La Comisaría General de Información de la Policía Nacional consideró a José Luis Huertas, de 19 años, una "amenaza muy grave para la Seguridad Nacional". El porqué se ha ido desgranando a lo largo de dos investigaciones: una que se sigue en la Audiencia Nacional y que ya enfila la fase de juicio y otra que se mantiene abierta en un Juzgado de Granada. Ambas están vinculadas y para entender cómo procedía este hacker, acusado del ciberataque a las plataformas del Consejo General del Poder Judicial (CGPJ), hay que leer sendas causas como un puzle. Los agentes encontraron en posesión de este joven tarjetas de crédito en las que había grabado el nombre del CNI. Ahora, fuentes de su entorno aseguran que está recomponiendo su vida y centrado en su nuevo trabajo.

El 31 de marzo de este año la Policía registró la casa en la que el joven vive con su madre en Madrid. No era la primera vez que entraban, cuando era menor de edad los agentes habían hecho una entrada "de película" en la que habían abierto hasta las paredes de la vivienda. "La magnitud de los ciberataques realizados y la ingente cantidad de datos personales sensibles que manejaba", señala el sumario, fue el motivo para esta nueva detención. Declaró dos veces en abril ante el titular del Juzgado número 4 de la Audiencia Nacional José Luis Calama. La segunda fue para colaborar y facilitarle todas las claves de acceso a sus móviles, ordenadores y wallets (monederos virtuales).

"¿Consientes que podamos vender los Bitcoin en Orga [una plataforma del Ministerio de Justicia] y transformarlos en euros?", le requirió el togado el 26 de abril. 'Alcasec' consintió y, tal y como avanzó este periódico, se le intervino casi un millón de euros en moneda virtual. Menos de un mes después, el instructor acordó su libertad provisional. Ahora, Calama le ha permitido recuperar su mesa de mezclas porque su defensa ha alegado que es material de trabajo y que fue un regalo.

Imagen de las tarjetas de créditos incautadas en casa de 'Alcasec'
Imagen de las tarjetas de créditos incautadas en casa de 'Alcasec'

En el registro fueron requisadas tarjetas Revolut, un barco virtual que permite hacer transacciones internacionales sin coste alguno y que el joven personalizó con las letras del "CNI". Fuentes de la investigación señalan que esto se puede realizar a través de un pedido ordinario por Internet y desvinculan totalmente cualquier relación del arrestado con el Centro de los espías españoles.

Para relacionarse con Daniel Baíllo, otro de los imputados en la causa de la Audiencia Nacional que todavía sigue en prisión preventiva, utilizaba la aplicación Gajim y Telegram. La investigación los sitúa a ambos como los cerebros que a través de unas credenciales previas de la Dirección General de Tráfico, que les permitieron acceder al sistema interno de la Policía, descubrieron cómo funcionaba la administración por dentro y el mecanismo del Punto Neutro Judicial. Este sistema es el enlace entre los juzgados y todo tipo de entidades públicas como Hacienda. Hicieron una web falsa, que contrataron a través de un servicio ruso que a su vez alojaba el dominio en China, y lograron que dos funcionarios de Justicia aleatorios (en este caso en Bilbao) picaran en su trampa.

'Alcasec' usó motes de todo tipo. En este caso fue con "mango" con el que abrió la base de datos 'DB 12 Fucking Crazy Bank' donde puso a la venta la información de más de miedo millón de contribuyentes. Los agentes lo saben porque sólo unas horas después de haber perpetrado el último ciberataque (el 20 de octubre) al Punto Neutro Judicial, Huertas anunció en Telegram la apertura de dicha base de datos.

En su ordenador encontraron un informe de sus antecedentes, una autorización temporal para conducir (en la causa de Granada se investiga el hackeo a la DGT para conseguir carnés falsos), así como una copia de un oficio policial en el cual se le identifica como autor de un fraude.

Imagen de las tarjetas de créditos incautadas en casa de 'Alcasec'
Imagen de las tarjetas de créditos incautadas en casa de 'Alcasec'

Baíllo vinculado a Rusia

Baíllo se desvincula de todo lo que sucedió con los datos que consiguieron robar del CGPJ. La Policía halló su identidad ('Kermit') tras la compra de 131 registros dentro de la web donde estaba la información de los contribuyentes pero él en su declaración, a la que ha tenido acceso El Independiente, dijo que los compró porque 'Alcasec' no le dijo cuál eran los datos sustraídos y sólo pagando podía verlos.

"Me instalan de nuevo mi RDP con GP envidia Rte X 30, 70 procesador Zion de 32 núcleos y 128 GB de RAM, el martes máximo están todas las piezas montadas ahora si vamos a trabajar bien, y he pedido el RDP para nosotros normalito, qué sistema operativo prefieres? Me han pasado los Home y es 12 accesos de hacienda de enero febrero, voy a probarlos a ver si alguno nos vale (sic)”, se lee en uno de los mensajes de Baíllo a 'Alcasec'.

Un informe pericial de los dispositivos electrónicos encontrados en casa de este murciano de 29 años constata que "mantiene un perfil activo en los principales foros de ciberdelincuencia ruso a nivel mundial desde el año 2021, estando su actividad especializada en la venta de acceso a redes corporativas de España". El papel de Baíllo consistía, según los investigadores, en dar "inmediatez temporal en el registro de dominios maliciosos".

Su usuario 'Theskull77' goza de "especial reputación en los principales foros de cibercrimen" como Exploit.in y Xss.is que se especializan en la compra de datos personales.