Con poco más de 20 años, José Luis Huertas, más conocido como Alcasec, ha vuelto a poner a prueba la seguridad del Estado con un nuevo ciberataque que se habría dirigido esta vez a organismos públicos como el Registro Civil, la Dirección General del Tráfico (DGT) o Puertos del Estado. La juez, que ordenó el martes su detención junto con la del exsecretario de Estado de Seguridad, Francisco Martínez, sospecha que los implicados en esta presunta trama se valieron de empresas falsas para ocultar "la verdadera naturaleza criminal" del grupo.

Así se desprende de documental que obra en el sumario de estas diligencias, desvelada este sábado por LA RAZÓN, en la que los investigadores exponen la operativa de esta presunta organización criminal que logró recabar millones de datos públicos y derivarlos a un servidor contratado en Suiza. La Policía Judicial sitúa en la cúspide de esta red a Huertas, quien tiene pendiente sentarse en el banquillo de los acusados por un ciberataque al Punto Neutro Judicial del CGPJ hace ahora tres años. A él le atribuyen el control de la "infraestructura de seguridad" en la que se habría apoyado para ejecutar este ataque. En ese sentido, apuntan a la existencia de unas "estructuras societarias" que se emplearon como "fachadas legales" para actividades como "ciberseguridad o marketing digital".

La Policía Judicial considera que el hacker se apoyó en estas mercantiles para justificar ingresos, contratos y operaciones que ocultarían su verdadera actividad. "La organización criminal investigada ha desarrollado una infraestructura tecnológica sofisticada y altamente compartimentada, diseñada para maximizar la extracción, almacenamiento, procesamiento y explotación de datos obtenidos ilícitamente. Esta estructura combina herramientas avanzadas, mecanismos de cifrado, servicios alojados en territorios de distintas jurisdicciones y una red de empresas pantalla que funcionan como cobertura legal y operativa", reza la magistrada María Tardón.

Medida de prisión "razonable y proporcionada"

La titular del Juzgado Central de Instrucción número 3 de la Audiencia Nacional acordó el ingreso en prisión provisional de Alcasec; del que fuera 'número dos' del Ministerio del Interior y de Adrián Molina, un tercer detenido vinculado al hacker. A todos ellos se les impuso esta medida cautelar ante el "riesgo serio y cierto" de que pudieran alterar fuentes de prueba. Se trata de material incautado en los registros del pasado martes y que la Policía tiene que asegurar para evitar que desaparezca. Con todo, se prevé que, al menos en lo que respecta al exalto cargo del Gobierno de Mariano Rajoy, quede en libertad próximamente.

En sus autos de prisión, Tardón expuso que la medida acordada era "adecuada, razonable y proporcionada" a los fines que se persigue ante el riesgo a que desaparezcan pruebas clave para avanzar en la investigación. La misma se abrió en 2024 por los delitos de blanqueo de capitales, organización criminal, allanamiento o intrusismo en un sistema informático y apoderamiento de datos reservados. Las diligencias, que se siguen bajo secreto de sumario, arrancaron a raíz de una denuncia de la Comisión Nacional de los Mercados y la Competencia (CNMC) que detectó un "acceso ilícito" a sus servicios informáticos y una "exfiltración masiva de datos personales" correspondientes a titulares de líneas móviles.

A partir de ahí los agentes comenzaron a seguir el rastro de este joven que ya cuenta con un largo historial de ciberataques, hasta llegar al exsecretario de Estado de Seguridad, a quien le atribuyen un "rol central" en los hechos. "La investigación ha evidenciado la existencia de una organización que se caracteriza por un alto nivel de sofisticación tecnológica (...) que opera a través de una red compleja que integra estructuras empresariales, conexiones personales e institucionales, y profesionales que garantizan la continuidad y expansión del entramado criminal", sostiene la juez.

Criptoactivos para no dejar rastro

Además de los millones de datos robados a los organismos públicos (entre los que se encuentra una empresa dependiente del Ministerio de Transportes), los investigados también habrían exfiltrado información de empresas energéticas, de registros mercantiles y de fuentes internacionales. En concreto, se apunta a los países de Andorra, Bolivia y República Dominicana. Los datos se canalizaron a través de un servidor de Suiza que se contrató a una empresa de Zurich.

Esta firma ofreció anonimato total del usuario, resistencia a la censura, y cifrado de extremo a extremo. La Policía detectó que Alcasec se conectó a este servidor de manera remota desde puntos clave como su domicilio particular, la sede social de su empresa o locales vinculados a sus actividades. Al igual que ocurriera con el ciberataque al CGPJ, costeó con criptomonedas todos los costes de estos servicios y la remuneración de miembros del entramado. El objetivo, según sostienen los investigadores, era evitar dejar rastros financieros verificables.

En lo que respecta a Francisco Martínez, la juez lo define como el "coordinador jurídico-operativo y arquitecto de blindaje estructural de la organización criminal". Sostiene que, en su condición de abogado, su función consistió en el diseño del "blindaje legal, patrimonial e institucional" que permitiría a los miembros técnicos del grupo, especialmente a Alcasec, operar con "continuidad, anonimato y una legitimidad aparente".

El papel de Francisco Martínez

La juez sostiene que dado los cargos políticos que ha ostentado, Martínez cuenta con un perfil profesional que combina conocimientos jurídicos, vínculos institucionales y experiencia política que le permitieron brindar cobertura legal a esta estructura. Al respecto sostiene que lideró también "las acciones de blanqueo de imagen y legitimación pública" y que incluso le ayudó para que consiguiera contratos y convenios de colaboración de entidades públicas (como la UNED) o el Ayuntamiento de Madrid.

El 'exnúmero dos' de Jorge Fernández Díaz negó la mayor en su interrogatorio ante la juez el pasado jueves. Martínez, que declaró pese a estar la causa secreta, dijo que únicamente le creó las dos empresas y que ha intentado ayudarle en este tiempo, primero como abogado y luego como referente. En ese sentido, reconoció que le ayudó a que trabajara en organismos públicos, pero sostuvo que lo hizo precisamente para que entrara en entornos profesionales a tenor de su corta edad. Con todo, negó que se enriqueciera con estos hechos o que hubiera detectado algún movimiento "anormal" cuando accedió a las plataformas del joven.

La juez, sin embargo, les envió a prisión tras pasar a disposición judicial, aunque se espera que la medida revierta tan pronto como la Policía asegure todas las pruebas incautadas. Los agentes explotaron el pasado martes la conocida como 'operación Borraska' que se saldó con la detención de estos tres investigados y de una cuarta persona en Andorra. Ahora procederán a analizar todo el material incautado, si bien, de un primer barrido, se desprende que Martínez efectuó hasta 21 consultas a través del "bot" de la plataforma de Telegram de Alcasec. Se trata de una herramienta que permite efectuar consultas inmediatas sin trazabilidad.

Cabe recordar que Alcasec se enfrenta a tres años de cárcel por el ciberataque al Punto Neutro Judicial del CGPJ en 2022 con el que exfiltró datos de más de medio millón de contribuyentes. Martínez, por su parte, tiene pendiente sentarse en el banquillo a partir de mediados del año que viene por su implicación en la trama Kitchen; la operación que impulsó la 'policía patriótica', con José Manuel Villarejo al frente, para extraer información sensible que atesoraba Luis Bárcenas del PP, en plena investigación por la Gürtel.