El pasado 31 de marzo, la Policía Nacional logró detener a José Luis Huertas, prolífico hacker de solo 19 años más conocido como 'Alcasec' y considerado el principal responsable del ciberataque que sufrieron el pasado otoño el Punto Neutro Judicial (PNJ) del Consejo General del Poder Judicial (CGPJ) así como otras instituciones públicas, como la Agencia Estatal de la Administración Tributaria. Su detención se produjo en el marco de la denominada operación "Pousada", iniciada en noviembre de 2022 después de que los agentes tuvieran conocimiento de dichos ataques informáticos, y el propio Alcasec, que ingresó en prisión el 3 de abril y fue puesto en libertad provisional el 23 de mayo, reconoció su implicación en los mismos en su primera declaración ante el juez encargado del caso, el titular del Juzgado Central de Instrucción Número 4, José Luis Calama.
El segundo detenido por el ciberataque al PNJ: Daniel Baíllo, alías 'Kermit', quien ya ha ingresado en prisión
Sin embargo, la investigación no se detuvo ahí, principalmente porque el avance de ésta determinó que Alcasec no actuó solo. Y la Policía Nacional ha informado ahora que este mismo martes ha detenido en Cartagena (Murcia) a uno de sus colaboradores. Se trata de Daniel Baíllo, alías 'Kermit', cómplice de 'Alcasec' a la hora de elegir sus objetivos entre administraciones públicas y empresas españolas y quien se habría encargado de la obtención ilícita de distintas credenciales de usuario, indica la Policía en un comunicado.
"El arrestado, junto al primer detenido en esta operación (Alcasec) –a través de la vulneración de distintas credenciales personales– fue escalando privilegios para acceder a bases de datos confidenciales y restringidas de diferentes instituciones públicas atacando gravemente a una alta institución del Estado, el Consejo General del Poder Judicial-CGPJ".
Según apunta la Policía Nacional, Baíllo, de 29 años, contaba con diversos antecedentes policiales vinculados a la ciberdelincuencia y es experto en anonimización, medidas de seguridad operacionales, encriptación de comunicaciones y multi identidad. "Además participaba en foros de cibercrimen muy selectos y cerrados donde tenía una alta reputación. Esta especialización y experiencia dificultaba la atribución de los ataques y multiplicaba el riesgo en la exposición de los datos vulnerados, representando un grave riesgo para la Seguridad Nacional".
Los agentes que han procedido a su detención también llevaron a cabo un registro en su domicilio, donde se ha intervenido numerosa documentación, efectos y soportes técnicos que ya están siendo analizados por los investigadores.
🚩Detenida en #Cartagena una segunda persona por realizar presuntamente un #ciberataque al Consejo General del Poder Judicial
— Policía Nacional (@policia) June 1, 2023
🚩La detención se produce en el marco de la Operación Pousada del pasado 31 de marzo cuando se arrestó al primero pic.twitter.com/g2jSbFm6gJ
Baíllo también ha pasado a disposición del magistrado José Luis Calama, quien ha decretado su ingreso en prisión provisional al considerar que dispone de una sólida infraestructura cibernética con la que, de quedar en libertad, puede destruir de forma remota fuentes de prueba relacionadas con los hechos investigados. Así lo señala Europa Press, que recoge detalles del auto redactado por Calama a partir de las explicaciones que ha obtenido de fuentes jurídicas.
Facilitó la obtención de las credenciales de acceso a los sistemas de la Justicia
Según el juez, Baíllo utilizaba la identidad de 'Kermit' para comprar datos de contribuyentes españoles en la plataforma uSms ofertados tras el ataque y posterior exfiltración de información de la red de servicios del PNJ. Igualmente, considera acreditado que fue uno de los usuarios de los servicios UDYAT, con nivel de administrador.
Así, el juez estima que aparece indiciariamente acreditado como la persona que contrató el dominio "cgpj-pnj.com", a través del cual se consiguieron las credenciales de acceso a los sistemas informáticos del Consejo General del Poder Judicial y, posteriormente, del Punto Neutro Judicial.
Mantenía una estrecha colaboración con 'Alcasec' y también atacó a los Juzgados de Bilbao
Calama también deduce la connivencia entre 'Alcasec' y 'Kermit' en la obtención ilegítima de datos de carácter personal de distintas bases de datos, así como su colaboración en el acceso de la red de servicios del PNJ a través de la red Sara.
Siguiendo la información de Europa Press, el teléfono intervenido a 'Kermit' en el momento de su arresto ha permitido localizar una serie de conversaciones a través de una aplicación de mensajería instantánea que ponen de manifiesto que ha mantenido una estrecha colaboración con 'Alcasec', "tanto para la comisión del ataque a la red de servicios del PNJ, como para ejecutar otros ataques informáticos contra sistemas de información de entes públicos y privados".
Entre los mismos "se encuentra el acceso ilegítimo a la Red Sara utilizando credenciales ilícitas, a los correos de doble factor de autenticación que permiten iniciar sesión en el PNJ o a la aplicación OWA utilizada por el Ministerio de Justicia como gestor de correo electrónico", apunta el magistrado.
En su resolución, el magistrado también resalta que los indicios racionales de criminalidad mencionados permiten afirmar de forma contundente la participación de Baíllo en la campaña de phishing dirigida contra los Juzgados de Bilbao en octubre de 2022, que habría sido orquestada por el detenido.
Además, Calama da por constatado que la identidad 'Kermit' utilizada para la compra de datos de contribuyentes españoles contenidos en la base de datos DB 12 FUCKING CRAZY BANK del servicio uSMS se corresponde con la filiación de Daniel Baíllo, basado en las transacciones recogidas en el Informe de Análisis de criptoactivos, concretamente las conversiones de Bitcoin a dinero FIAT en cajeros ATM Bitbase.
"Igualmente, explica, las identidades 'Flores' y 'H4kim' utilizadas en las conversaciones de mensajería instantánea intervenidas en la presente causa se corresponde con las que Daniel Baíllo interaccionaba con 'Alcasec' para la coordinación y ejecución sistemática de los ataques realizados contra distintas Administraciones Públicas y el Consejo General del Poder Judicial.
"Otro de los indicios apunta a que dispuso de credenciales y accesos a la infraestructura informática del CGPJ, según se desprende de las conversaciones de la aplicación de mensajería instantánea, así como que dispone de acceso a servidores virtuales que administra, y desde donde ejecuta su actividad delictiva y utiliza como repositorio de la información confidencial obtenida", agrega la agencia.
Finalmente, Europa Press asegura también que, según el auto del juez, Baíllo dispone de varios monederos de criptomonedas que, a través de extracciones en cajeros automáticos, se convierte en dinero fiduciario.
'Kermit' está acusado de un delito contra altas instituciones del Estado, descubrimiento, revelación de secretos (acceso ilegítimo a bases de datos) y blanqueo de capitales de manera continuada.