Kermit, el cibercriminal “selecto” y de “alta reputación” que atacó al Poder Judicial
La Policía detiene a Daniel Baíllo por colaborar presuntamente con el ‘hacker’ Alcasec para robar y vender datos de medio millón de contribuyentes
Dos policías bajan por las escaleras de un edificio de Cartagena (Murcia) con un hombre engrilletado. Los agentes conducen a Daniel Baíllo, que a sus 29 años camina resignado (vestido con pantalón de chándal, sudadera blanca y zapatillas deportivas) tras convertirse el pasado martes en el segundo detenido por la Operación Pousada, que investiga el ciberataque perpetrado en 2022 contra el Consejo General del Poder Judicial (CGPJ). E...
Dos policías bajan por las escaleras de un edificio de Cartagena (Murcia) con un hombre engrilletado. Los agentes conducen a Daniel Baíllo, que a sus 29 años camina resignado (vestido con pantalón de chándal, sudadera blanca y zapatillas deportivas) tras convertirse el pasado martes en el segundo detenido por la Operación Pousada, que investiga el ciberataque perpetrado en 2022 contra el Consejo General del Poder Judicial (CGPJ). El ataque permitió a sus autores hacerse con información de medio millón de contribuyentes para venderlos al mejor postor. Tras la captura en marzo del hacker José Luis Huertas, Alcasec, uno de los cerebros del pirateo, los investigadores han seguido el rastro hasta Baíllo, un informático que se movía como pez en el agua en “foros de cibercrimen muy selectos”, donde gozaba de una “alta reputación”; y que usaba, entre otros, el alias de Kermit (nombre original del muñeco conocido en España como La Rana Gustavo y en América Latina como La Rana René).
La captura de Baíllo se produjo este martes tras varios meses de pesquisas, que han incluido el análisis de conversaciones que mantuvo bajo pseudónimo con Alcasec, a través de aplicaciones de mensajería halladas en el móvil de este segundo hacker, según fuentes jurídicas. Los agentes han puesto este jueves a Kermit a disposición del juez José Luis Calama, instructor de la Audiencia Nacional, que ya ha ordenado su inmediato ingreso en prisión provisional. En línea con la Fiscalía, que había pedido su reclusión, el magistrado ha considerado que existe un elevado riesgo de fuga, de que destruya pruebas y de que continúe con su actividad delictiva. El juez le atribuye un delito continuado de descubrimiento y revelación de secretos con fines lucrativos.
La historia que cerca a Kermit y Alcasec comienza hace más de medio año. El CGPJ informó de que había sufrido en la segunda quincena de octubre de 2022 un ciberataque a través del Punto Neutro Judicial (PNJ), la red de telecomunicaciones que conecta a los órganos judiciales con otras instituciones. Según el sumario, los hackers eligieron esta plataforma como el punto débil para adentrarse en las bases de datos confidenciales del Estado y llegar así hasta la información de la Agencia Tributaria. Para ello, los piratas usurparon las claves de dos funcionarios de los juzgados de Bilbao, con las que accedieron al sistema. Y, una vez superada esa barrera, extrajeron datos bancarios de 575.186 contribuyentes, que después vendieron a terceras personas a cambio de pagos en criptomonedas, según el juez.
Baíllo jugó un papel clave en esa trama, según los agentes, que destacan sus antecedentes en el mundo del cibercrimen y que lo definen como “experto en anonimización, medidas de seguridad operacionales, encriptación de comunicaciones y multidentidad”. Los investigadores inciden en que, en este caso, “se ocupó de la obtención ilícita de distintas credenciales de usuario para realizar los ciberataques”. En esa línea, el juez precisa que, tras concertarse con Alcasec, Kermit participó en la campaña de phishing (envío de mensajes que suplantan la identidad) contra los juzgados de Bilbao; y se ocupó de contratar el dominio (dirección web) a través del cual consiguieron las claves de los funcionarios de Justicia. Él también administró presuntamente la identidad digital Kermit, “utilizada para la compra de los datos de contribuyentes españoles” sustraídos.
El arresto de Baíllo, que usaba otros alias (como Flores y H4kim), se ha producido después de que Alcasec quedase en libertad en mayo. Entre otros motivos, por su colaboración con la justicia.
Un portátil desaparecido
El juez ha ordenado el ingreso en prisión de Kermit por varias razones. En primer lugar, considera que el riesgo de fuga es elevadísimo: “Dada su facilidad de inserción en el mercado laboral de cualquier país por su cualificación profesional en informática, así como por la propiedad de varios monederos [de criptomonedas] fríos que, a través de extracciones en cajeros automáticos, se convierte en dinero fiduciario”. Segundo, porque podría destruir pruebas: “Los indicios permiten afirmar que dispone de una sólida infraestructura cibernética con la que, de quedar en libertad, puede destruir de forma remota fuentes de prueba relacionadas con los hechos investigados.”
Y tercero, porque podría continuar con su actividad delictiva, en opinión del juez. En el registro de su casa, la Policía Nacional le intervino numerosa documentación, efectos y soportes técnicos, que ya han comenzado a analizar. Pero, sin embargo, los agentes no han encontrado un portátil que usa, además de tener acceso a “un proveedor ruso donde tiene contratados servidores virtuales que administra y utiliza para su actividad ilícita”, dice Calama.