas, de 19 a?os, fue detenido en marzo pasado en Madrid y qued¨® en libertad en mayo tras colaborar con la justicia al confesar los hechos. Calama considera que es ¨¦l quien ¡°difunde, revela y cede a terceros¡± los datos extra¨ªdos a trav¨¦s del ciberataque, ¡°combin¨¢ndolos con otros obtenidos il¨ªcitamente procedentes de otras Administraciones P¨²blicas y entes privados¡±. Estos hechos, se?ala el juez, son realizados con una finalidad lucrativa, que le ha generado, ¡°al menos¡±, 1.866.175,73 euros.

Ba¨ªllo, de 29 a?os, fue arrestado en Cartagena (Murcia). Fue ¨¦l quien supuestamente contrat¨® el dominio cgpj-pnj.com utilizado para llevar a cabo la campa?a de phishing a trav¨¦s de la cual se obtuvieron las claves il¨ªcitas de acceso a los sistemas inform¨¢ticos de los funcionarios de dos juzgados de Bilbao. Act¨²a bajo el seud¨®nimo Theskull77 en los dos principales foros de cibercrimen rusos a nivel mundial, exploit.in y xss.is, especializados en la venta de accesos a redes de entidades bancarias o en la venta de credenciales, donde Ba¨ªllo, supuestamente, vend¨ªa accesos a sistemas de informaci¨®n de empresas espa?olas.

En la declaraci¨®n que hizo Jos¨¦ Luis Huertas ante el juez el pasado 3 de abril, explic¨® que la idea de atacar el PNJ surge cuando ¨¦l y su compa?ero (refiri¨¦ndose a la identidad del usuario Theskull) descubren que, estando dentro del sistema de la Polic¨ªa, tienen conexi¨®n con el PNJ. Seg¨²n su testimonio, Theskull le facilit¨® el certificado digital de una funcionaria de la Direcci¨®n General de Tr¨¢fico, y, usando esta credencial, lograron acceder al entorno web de la Polic¨ªa y al PNJ. Posteriormente, crearon una web falsa denominada ¡°cgpj-pnj.com¡±, con la que lograron obtener m¨¢s credenciales, y realizar la extracci¨®n de datos de cuentas ampliadas de la AEAT.

Al tercero de los detenidos, Juan Carlos Ortega, se le atribuye la compra del material que extrajeron en el ciberataque. Supuestamente, adquiri¨® 30 paquetes de datos entre las 19.04 del 20 de octubre de 2022 y las 16.46 del d¨ªa siguiente, con una ingente cantidad de informaci¨®n de car¨¢cter personal y bancaria de contribuyentes espa?oles. Seg¨²n el auto del juez, este encausado ven¨ªa adquiriendo de manera il¨ªcita informaci¨®n de ciudadanos espa?oles en el servicio uSms utilizando la identidad digital lonastrump, al menos desde septiembre de 2021.

Criptomonedas

A trav¨¦s de dos identidades digitales en la aplicaci¨®n de mensajer¨ªa Telegram, administr¨® y coordin¨® una red de 188 contactos dedicados a actividades de ciberdelincuencia, con los que se asoci¨® para actuar de forma il¨ªcita. Calama destaca que, a pesar de no contar con medios conocidos de vida, en el a?o 2022 dispuso de criptomonedas por un importe igual o superior a 1.237.637 euros a trav¨¦s de ocho monederos de bitcoin; durante los a?os 2022 y 2023 habr¨ªa adquirido diferentes bienes muebles e inmuebles con valor superior a los 500.000 euros, y en su domicilio fueron intervenidas joyas y relojes de media y alta gama, y 2.750 euros en efectivo.

En el registro de su domicilio, en Dos Hermanas (Sevilla), fueron intervenidas tambi¨¦n armas y municiones, entre ellas una escopeta de ca?ones superpuestos; un subfusil calibre 9 mm parabellum con dos cargadores; una pistola marca STAR, calibre 22¡å, con un cargador; 26 cartuchos de munici¨®n calibre 22¡å; y 11 cartuchos de munici¨®n calibre 7,65¡å. La Audiencia Nacional se ha inhibido a favor de los juzgados de Dos Hermanas por si los hechos fueran constitutivos de delitos de tenencia il¨ªcita de armas y un delito de dep¨®sito de armas de guerra y municiones.