El fiscal delegado de criminalidad informática en Granada fue el encargado de interponer la querella contra seis jóvenes a los que acusaba de haber hackeado las nóminas de funcionarios en el Ayuntamiento de Málaga y en la Consejería de Salud de Madrid para transferirlas a otras cuentas y quedarse con el dinero. Ninguno de los denunciados superaba los 30 años. Con el avance de la investigación este último año -la mayor parte bajo secreto-, los agentes de la Policía Nacional se han topado con que el desaguisado digital era mayor del que creían y por el camino han descubierto una de las joyas de la corona: dentro del "top" de los hackers (jerga a la que ellos refieren) estaba José Luis Huertas, más conocido como 'Alcasec'.

"Los autores, bien empleando las contraseñas legítimas de usuarios autorizados, bien haciendo uso de dichos programas informáticos maliciosos para su obtención o manipulación posterior, podían acceder hasta las aplicaciones de gestión de las nóminas de dichos organismos", señaló la Fiscalía el 14 de marzo de 2022. La querella se dirigía contra seis jóvenes (entre los que no estaba 'Alcasec' inicialmente) afincados en Madrid. Dos de los cabecillas tenían 29 (D. Y.) y 21 años (A. M., conocido como 'Aurex') en el momento en el que se cometieron los hechos y unos días después de que el Ministerio Público interpusiera la denuncia fueron detenidos y enviados a prisión provisional por delitos de organización criminal, daños informáticos, intrusión informática, estafa, blanqueo de capitales y acoso, según el sumario al que ha tenido acceso El Independiente. El caso recaló en el Juzgado de Instrucción número 2 de Granada.

El servicio de criminalidad informática de esa Fiscalía provincial llevaba meses indagando en los perfiles de los chicos y el recorrido del dinero bajo la actuación del grupo de investigación tecnológica de la brigada provincial de Policía Judicial por lo que las pesquisas estaban avanzadas.

El modus operandi de este grupo consistía en abrir cuentas bancarias por miembros de la red o identidades robadas -dos de los jóvenes eran titulares de más de 30 cuentas corrientes distintas- y más tarde empleaban el entramado de cuentas bancarias para presuntamente blanquear capitales; también contrataban préstamos personales de forma fraudulenta, falsificaban documentos, etc.

Las pesquisas se iniciaron tras un ciberataque entre noviembre y diciembre de 2021. "Para ello los autores, haciendo uso del conjunto de herramientas de pentesting de código abierto Mimikatz (diseñado inicialmente para el análisis forense y pruebas de vulnerabilidad de redes informáticas) consiguieron hacerse con las contraseñas legítimas de la usuaria [...], funcionaria del Ayuntamiento de Granada, jefa del Servicio de Nóminas", describe el fiscal. Los hackers modificaron el número de cuentas corrientes de cuatro funcionarios con la retribución más elevada -desde 2.889 hasta 8.262 euros- y las desviaron a sus números bancarios.

Repitieron el método con la gestora de nóminas de la Consejería de Salud de la Comunidad de Madrid y lograron quedarse con más de 6.000 euros de otro funcionario. En ese caso fueron más allá. D. Y. y Aurex utilizaron la cuenta de este trabajador de la capital para solicitar un crédito personal por valor de 26.000 euros con la apariencia de solvencia que lograron mediante la presentación de una nómina expedida por Bebidas Refrescantes Canarias S.L. (para la que había trabajado el dueño de la cuenta bancaria). Lograron alterar el período de pago para que coincidiera con el mes de la solicitud.

Un trabajo aparentemente impecable. Pero el rastro de uno de los líderes que acudió personalmente a una sucursal del Banco Santander de Getafe hizo sospechar a los agentes, como avanzó ABC. Aurex retiró el dinero con una ropa tan cara que cuando la Policía vio las cámaras de grabación plasmaron sus sospechas. Llevaba unas zapatillas azules Air Jordan Retro modelo “hight white university blue black” con un precio de unos 550 euros y este "alto poder adquisitivo, muy por encima del propio de la media de su edad" lo que para ellos revelaba era "una posición elevada en la estructura criminal". La intevención policial se bautizó 'Operación Jordan'.

El ciberataque a la Policía

La titular del Juzgado de Granada accedió a las detenciones y las entradas y registros en los distintos pisos de Madrid y comisionó a sus colegas en la capital para que se ejecutaran el 23 de marzo de 2022. Aquí llegaron las sorpresas en un operativo de cirujía fina de la Policía Nacional que trató de coser el relato de los jóvenes, de comprobar todas las operaciones digitales y de encajar piezas de distintas diligencias. "Aurex se vino a Madrid porque aquí están los top (hacker) de Madrid", confesó el compañero de piso del presunto cabecilla. Durante las declaraciones ante las Fuerzas y Cuerpos de Seguridad, varios de los jóvenes dan un nombre clave: @alcasec.

"Que todo el dinero que sacó entre el 23 de noviembre de 2021 y el 30 de diciembre de 2021 lo sacaba en el Banco Santander de Getafe y una vez los obtenía, quedaba con Alcasec vía Telegram para quedar por el centro de Madrid (sic) y darle en mano el dinero sacado", reconoció Aurex. Los agentes le preguntaron quién era ese. "Dice que es José Luis Huertas Rubio y que tiene 18 años", dejan por escrito.

"Preguntado por esta instrucción si tiene conocimiento de que esta persona fue la que entró ilegalmente en la red corporativa de la Policía Local de Granada para posteriormente pivotar hacia la conexión que esta policía local tiene sobre la Policía Nacional y hacer consultas masivas hacia sus bases de datos manifiesta que SÍ, que fue José Luis quien entró a principios del año 2021", revela el joven. Deja constancia, incluso, de que 'Alcasec' va diciendo que es "íntimo" de Francisco Nicolás Gómez Iglesias, popularmente conocido como el 'Pequeño Nicolás'.

'Alcasec' terminaría meses después investigado no sólo en este procedimiento, sino en uno en la Audiencia Nacional en el que una exhaustiva investigación de la Comisaría General de Información de la Policía lo catalogó de peligro para la "Seguridad Nacional". El joven está acusado de haber entrado en la red interna de los juzgados de España (el Punto Nuetro Judicial) para hacerse con los datos de Hacienda de miles de contribuyentes.