Esto no es un thriller de sobremesa de los sábados, aunque lo parezca. Un chaval que se hace con un certificado digital de Tráfico, navega por la red SARA como quien se pasea por la cocina de casa ajena, suplanta a funcionarios reales y acaba ordeñando 438.099 consultas al sistema de cuentas bancarias de la Agencia Tributaria. Luego, lo pone todo a la venta en un portal. Así, en resumen, es el caso Alcasec, que acaba de cerrar un capítulo en la Audiencia Nacional con condena pactada: dos años y siete meses de prisión para José Luis Huertas, el hacker que demostró que los datos bancarios de media España estaban a un clic y una contraseña de distancia.
El acceso: Cherry Servers y un certificado robado
Lo primero que sorprende del relato judicial es la sencillez con la que se montó el tinglado. En octubre de 2021, Alcasec contrató dos sistemas de almacenamiento masivo en Cherry Servers, una empresa lituana, usando un correo electrónico creado cuando era menor de edad para ocultar su identidad. Un certificado digital robado —emitido para la Dirección General de Tráfico— fue la llave maestra que le abrió la puerta, y se lo facilitó Daniel B.E., un colaborador que, según la Fiscalía, frecuentaba foros rusos de compraventa de credenciales.
Con ese certificado en la mano, Huertas navegó por la red SARA, contactó con la web del Punto Neutro Judicial del Consejo General del Poder Judicial y consiguió arrancar las credenciales de un funcionario de un juzgado de Bilbao. El primer escalón estaba superado.
438.099 peticiones: el volumen que da vértigo
Pero la intrusión no se quedó ahí. El siguiente paso fue pura ingeniería social: los acusados crearon una réplica de la página de acceso al Punto Neutro Judicial y enviaron a varios juzgados un enlace que dirigía a la falsificación. Dos funcionarios picaron el anzuelo y metieron sus claves. A partir de ese momento, Alcasec tuvo barra libre. El escrito de acusación detalla 438.099 peticiones al servicio de “cuentas bancarias ampliadas” de Hacienda, un caudal de información sensible que fue a parar a un portal de venta de datos donde, entre otros, cayó información de personajes relevantes.
No hablamos de una brecha técnica, sino de una cadena de engaños que dejó al descubierto las costuras de la administración digital española.
La escala del ataque obliga a mirar hacia dentro. No fue un script automatizado lanzado desde la deep web; fue alguien que supo explotar la confianza de instituciones que deberían ser blindadas. Y lo peor es que lo contó con una facilidad que roza el esperpento.
Lo que dice este caso sobre la ciberseguridad patria
El acuerdo de conformidad —la Fiscalía pidió inicialmente tres años y se rebajó a dos años y siete meses por la atenuante de confesión— cierra esta pieza, pero Alcasec ya lleva un año en prisión provisional por otra causa distinta: una presunta red de ciberataques masivos que se apoderó de datos sensibles de millones de ciudadanos. Esa investigación, aún abierta, involucró al exsecretario de Estado de Seguridad Francisco Martínez, detenido en el marco de la operación Kitchen.
La lectura es incómoda. El cibercrimen ya no es solo ransomware y contraseñas robadas; es la capacidad de encadenar accesos legítimos, suplantar a funcionarios reales y convertir servicios públicos en un supermercado de datos. El sistema que debía proteger la información bancaria de los ciudadanos acabó convertido en un escaparate. Y eso, se mire como se mire, es una derrota de todos.
Hype-O-Meter
Nivel de hype: 8/10. Porque no es un hype tecnológico al uso, sino un terremoto silencioso en la confianza digital del país. La condena llega, pero el agujero de seguridad que dejó al descubierto sigue sin estar del todo cosido — y eso da más miedo que cualquier thriller de Netflix.
El resumen para vagos (TL;DR)
- 🎯 ¿Qué ha pasado? Alcasec ha aceptado 2 años y 7 meses de cárcel por acceder y vender datos bancarios de españoles desde el Punto Neutro Judicial.
- 🔥 ¿Por qué importa? Demuestra que la administración pública es más frágil de lo que parece y que los datos personales pueden valer un pastizal.
- 🤔 ¿Nos afecta o es solo un meme? Afecta, y mucho. Tus datos bancarios podrían haber estado en ese lote. Ahora solo queda confiar en que la seguridad mejore.
