El «diamante» oculto del ciberataque de Alcasec

Ortega Guerrero, nacido en Dos Hermanas (Sevilla) hace 26 años, llevaba un tren de vida tan elevado para un chaval de su edad que levantaba suspicacias entre sus vecinos. Un pensamiento que luego corroboró la investigación judicial al asegurar que no contaba con fuente de ingreso conocida.

Solo en 2022, por ejemplo, dispuso de criptomonedas (activo digital de intercambio) por un importe igual o superior a 1,2 millones de euros agrupado en ocho monederos virtuales. Y este mismo año hasta su detención en junio y posterior encarcelamiento dentro de la tercera fase de la operación Pousada, la caída de los autores del mayor ciberataque a la gran base de datos de la Administración de Justicia, que dejó al descubierto información bancaria de más de 575.000 contribuyentes, habría adquirido diferentes bienes muebles e inmuebles con un valor superior a los 500.000 euros.

Cuando los agentes de la Policía Nacional entraron en su casa de Dos Hermanas el 10 de junio pasado, en virtud de una orden de registro acordada por el juzgado de la Audiencia Nacional que instruye los hechos, a Ortega Guerrero le intervinieron en una primera inspección diversas joyas, relojes de media y alta gama y 2.750 euros en efectivo. Pero antes de intervenir los equipos electrónicos, los investigadores se quedaron perplejos por otro hallazgo inesperado: en una habitación guardaba un auténtico arsenal de armas y munición.

Colocadas con mimo, tenía una escopeta de cañones superpuestos, un subfusil con dos cargadores, una pistola con un cargador; 26 cartuchos de munición calibre 22 y otros once de munición calibre 7,65. Tras notificar esta intervención, el juez instructor José Luis Calama acordó inhibirse a los juzgados de Dos Hermanas por si los hechos fueran constitutivos de delitos de tenencia ilícita de armas, así como de un delito de depósito de armas de guerra y municiones.

De forma posterior, los agentes incautaron en la vivienda del acusado todo el material relativo a sus actividades delictivas y su vinculación al ciberataque perpetrado por Alcasec, apodo del joven madrileño de 20 años José Luis Huertas Rubio, y su compañero Daniel Baíllo Escarabajal, alias 'Kermit', murciano de 30 años.

Una acción que, según describió el juez, puso en riesgo la «seguridad nacional» por la afectación de sistemas críticos del Poder Judicial y de la Agencia Tributaria. Un agujero que provocó la intervención misma de los informáticos del Centro Nacional de Inteligencia (CNI)

A Ortega Guerrero los agentes llegaron gracias a los efectos intervenidos en los registros de Alcasec a principios de abril y a la colaboración judicial prestada por esta suerte de Robin hood digital que pregonaba en redes sociales y entrevistas, tapado con una máscara, estar en condiciones de conocer datos del 90% de los españoles.

De los análisis forenses realizados por la Unidad de Informática y Comunicaciones de la Comisaría General de Información se permitió identificar a la persona que se encontraba detrás de la identidad virtual Lonastrump. El sobrenombre utilizado por el mayor comprador de los datos robados por Alcasec y Kermit. Concretamente, Ortega Guerrero habría adquirido 15.284 registros distribuidos en 30 paquetes con información personal y bancaria de cientos de contribuyentes. Todo ello en menos de 24 horas, entre el 20 y el 21 de octubre de 2022.

Esta actividad no era nueva para él, ya que a través de la página web restringida donde se vendió el contenido extraído del servidor de Hacienda, usms.me, había venido comprando desde septiembre de 2021 información de ciudadanos españoles para posteriores estafas.

En la vivienda de Dos Hermanas, entre cajas de zapatillas deportivas sin estrenar, los agentes pillaron en plena faena al procesado con un ordenador portátil abierto. Le ordenaron retirarse del aparato y entonces observaron activa una pestaña de una plataforma de envío masivo de SMS (mensajes de móvil) junto con 24 teléfonos y 114 tarjetas de telefonía SIM listas para su uso.

Asimismo, en el historial de navegación del ordenador se encontraron paneles dedicados a la obtención de contraseñas mediante técnicas de phishing (engañar a la víctimas suplantando la identidad de una entidad legítima) de clientes de hasta 20 bancos españoles.

Pero lo que los agentes no esperaban encontrar tras la supervisión de los efectos intervenidos era una información de incalculable valor. A través de dos identidades en la plataforma de mensajería Telegram, Diamante y Meliodas, este chaval de 26 años administraba y coordinaba una red de 188 contactos de ciberdelincuentes. Un hallazgo que ha servido a los investigadores para iniciar nuevas pesquisas, triangular estos nombres con otros grupos y reactivar líneas de trabajo que estaban en barbecho.

Del mismo modo, la particularidad de este grupo es que usaban para su actividad la técnica del smishing: distribuir mensajes de texto falsos para engañar a los usuarios para que descarguen programas maliciosos y entrar en sus dispositivos. Una técnica que se asocia a la comisión de diferentes actividades ilícitas, según el juez. En suma, los investigadores del ciberataque de Alcasec descubrieron un «diamante» oculto con esta red de contactos. Ahora solo les queda ponerles cara.