El juez propone juzgar a los autores del robo de datos de 500.000 contribuyentes en un ciberataque al Poder Judicial

El juez de la Audiencia Nacional José Luis Calama ha propuesto juzgar a tres personas por el ciberataque cometido en octubre del año pasado al Punto Neutro Judicial (PNJ), la red de telecomunicaciones que conecta los órganos judiciales con otras instituciones del Estado y que se gestiona desde el Consejo General del Poder Judicial (CGPJ). El magistrado tipifica los hechos como un delito continuado de revelación de secretos (artículo 197.2, 3 y 6 del Código Penal) que consistió en el acceso a datos, mediante la utilización de las claves de dos funcionarios de Justicia obtenidas de forma ilícita, de más de medio millón de contribuyentes. La información fue extraída y posteriormente vendida. La Audiencia, además, atribuye a dos de los acusados un delito de acceso ilegal a sistemas informáticos (artículo 197 bis 1º) mientras que sobre el tercero se ha abierto una pieza separada por delito de estafa con el objetivo de investigar las denuncias de contribuyentes afectados.

El PNJ sufrió un ciberataque en dos actos los días 18 y 20 de octubre de 2022. En ambos, según recoge el auto dictado por el juez Calama para dar por cerrada la instrucción, se utilizaron las claves de dos funcionarios de dos juzgados de lo Penal de Bilbao, obtenidas de forma ilícita, para acceder a la base de datos de “cuentas ampliadas” de la Agencia Tributaria (AEAT). El primer día lograron extraer los datos bancarios de 438.000 contribuyentes, y el segundo se hicieron con los de 137.186 ciudadanos. Para la campaña de phishing dirigida a funcionarios de la Administración de Justicia que posibilitó la obtención ilícita de credenciales que fueron utilizadas en el ataque, se utilizó un dominio malicioso (cgpj-pnj.com), registrado a través de una empresa, Eranet International Limited, con sede en Hong Kong (China). Todo el material robado se transfirió a dos servidores alojados en Lituania y después, según describe el juez Calama, se vendieron a terceros a través de la plataforma uSms con pagos en criptomonedas.

La investigación, desarrollada durante varios meses bajo secreto de sumario, ha llevado a detener a tres personas, que son las que la Audiencia propone ahora sentar en el banquillo. Dos de ellos, José Luis Huertas, Alcasec, y Daniel Baíllo, Kermit, son quienes supuestamente obtuvieron información sobre el PNJ y su funcionamiento, y elaboraron plantillas simulando su página web, con las que lograron suplantar esta plataforma. Además, pusieron en marcha campañas de phishing mediante las que obtuvieron de forma ilícita credenciales para acceder al PNJ.

Huertas, de 19 años, fue detenido en marzo pasado en Madrid y quedó en libertad en mayo tras colaborar con la justicia al confesar los hechos. Calama considera que es él quien “difunde, revela y cede a terceros” los datos extraídos a través del ciberataque, “combinándolos con otros obtenidos ilícitamente procedentes de otras Administraciones Públicas y entes privados”. Estos hechos, señala el juez, son realizados con una finalidad lucrativa, que le ha generado, “al menos”, 1.866.175,73 euros.

Baíllo, de 29 años, fue arrestado en Cartagena (Murcia). Fue él quien supuestamente contrató el dominio cgpj-pnj.com utilizado para llevar a cabo la campaña de phishing a través de la cual se obtuvieron las claves ilícitas de acceso a los sistemas informáticos de los funcionarios de dos juzgados de Bilbao. Actúa bajo el seudónimo Theskull77 en los dos principales foros de cibercrimen rusos a nivel mundial, exploit.in y xss.is, especializados en la venta de accesos a redes de entidades bancarias o en la venta de credenciales, donde Baíllo, supuestamente, vendía accesos a sistemas de información de empresas españolas.

En la declaración que hizo José Luis Huertas ante el juez el pasado 3 de abril, explicó que la idea de atacar el PNJ surge cuando él y su compañero (refiriéndose a la identidad del usuario Theskull) descubren que, estando dentro del sistema de la Policía, tienen conexión con el PNJ. Según su testimonio, Theskull le facilitó el certificado digital de una funcionaria de la Dirección General de Tráfico, y, usando esta credencial, lograron acceder al entorno web de la Policía y al PNJ. Posteriormente, crearon una web falsa denominada “cgpj-pnj.com”, con la que lograron obtener más credenciales, y realizar la extracción de datos de cuentas ampliadas de la AEAT.

Al tercero de los detenidos, Juan Carlos Ortega, se le atribuye la compra del material que extrajeron en el ciberataque. Supuestamente, adquirió 30 paquetes de datos entre las 19.04 del 20 de octubre de 2022 y las 16.46 del día siguiente, con una ingente cantidad de información de carácter personal y bancaria de contribuyentes españoles. Según el auto del juez, este encausado venía adquiriendo de manera ilícita información de ciudadanos españoles en el servicio uSms utilizando la identidad digital lonastrump, al menos desde septiembre de 2021.

Criptomonedas

A través de dos identidades digitales en la aplicación de mensajería Telegram, administró y coordinó una red de 188 contactos dedicados a actividades de ciberdelincuencia, con los que se asoció para actuar de forma ilícita. Calama destaca que, a pesar de no contar con medios conocidos de vida, en el año 2022 dispuso de criptomonedas por un importe igual o superior a 1.237.637 euros a través de ocho monederos de bitcoin; durante los años 2022 y 2023 habría adquirido diferentes bienes muebles e inmuebles con valor superior a los 500.000 euros, y en su domicilio fueron intervenidas joyas y relojes de media y alta gama, y 2.750 euros en efectivo.

En el registro de su domicilio, en Dos Hermanas (Sevilla), fueron intervenidas también armas y municiones, entre ellas una escopeta de cañones superpuestos; un subfusil calibre 9 mm parabellum con dos cargadores; una pistola marca STAR, calibre 22″, con un cargador; 26 cartuchos de munición calibre 22″; y 11 cartuchos de munición calibre 7,65″. La Audiencia Nacional se ha inhibido a favor de los juzgados de Dos Hermanas por si los hechos fueran constitutivos de delitos de tenencia ilícita de armas y un delito de depósito de armas de guerra y municiones.