José Luis Huertas se presenta en la Audiencia Nacional acusado de vulnerar el Punto Neutro Judicial en 2022. La Fiscalía ha aplicado una atenuante debido a su cooperación y la devolución de más de 860.000 euros provenientes de sus ganancias ilícitas.
MADRID. El hacker conocido como José Luis Huertas, apodado ‘Alcasec’, afronta desde este miércoles su primer juicio relevante. La Audiencia Nacional ha comenzado el proceso contra este joven ciberdelincuente, para quien la Fiscalía reclama una condena de tres años de prisión por el ataque cibernético ocurrido en octubre de 2022 en el Punto Neutro Judicial (PNJ) del Consejo General del Poder Judicial (CGPJ). Este ataque masivo permitió la obtención de datos bancarios de más de medio millón de contribuyentes españoles.
Alcasec, que se encuentra en prisión provisional por otra causa relacionada con una red criminal dedicada a ciberataques a gran escala, llega a este juicio con un historial delictivo complejo. En esa otra causa también fue detenido junto con el exsecretario de Estado de Seguridad Francisco Martínez, quien también enfrenta cargos en la Audiencia Nacional por la llamada ‘operación Kitchen’.
Una compleja red de identidades falsas y phishing
El Ministerio Fiscal explica en su acusación la elaborada estrategia técnico-social empleada por los acusados. Los hechos se remontan a octubre de 2021, cuando Alcasec utilizó una cuenta de correo electrónico creada en su minoría de edad para contratar dos sistemas de almacenamiento masivo en Lituania.
Con intención de obtener un beneficio ilícito, Huertas recibió de otro hacker implicado, Daniel Baíllo, las contraseñas de un certificado digital sustraído de la Dirección General de Tráfico (DGT). Gracias a estas credenciales, Alcasec realizó hasta 876 accesos al portal de la Policía Nacional a través de la red institucional SARA, hasta descifrar las claves de un funcionario judicial de Bilbao.
Para ampliar el alcance del robo, Huertas y Baíllo desarrollaron una página web falsa que imitaba el Punto Neutro Judicial. Alcasec distribuyó masivamente un enlace que redirigía a distintos juzgados españoles a dicho portal fraudulento, capturando así nuevas contraseñas. Con estos accesos, el hacker efectuó 438.099 solicitudes de información al servicio de «cuentas bancarias ampliadas» de la Agencia Tributaria antes de que el CGPJ detectase la intrusión, bloqueara a los usuarios comprometidos y alertara a la Audiencia Nacional.
Atenuante por confesión y entrega del botín
Pese a la gravedad del ataque, la fiscal ha decidido aplicar a José Luis Huertas una atenuante por confesión tardía en delitos continuados de acceso ilegal a sistemas informáticos y de descubrimiento y revelación de secretos.
Esta reducción en la solicitud de pena se fundamenta en la decisión previa del juez instructor José Luis Calama —quien también instruye la imputación del expresidente José Luis Rodríguez Zapatero en el caso Plus Ultra— de concederle la libertad provisional por su juventud (19 años entonces) y su compromiso de colaboración. Este acuerdo se concretó con la devolución voluntaria por parte de Alcasec de 863.000 euros, producto de la venta de los datos sustraídos.
Tres acusados en el proceso judicial
Además de Alcasec, se sientan en el banquillo otros dos implicados en esta trama informática:
- Daniel Baíllo: Considerado cooperador necesario por el Ministerio Público. Se enfrenta a una petición de 4 años y 4 meses de prisión por acceso ilegal y revelación de secretos tras facilitar el certificado de la DGT.
- Juan Carlos O.: Designado como autor material de un delito de descubrimiento de secretos, para quien la Fiscalía solicita 3 años y 4 meses de cárcel.
El tribunal debe ahora determinar las responsabilidades penales derivadas de una de las brechas de seguridad más significativas sufridas por la administración de Justicia en España en tiempos recientes.
