El hacker, en una entrevista con el podcast Club 113.

El hacker, en una entrevista con el podcast Club 113. Canal de Youtube de Club 113

España

La Policía detiene al cómplice de Alcasec, el mayor hacker de España, por el ciberataque al CGPJ

Daniel Baíllo Escarabajal, alias Kermit era el principal colaborador del autor del ciberataque al Punto Neutro Judicial el pasado 2022.

1 junio, 2023 15:22

Daniel Baíllo Escarabajal, 29 años, era el principal cómplice de José Luis Huertas, alias Alcasec, un joven que se había convertido a su corta edad en el mayor hacker de España. Alcasec fue detenido el pasado mes de marzo. Su lugarteniente creía hallarse a salvo de la mirada de los investigadores, hasta que este martes era arrestado en el marco de una operación de la Comisaría General de Información (CGI) de la Policía Nacional. 

En el marco de la Operación Pousada, los efectivos policiales han detenido a este joven en Cartagena (Murcia), por su presunta participación en un delito contra altas instituciones del Estado, descubrimiento, revelación de secretos (acceso ilegítimo a bases de datos) y blanqueo de capitales de manera continuada.

Junto al joven Alcasec, había conseguido robar los datos de 575.186 personas, habían creado El ojo de Horus, una base de datos con centenares de miles de archivos con información privada lista para su venta.

El arrestado fue escalando privilegios y vulnerando distintas credenciales personales y privadas. Así consiguió acceder a bases de datos confidenciales y restringidas de diferentes instituciones públicas atacando gravemente a una alta institución del Estado, el Consejo General del Poder Judicial (CGPJ).

La investigación policial ha sido coordinada por la Fiscalía de la Audiencia Nacional y dirigida por el Juzgado Central de Instrucción nº4, cuyo titular es el juez José Luis Calama. La operación se ha desarrollado en coordinación con la Brigada Provincial de Información de Murcia de la Policía Nacional y ha contado con la colaboración del Centro Criptológico Nacional (CCN-CERT), dependiente del Centro Nacional de Inteligencia (CNI).

La investigación, según el juez, ha permitido acreditar la venta de datos exfiltrados de la red de servicios del PNJ y, probablemente, la posterior utilización de estos para la comisión de una pluralidad de delitos derivados que incluyen estafas bancarias en diferentes modalidades y descubrimiento y revelación de secretos, entre otros.

En el caso concreto del detenido, Daniel Baíllo Escarabajal, el juez señala que es la persona que administra la identidad Kermit, usada para comprar datos de contribuyentes españoles en la plataforma uSms ofertados tras el ataque y posterior exfiltración de información de la red de servicios del PNJ.

Igualmente, queda acreditado que fue uno de los usuarios de los servicios UDYAT, con nivel de administrador. Así, continúa el juez, aparece indiciariamente acreditado que fue la persona que contrató el dominio “cgpj-pnj.com” a través del cual se obtuvieron las credenciales de acceso a los sistemas informáticos de Justicia y más tarde al PNJ.

También se deduce la connivencia entre José Luis Huertas Rubio y Daniel Baíllo en la obtención ilegítima de datos de carácter personal de distintas bases de datos, así como su colaboración en el acceso de la red de servicios del PNJ a través de la red Sara.

El instructor también indica que el teléfono intervenido a José Luis Huertas en el momento de su detención han sido localizadas una serie de conversaciones a través de mensajería instantánea con otro usuario cuya identidad real es la de Daniel Baíllo y que ponen de manifestó que ha existido una connivencia delictiva entre los dos, "tanto para la comisión del ataque a la red de servicios del PNJ, como para ejecutar otros ataques informáticos contra sistemas de información de entes públicos y privados".

Entre esas ciberamenazas y ataques virtuales que ambos perpetraban se encuentran "el acceso ilegítimo a la Red Sara utilizando credenciales ilícitas, a los correos de doble factor de autenticación que permiten iniciar sesión en el PNJ o a la aplicación OWA utilizada por el Ministerio de Justicia como gestor de correo electrónico".

El juez detalla en su resolución que los indicios racionales de criminalidad apuntados permiten afirmar de forma contundente la participación de Daniel Baíllo Escarabajal en la campaña de phishing a través de la URL http://busprod.cgpj-pnj.com dirigido contra los Juzgados de Bilbao en el mes de octubre de 2022, fue ejecutada por el detenido.

Operación Pousada

La investigación comenzó el pasado noviembre cuando los agentes tuvieron conocimiento de varios ciberataques a los sistemas informáticos de distintas instituciones públicas como el Consejo General del Poder Judicial (CGPJ) y la Agencia Estatal de Administración Tributaria, entre otras.

Los especialistas en la lucha contra las ciberamenazas de la Comisaría General de Información identificaron a una de las personas responsable de esas intrusiones. Era Alcasec, un joven con amplia trayectoria en el mundo de la ciberdelincuencia.

['Alcasec' a prisión, la caída del mayor hacker español: una fortuna de la nada y héroe entre los jóvenes]

A Alcasec lo detuvieron el pasado 31 de marzo en Madrid. Éste había desarrollado una plataforma “Ojo de Horus”, donde acumulaba los datos personales obtenidos ilícitamente a través de dichas intrusiones y que se presentaba como un servicio de consultas y venta de información a terceros.

La gráfica de las administraciones que ya se protegen con el Sistema de Alerta Temprana.

La gráfica de las administraciones que ya se protegen con el Sistema de Alerta Temprana.

Su nivel de vida era tal que conducía un Mercedes por las calles de Madrid. Accedía a reservados VIP en los mejores locales de moda. Sus viajes, al igual que su ropa de Balenciaga y otras lujosas marcas, resultaban de lo más prohibitivo. Poseía una fortuna en bitcoins, cuentan fuentes conocedoras de los hechos.

Alcasec acumulaba entre sus antecedentes toda clase de sofisticados ataques informáticos a diversas instituciones del Estado. Se infiltró en la Policía Nacional, también en las bases de datos sanitarias de la Comunidad de Madrid, en Telecinco, e incluso en la cadena HBO. Hasta ahora había sido detenido en cuatro ocasiones. En la quinta, se decretaba su ingreso en prisión provisional.

Encriptador

La investigación posterior a la detención del gran capo de los piratas informáticos reveló que había un segundo individuo implicado en el ataque a los sistemas del CGPJ a través del Punto Neutro Judicial. El ahora detenido se habría ocupado de la obtención ilícita de distintas credenciales de usuario para realizar los ciberataques y existía una connivencia entre ambos para determinar sus objetivos entre administraciones públicas y empresas españolas.

Este segundo autor, de 29 años, contaba con diversos antecedentes policiales vinculados a la ciberdelincuencia. Era experto en anonimización, medidas de seguridad operacionales, encriptación de comunicaciones y multidentidad.

Además participaba en foros de cibercrimen muy selectos y cerrados donde tenía una alta reputación. Esta especialización y experiencia dificultaba la atribución de los ataques y multiplicaba el riesgo en la exposición de los datos vulnerados, representando un grave riesgo para la Seguridad Nacional.

Durante la detención se ha llevado a cabo el registro del domicilio del detenido donde se ha intervenido numerosa documentación, efectos y soportes técnicos que están siendo analizados por los investigadores. Este jueves, se ha puesto al detenido a disposición del juez Calama, el cual ha decretado su ingreso en prisión.