España

Historia del hacker que amenazó al Estado: Alcasec, el niño prodigio que vive en la red

Este hacker español de tan solo 19 años ha logrado remover los cimientos digitales de las webs de potentes compañías o del propio Estado

El hacker Jose luis Huertas, mas conocido como Alcasec

El hacker Jose luis Huertas, mas conocido como Alcasec. C.V.

HBO, Glovo, Mediaset, Policía Nacional, Consejo General del Poder Judicial, Bicimad o Burger King han sido objetivos informáticos alcanzables demasiado fácil para José Luis Huertas. "Es un cerebro prodigio", dicen quienes le conocen más bien como 'Alcasec'. Este hacker español de tan solo 19 años ha logrado remover los cimientos digitales de las webs de potentes compañías o del propio Estado. Como nada de esto es legal, estuvo cinco meses en un centro de menores en Madrid y otro tanto en Andalucía cuando todavía era un adolescente y fue acusado de robar nóminas de funcionarios públicos y de entrar en el sistema de la DGT. El tema se ha ido tornando más serio y recién estrenada la mayoría de edad pasó unos meses en la cárcel por orden de la Audiencia Nacional. Ahora, en libertad pero con varias investigaciones aún abiertas, su entorno trata de reconducirlo para que "utilice bien" sus habilidades.

La Policía hizo una entrada y registro "de película" en su casa. Derribaron la puerta y abrieron las paredes por si había cables o conexiones ocultas, explican fuentes conocedoras de la investigación. Allí vivían su madre y su abuela, el núcleo que integra su familia. 'Alcasec', de raíces humildes, se ha criado sin la figura de un padre, explican distintas fuentes a este periódico. "Yo estaba durmiendo, tiraron la puerta abajo, entró un tío con una pistola en la habitación 'al suelo, al suelo', me cogió el brazo, me tiró al suelo, me puso las esposas, lo típico", explica él mismo en un vídeo colgado en Tik Tok. "Se le preguntó a la CIA y la CIA dijo que sí que les interesaba mi perfil", remarca.

Cuando salió del primer centro de menores en Madrid, comenzó un tratamiento psiquiátrico y empezó a trabajar en una empresa de ciberseguridad en la que estaban encantados con él. Era una "máquina", mejor que muchos de los trabajadores que estaban allí con másteres digitales de renombre, concretan las citadas fuentes. Parecía que estaba arrepentido y dio varias entrevistas con el rostro tapado con solo 16 años, en las que reconocía que había "causado perjuicio a varias empresas" por un valor que estimó en 400.000 euros. "Yo no era consciente de ello y a día de hoy me arrepiento. Yo me lo tomaba como un juego", revela en un canal de Youtube.

"A nosotros nos sube el ego regalar cuentas a la gente", reconocen 'Alcasec' y toda una capa de hackers veinteañeros que buscan el reconocimiento en su comunidad

'Alcasec' ni siquiera terminó la ESO y, según informes médicos que constan en sus investigaciones, "se caracteriza por una baja tolerancia a la frustración y baja autoestima que condicionan en gran manera la ejecución de proyectos a largo plazo". Fuentes cercanas a él lo achacan a algo más simple: le gusta demasiado el dinero. Sin embargo, el joven lo desmiente allá donde va, señalando que él podía haber sacado un beneficio económico mucho mayor de todas las empresas que burlaba y lo que hacía era regalar cosas a sus seguidores. "Era un pequeño Robin Hood", dicen. Todos los que le conocen sí coinciden en una cosa: el ego. "A nosotros nos sube el ego regalar cuentas a la gente", ha reconocido el propio 'Alcasec' en redes sociales. A él y a toda una capa de hackers veinteañeros que se conocen entre sí y buscan el reconocimiento en su comunidad.

Sólo así se explica que en medio de una investigación muy seria que afectaba a la médula del sistema judicial, el joven diera una entrevista para un podcast que también que tiene 237 mil suscriptores. "Alcasec tiene todos los datos de ti y lo sabes", se tituló el capítulo. Fue su sentencia. Con la cara cubierta de negro, explicó en Club 113 que había construido una base de datos que almacenaba información privada del 90% de los españoles. "Es un proyecto muy personal. Empezó con una tontería y al final es una monstruosidad lo que ha salido de ahí", admitió.

Gracias a eso, la Comisaría General de Información de la Policía Nacional pudo terminar de atar cabos. Y nuevamente detenido los agentes lo pusieron a disposición del juez José Luis Calama en la Audiencia Nacional porque ya no era menor y su último asalto en la red había ido demasiado lejos. Se hizo con los datos de Hacienda de medio millón de contribuyentes.

Gólgota, Jordan y Pousada

Su primera detención fue con 16 años. Cuando los españoles estaban confinados en casa en medio del Covid-19, El País titulaba "Detenido un hacker de 16 años que pirateó la ficha médica de Santiago Abascal". También aquí el amor propio del joven lo delató. Publicó en sus redes sociales la información personal del líder de Vox. La operación se llamó Gólgota, en referencia al monte del calvario por los apuros que el ciberdelincuente hizo pasar a las empresas que también había hackeado.

Varias de las compañías que le denunciaron por 'hackearlas' se ofrecieron retirar la acusación si 'Alcasec' trabajaba para ellos

En Mediaset entró y se hizo con las tarjetas de altos cargos para comprar ropa; en HBO logró crear unas 141.000 cuentas que repartió a sus amigos; en EMT hackeó las pantallas para que fuera visible su nombre en las calles de la capital ('hacked by Alcasec', se leyó) y en Burger King ofreció menús gratis a sus seguidores en redes sociales... Todas las compañías se personaron como acusación popular en el procedimiento. Varias ofrecieron retirar la acusación si 'Alcasec' trabajaba para ellos, indican fuentes jurídicas. Así, de hecho, fue como empezó. Encontró un fallo en una red social en pleno auge y el director lo llamó. "Me dijo, todo de buen rollo, 'ey, tío, ven a la oficina y nos explicas el fallo'. Empecé a colaborar con ellos una semana y me sirvió muchísimo. Aprendí a trabajar en equipo", ha reconocido en entrevistas.

Pero sin tener muy claro el límite entre la diversión y el delito, el joven no parecía tener límites. Llegó entonces la 'Operación Jordan' en la que detuvieron a media docena de hackers de su edad. "Del Top de España", reivindicaron.

Allí, sus colegas lo delataron y contaron que Alcasec había hackeado los servidores de Glovo para recibir todos los viernes transferencias de 2.000 euros en concepto de nómina en una cuenta fraudulenta. Confesaron también que él había sido quien había logrado entrar en la red corporativa de la Policía Local de Granada para posteriormente pivotar hacia la conexión de Policial Nacional y hacer consultas masivas hacia sus bases de datos. El juzgado de instrucción número 2 de Granada abrió una pieza separada por el hackeo de la DGT. 'Alcasec' expidió carnés de conducir a muchos de sus amigos. Incluido a Francisco Nicolás Gómez Iglesias, conocido como el 'Pequeño Nicolás', relatan varias fuentes.

Autodidacta

"Con tres años manejaba un ordenador", dicen personas cercanas. "Todo lo ha conseguido siendo autodidacta". El problema, esgrimen, es que "la vida digital si no la compatibiliza con la analógica tiene grandes deficiencias". Fuentes de su entorno describen su vida como absolutamente virtual: "Él se enfrenta a una barrera de ceros y unos y lo sabe todo, pero de la vida real...". El juzgado le incautó en Bitcoins el equivalente a 70.500 euros.

El conocido juez de menores Emilio Calatayud lo envió a un centro de menores en Almería a pesar de que su residencia y su familia estaban en Madrid, algo que él no perdona. La Audiencia Provincial lo revocó y salió en libertad vigilada nuevamente. No le duraría mucho tiempo. La siguiente operación ya llevaría su nombre.

Pousada, elegida así por su pasión por los hoteles (en portugués) y los lujos, fue la operación de la Policía en la que ya fue denominaado un riesgo "para la seguridad del Estado". El propio Centro Nacional de Inteligencia (CNI) a través del Centro Criptológico Nacional (CCN) se ha implicado en el caso. El joven hackeó el Punto Neutro Judicial, un sistema que conecta los juzgados con el resto de organismos del Estado. Se hizo con las claves de varios funcionarios y en octubre de 2022 accedió a las bases de datos de la Agencia Estatal de la Administración Tributaria. Los datos los alojó en servidores de Lituania y los vendió. La investigación se centra ahora en localizar a los compradores.

El joven reconoció ante el juez haber creado UDYAT, un servidor de consultas bajo demanda, una suerte de base de datos monstruosa con información personal de millones de españoles. El juez puso en valor que hubiera confesado los hechos y que ayudara al decomiso de sus monedas virtuales. Lo puso en libertad el pasado mes, en contra del criterio de algunos de los investigadores.

Te puede interesar