Nil, el menor que hackeó a los Mossos, robó datos de 7.000 personas de Hacienda: “I’m the boss”

Los Mossos d’Esquadra llamaron a la puerta de Nil M. apenas un mes después de que hubiera difundido los datos personales de (pensaban entonces) 150 compañeros. No sabían que el autor del ataque informático, el pirata Prapra123, era un menor de edad ni que se lo pondría tan en bandeja durante el registro: el chaval, de 17 años, tenía encendido el portátil en la habitación, estaba navegando por la página Breachforums —una de las que usó para filtrar los nombres completos y teléfonos de los agentes y ofrecerlos a cambio de dinero― y tenía conectado un disco duro con archivos sobre otros presuntos ataques: “Correos”, “TV3-ftp”, “Interpol”.

Nil se mostró colaborador durante su detención, el 19 de marzo de 2024. Fue conducido ante la Fiscalía de menores, que pidió su internamiento, y después ante el juez, que lo dejó en libertad vigilada investigado por un delito continuado de descubrimiento y revelación de secretos. Se acogió a su derecho a no declarar, pero su abogado se esforzó en presentarlo como un chico que nunca antes había tenido problemas con la justicia y que, en la soledad de su habitación y utilizando la wifi doméstica que pagaban sus padres, no supo prever “las consecuencias de sus actos”. Estudiante de un grado medio de informática, su objetivo es en realidad “dedicarse a la ciberseguridad”, como muchos otros que también empezaron sus carreras en el lado oscuro.

El sumario, al que ha accedido EL PAÍS, detalla las actividades de un pirata informático que atacó más de 60 organismos, instituciones y empresas de 12 países, sobre todo España y Argentina. Pero el robo de datos que condujo hasta el domicilio de su familia, en Barcelona, fue el que perpetró contra los Mossos. Prapra123 accedió a dos cuentas de correo corporativas (una de coordinación del área penitenciaria de la policía catalana y otra de la unidad de investigación de Figueres) que tenían una contraseña débil, vulnerable. El vaciado de esos correos le sirvió para extraer y publicar datos de un total de 565 policías, según los informes que obran en la causa judicial.

El menor empleó las credenciales violentadas “para acceder y publicar datos bancarios de personas, o incluso ponerlos a la venta”. Como muchos otros piratas, nunca se escondió, sino que reivindicó sus ataques a través de la página web, pero también de su perfil de la red Telegram, donde se enfadaba con otros usuarios cuando compartían los datos, pero no citaban su trabajo.

Los ficheros hallados por la policía en los dispositivos informáticos lo sitúan como autor de más de 60 ataques con más o menos éxito, muchos de ellos desarrollados durante el mes de febrero de 2024. Nil accedió a un fichero FTP de TV3, la televisión pública catalana, donde se comparten promociones y previas de algunos programas. Robó y difundió datos de instituciones tan dispares como la escuela Virolai, un despacho de arquitectos, Correos o el Colegio Profesional de Podólogos de Asturias. Y tuvo una especial fijación por Argentina: atacó el Colegio de Abogados de Buenos Aires, la Interpol de ese país y diversas compañías de seguros. Los mossos hallaron también carpetas sobre el CNI y el Consejo General del Poder Judicial con credenciales (usuario y password) para acceder a esos organismos, aunque no consta que hubiese publicado ningún dato.

Ataque a la aplicación ‘Café'

El mayor asalto de Prapra123, más exitoso incluso que el de los Mossos, fue el que perpetró contra el Ministerio de Hacienda el 9 de febrero. El menor obtuvo el usuario y la contraseña de Luis R., coordinador del servicio de seguridad del ministerio, para acceder a la aplicación Café, que registra los accesos físicos de las personas a edificios públicos. En particular, a la sede de la Intervención General de la Administración del Estado (IGAE) en Madrid. Nil tuvo tiempo hasta de divertirse: dio de baja varias tarjetas de visita en los logs —archivos de registro—, el historial de búsquedas, de la aplicación y creó una nueva con un nombre reivindicativo: I’m the boss [”Soy el jefe”, en inglés].

El responsable de informática de la IGAE se presentó días después en la sede de la unidad de ciberdelincuencia del Cuerpo Nacional de Policía. Denunció que, en un foro de internet, se estaba anunciando el robo de datos de Hacienda y se habían publicado enlaces a “pruebas de vida”. Los técnicos de Hacienda, según consta en el sumario, concluyen que, solo con los datos de acceso del día 9 de febrero, el hacker había logrado obtener y “publicar datos personales de más de 7.000 personas”, lo que supuso “un grave perjuicio” para el organismo.

La Fiscalía ha hecho ofrecimiento de acciones judiciales a los perjudicados, en especial a los agentes de los Mossos. El sindicato USPAC, que representa en la causa a 140 afiliados, pide “depurar responsabilidades” a la Generalitat y una indemnización para los afectados por “la negligencia en el tratamiento de sus datos personales” ante el “ataque de un adolescente”. Preocupado por “saber quién tiene los datos de los agentes”, el sindicato también ha solicitado a la jefatura que cambie el número de tarjeta de identificación personal (TIP) a los agentes, algo que en principio esta ya había ofrecido a los perjudicados, entre otras medidas de autoprotección. USPAC, representado por el abogado José Antonio Bitos, lamenta que el Departamento de Interior “no solo no ha informado ni asesorado a los mossos”, sino que “les aconseja que no se personen ni reclamen contra la Generalitat”.

No es la primera vez que los Mossos sufren un ataque informático. El de más envergadura ocurrió hace ocho años, cuando unos piratas accedieron a los servidores del sindicato policial SME y difundieron la identidad de 5.400 mossos. La acción, bajo el pseudónimo del hacker Phineas Fisher, se llevó a cabo supuestamente para denunciar casos de mala praxis policial.

Puedes seguir a EL PAÍS Catalunya en Facebook y X, o apuntarte aquí para recibir nuestra newsletter semanal