Más que una condena aislada, el caso Alcasec revela un modelo de cibercrimen que encadena la suplantación de funcionarios, el acceso al Punto Neutro Judicial y la venta masiva de datos bancarios de ciudadanos españoles. José Luis Huertas, alias Alcasec, ha aceptado 2 años y 7 meses de prisión tras un acuerdo con la Fiscalía de la Audiencia Nacional por acceder a 438.000 registros bancarios de la Agencia Tributaria.
Claves de la operación
- La condena pactada incluye la atenuante de confesión. La Fiscalía rebaja la pena inicial de tres años a dos años y siete meses a cambio del reconocimiento de los hechos y de claves y contraseñas. Dos colaboradores también aceptan penas menores.
- El ataque combinó certificado digital robado y suplantación. Un certificado emitido para la DGT y una página falsa que imitaba el Punto Neutro Judicial permitieron capturar credenciales de funcionarios reales.
- Se realizaron 438.099 peticiones masivas al servicio de cuentas bancarias ampliadas. La información se preparó para su venta en un portal gestionado por el grupo, según la acusación.
La conformidad llegó este miércoles en la Audiencia Nacional. Alcasec y otros dos acusados —Daniel B.E. y Juan Carlos O.G.— aceptaron las penas que les proponía el ministerio público por los delitos de acceso ilegal a sistemas informáticos y descubrimiento y revelación de secretos. Para Huertas, la condena se queda en dos años y siete meses, lejos de los tres que se pedían inicialmente, gracias a la atenuante de confesión. A cambio, los procesados entregaron las claves y contraseñas de los equipos que utilizaron y admitieron el comiso de dinero físico y virtual intervenido en los registros de Madrid, Cartagena y Dos Hermanas.
El acuerdo da por cerrada esta pieza, pero no la trayectoria judicial del principal encausado. Alcasec ya llevaba un año en prisión provisional por otra causa distinta, relacionada con una red de ciberataques que, según los investigadores, lideraba y que se apoderó de datos sensibles de millones de ciudadanos. En aquella operación fue detenido junto al exsecretario de Estado de Seguridad Francisco Martínez, actualmente juzgado por la operación Kitchen.
El engranaje de la intrusión: de un certificado robado a 438.000 consultas
La acusación pública detalla un esquema que arrancó el 19 de octubre de 2021, cuando Huertas contrató dos sistemas de almacenamiento masivo en Cherry Servers, un proveedor lituano, y empleó una cuenta de correo creada siendo menor de edad para ocultar su identidad. Poco después, Daniel B.E., vinculado a foros rusos especializados en la venta de contraseñas, le facilitó un certificado digital robado emitido para la Dirección General de Tráfico.
Con ese certificado, Alcasec navegó por la red SARA y llegó a la web del Punto Neutro Judicial del Consejo General del Poder Judicial. Allí obtuvo las credenciales de un funcionario de un juzgado de Bilbao. El siguiente paso no fue técnico, sino de ingeniería social: los dos acusados crearon una página que imitaba la de acceso al Punto Neutro y enviaron un mensaje a varios juzgados para que los funcionarios introdujeran sus claves. Dos de ellos cayeron en la trampa.
Con esas credenciales adicionales, Huertas ejecutó 438.099 peticiones al servicio de cuentas bancarias ampliadas de la Agencia Tributaria. No se trató de un golpe puntual, sino de una descarga industrial de información sensible que luego se canalizaba hacia un portal de venta. La mecánica expone cómo una combinación de certificado robado, conocimiento de la arquitectura administrativa y correo fraudulento bastó para abrir una puerta que debía estar blindada.
La condena que no cierra el caso: Alcasec ya cumple prisión provisional por otra causa
El acuerdo de conformidad deja un reguero de aristas que van más allá de la sentencia. La rebaja de la pena a dos años y siete meses es inferior a la que se impondría sin colaboración, pero la gravedad intrínseca de los hechos —438.000 consultas bancarias— no se refleja del todo en el horizonte penitenciario. La Fiscalía ha valorado la entrega de claves y la admisión de los hechos, pero la pena queda por debajo de los cinco años, el umbral que suele marcar el ingreso efectivo en centro penitenciario.
Además, a Alcasec le queda en el debe la causa que lo mantenía en prisión provisional desde hace un año. Aquella investigación apunta a una red de ciberataques de mayor escala y con ramificaciones políticas, y su resolución podría ampliar de forma sustancial el tiempo de reclusión. Mientras tanto, la condena de esta semana pone un primer punto y seguido, pero no despeja las dudas sobre la fragilidad de los sistemas que se explotaron.
Lo que el ‘caso Alcasec’ dice sobre la ciberseguridad de la administración española
La fotografía final que deja este episodio es la de un cibercrimen que ha mutado de los ataques de fuerza bruta a la suplantación metódica. Ya no es necesario reventar una contraseña: basta con encontrar un certificado extraviado, simular una web institucional y esperar a que alguien teclee sus datos. En este caso, el eslabón débil fue humano, pero la cadena que lo hizo posible incluye la red SARA, el Punto Neutro Judicial y la propia Agencia Tributaria.
España acumula episodios sonados de ciberincidentes contra infraestructuras públicas. El ataque de ransomware al SEPE en marzo de 2021 paralizó la tramitación de prestaciones, y los robos de datos de hospitales o ayuntamientos se suceden con inquietante frecuencia. Lo distinto del asalto de Alcasec es que no buscó bloquear un servicio, sino sustraer silenciosamente información para comerciarla. Y lo hizo a través de un sistema, el Punto Neutro Judicial, diseñado para interoperar con datos sensibles sin que nadie sospechara.
El caso Alcasec no es una brecha de seguridad: es la demostración de que en la administración hay puertas que se abren con un certificado y un mensaje bien redactado.
Desde el sector de la ciberseguridad, este episodio actúa como un espejo incómodo. Mientras las grandes empresas se centran en blindar sus perímetros, la administración sigue atada a sistemas heredados y a certificados cuya custodia no siempre está auditada. La Agencia Tributaria ha reforzado en los últimos años los mecanismos de acceso a sus servicios, pero el historial de incidentes recuerda que la información bancaria de los ciudadanos sigue siendo un objetivo apetecible.
El reto ahora no es solo juzgar a los responsables, sino repensar la arquitectura de acceso a los grandes repositorios públicos. La sentencia cierra un capítulo penal, pero el mensaje que envía al mercado de la información ilícita es que la recompensa aún supera el riesgo. Con 438.000 registros en la mano de un grupo organizado, la pregunta no es si volverá a ocurrir, sino cuándo dará el siguiente golpe alguien que ya haya aprendido de este.
