"Corred, que vuelan": así vendieron los datos robados en el hackeo al Poder Judicial

Los responsables del ciberataque al Punto Neutro Judicial de octubre de 2022 anunciaron la venta de los datos robados a través de un canal de Telegram. El primer paquete lo bautizaron como12 Fucking Crazy Bank y, según explica la Audiencia Nacional, contenía información sobre más de 80.000 contribuyentes: teléfono, nombre, DNI, correo electrónico, IBAN... Los hackers ya habían utilizado este chat para vender los datos de otros ciberataques, pero esta vez ofrecieron una "funcionalidad exclusiva" para que sus clientes pudieran escoger a las víctimas y mejorar las estafas bancarias: "Además de poder elegir el banco, ¡podrás elegir el saldo aproximado de la cuenta!".

La Policía Nacional detuvo a finales de marzo a José Luis Huertas, de 19 años y alias Alcasec, como principal autor de estos hechos. Los otros dos investigados por el ataque al Punto Neutro Judicial son Daniel Baíllo Escarabajal, que presuntamente ayudó a Huertas, y Juan Carlos Ortega Guerrero, al que sitúan como principal comprador de la información robada. El rastro de los tres ha conducido a la Audiencia Nacional hasta una plataforma en la que Alcasec vendía los datos obtenidos con sus hackeos: uSms. Acceder a ella exigía una invitación y el pago de una cuota inicial, pero el chat de Telegram que usaban para anunciar sus 'productos' era público.

"En este canal vamos a avisar de restocks, nuevos productos y mejoras que realicemos a la web", publicaron el 1 de octubre de 2021 como mensaje de bienvenida. Pese a tratarse de una actividad ilícita, el tono desenfadado se repite una y otra vez a partir de entonces: "Restock subido, corred que ya han volado varios bancos y ni lo habíamos anunciado!!!! [sic']"; "como os habéis portado bien, os informo: los de BBVA son los mejores leads de BBVA que vais a encontrar"; "aprovechad para comprar porque no os vais a arrepentir"…

La Audiencia Nacional apunta a que uSms acumuló más de 1,8 millones de ingresos desde su puesta en marcha a mediados de 2021: "Tiene un total de 1.746 usuarios registrados, si bien, las compras son realizadas por 518 usuarios diferentes y consta de 17 bases de datos disponibles". La mayoría de sus bases de datos se centraban en información bancaria, pero en diciembre de 2021, diversificaron su oferta con "certificados covid UE oficiales y registrados en la base de datos del Sistema Nacional de Salud": la "vacunación completa" costaba 300 euros y la "vacuna extra" otros 150", incluyendo a su vez un servicio paralelo para "vacunar gente de fuera de España".

En el canal de Telegram también informaban sobre constantes cambios de servidores, lo que les ayudaba a ocultar su rastro. Estas técnicas permitieron que el negocio fuera creciendo a lo largo de 2021 y en varios momentos cerraron "el cupo de usuarios disponibles para uSms", por lo que tras el ciberataque al Punto Neutro Judicial, sus responsables contaban ya con una base de clientes fieles: el canal de Telegram tenía 459 suscriptores y, apenas "cinco horas después del último acceso ilícito" a esta red de telecomunicaciones que conecta a los tribunales con otras instituciones del Estado, lanzaron el paquete 12 Fucking Crazy Bank.

Lonastrump, el mejor cliente

La Audiencia Nacional explica que la venta de estos "datos exfiltrados" en el Punto Neutro Judicial reportó a los hackers 39.096 euros de beneficios en solo 11 días. 78 usuarios de uSms se lanzaron a comprarlos y entre ellos destaca Juan Carlos Ortega Guerrero, un ciberdelincuente de 25 años que fue detenido el pasado martes en Dos Hermanas (Sevilla). Los investigadores sostienen que Ortega compró información sobre más de 1.000 contribuyentes a través de 12 Fucking Crazy Bank

"Viene adquiriendo de manera ilícita información de ciudadanos españoles en el servicio uSms utilizando la identidad digital lonastrump, al menos desde el 18 de septiembre de 2021", señala el magistrado José Luis Calama en el auto con el que acordó su ingreso en prisión este jueves. Ortega también se identificaba como "Diamante" o "Melioas" en Telegram y supuestamente coordinaba "una red de 188 contactos dedicados a actividades de ciberdelincuencia".

Entre sus especialidades destacaba el smishing, que consiste en enviar un mensaje de texto haciéndose pasar por un banco para obtener las claves de la víctima: "En el momento de la ejecución de la diligencia de entrada y registro en su domicilio, este investigado (…) tenía abierta y activa una pestaña de una plataforma de envío masivo de SMS junto con 24 teléfonos móviles y 114 tarjetas de telefonía SIM listas para su uso". La Policía Nacional también ha detectado que 20 de los 1.000 contribuyentes a cuyos datos tuvo acceso tras el ciberataque al Punto Neutro Judicial han denunciado estafas bancarias en el último año, "ascendiendo lo defraudado a 129.096,73 euros".

Aunque Ortega no contaba "con medios conocidos de vida en el año 2022", los investigadores apuntan a que disponía de ocho monederos de criptodivisas cuyo valor ascendía a 1.237.637 euros, además de haber adquirido diferentes bienes muebles e inmuebles que superan los 500.000 euros. Para proteger este supuesto botín, los investigadores también hallaron en su vivienda una escopeta, un subfusil y una pistola. Tras el arresto de José Luis Huertas y Daniel Baíllo Escarabajal como principales responsables del hackeo, la Audiencia Nacional se centra ahora en los ciberdelincuentes que compraron los datos robados y en sus posteriores estafas bancarias.

Este cambio en la línea de investigación también se refleja en el canal de Telegram de uSms. Apenas unos días antes del arresto de Huertas, el 21 de marzo, lanzó a la venta su última base de datos, pero desde entonces solo se han publicado otros dos mensajes en el chat. El primero, el 7 de abril: "Alerta. La página sigue ON [sic], pero teníamos unos problemas que ya hemos arreglado. Se les irá respondiendo todas las dudas poco a poco, gracias por su paciencia". Y el último, el 12 de abril. ""Alerta. La página está en MANTENIMIENTO [sic] y seguirá así unos días, pedimos paciencia y tranquilidad. Iremos avisando de las novedades por el grupo. Gracias".