"Esta diligencia de entrada y registro se practicará durante el periodo comprendido entre las 00:01 horas y las 23:59 del 30 de mayo de 2023, en horario tanto diurno como nocturno, dado que la persona investigada desarrolla su actividad delictiva de noche mediante el uso de dispositivos electrónicos, los cuales se consideran de vital importancia localizarlos encendidos", señala el auto de entrada y registro a la casa de Daniel Baíllo, uno de los hackers detenidos en el marco del ciberataque al Consejo General del Poder Judicial (CGPJ). Baíllo, de 29 años, tenía relación virtual con José Luis Huertas, de 19 años, más conocido como 'Alcasec'. El titular del Juzgado de Instrucción nº 4 de la Audiencia Nacional, José Luis Calama, los sitúa como responsables de la creación de una base de datos ilegal con detalles bancarios de miles de españoles, si bien 'Alcasec' es el único de los tres arrestados que se encuentra en libertad. Para algunas de estas operaciones online se hacía llamar 'Txapote'.

Si Javier García Gaztelu, el etarra conocido como 'Txapote' se convirtió en lema de la última campaña electoral -con la repetida frase "que te vote 'Txapote'"-, resulta que el pseudónimo de este terrorista había llegado también a estos jóvenes hackers. Fue el 31 de abril de este año cuando los agentes de la Comisaría General de Información de la Policía detuvieron a José Luis huertas y le intervinieron un móvil Google. "Del análisis del mismo se determina como el Sr. Huertas es el administrador de la aplicación de mensajería instantánea eu.siacs.conversations, bajo el alias 'Txapote'. Con ese usuario mantiene conversaciones con el usuario 'flores' y 'h4kim'", expone la documentación del sumario a la que ha tenido acceso El Independiente.

Resultó que 'flores' era Daniel Baíllo Escarabajal, el que fue el segundo de los detenidos por el ciberataque al Punto Neutro Judicial (PNJ) que conecta los juzgados con Hacienda y con otras administraciones del Estado. "Ambos intercambian opiniones e información sobre los accesos a los correos de doble factor de autentificación del PNJ, sistema OWA (correo en Outlook web app) de justicia, sistemas de información de la Comunidad de Madrid, AEAT, etc., llegando a comentar publicaciones de prensa del intento del hackeo de la AEAT", describe el juez.

Esta es una de las premisas de los hackers y una de las dificultades para los investigadores, explican fuentes de la causa, el hecho de que los jóvenes siempre utilicen un nombre ficticio para estos trabajos de ingeniería en red complica mucho la búsqueda. Muchos de ellos ni siquiera se conocen entre sí y contactan a través de redes sociales como Telegram u otras más subterráneas en las que hacen negocios.

'Alcasec' quedó en libertad menos de un mes después porque el magistrado ha valorado muy positivamente que estuviera colaborando con la Audiencia Nacional y argumentó que se había diluido el riesgo de fuga y la destrucción de pruebas. Baíllo, en cambio, fue detenido al poco tiempo y todavía permanece en prisión. Las fuentes consultadas destacan que tanto él como el tercero de los detenidos Juan Carlos Ortega tienen otro perfil delincuencial.

Todas las identidades

Daniel Baíllo tenía más identidades. Por ejemplo 'theskull' o 'Kermit' usada, según la investigación, para comprar datos de contribuyentes españoles en la plataforma uSms ofertados tras el ataque. Los agentes han acreditado también que él estuvo detrás del servicio UDYAT con nivel de administrador. Este servicio es una base de datos monstruosa que 'Alcasec' fue construyendo con los detalles que extraía de distintos ciberataques a empresas y administraciones.

En el escrito de entrada y registro, se especifica que "Daniel Baíllo Escarabajal fue la persona que contrató el dominio 'cgpj-pnj.com' [del CGPJ y el Punto Neutro Judicial] a través del cual se obtuvieron las credenciales de acceso a los sistemas informáticos de justicia". Fue el propio Huertas el que en su declaración del 3 de abril de 2023 contó que la idea del hackeo surge cuando él y su compañero 'theskull' descubren que estando dentro del sistema de la Policía (que 'Alcasec' también logró hackear durante meses) tienen conexión con el Punto Neutro Judicial.

Según el juez, es 'theskull' quien le facilita el certificado digital de una funcionaria de la Dirección General de Tráfico. Los investigadores reconocen en los documentos no saber cómo Baíllo consiguió esta acreditación. "Usando esta credencial logran acceder al VPN de la Policía y a su vez al PNJ. Posteriormente crean una web falsa denominada 'cgpj-pnj.com' con la que obtener más credenciales, y realizar la exfiltración de datos de Cuentas ampliadas de la AEAT [Agencia Tributaria]", se explica en el sumario.

El dominio para construir esta red ficticia lo alojaron en un servidor de Hong Kong (China). Los agentes cerraron el círculo cuando averiguaron que tras ese dominio había una línea de teléfono móvil que se había utilizado para la venta de Bitcoin en algunos cajeros por parte de Baíllo.

El arsenal del tercer detenido

Cuando Calama firmó la prisión para Baíllo expuso que se enfrentaba a un delito continuado de revelación de secretos que podría implicar hasta 6 años de prisión. Lo cierto es que fuentes de la causa comentan que este también ha estado colaborando con la Justicia y ha acudido en varias ocasiones a la Audiencia Nacional para dar acceso a sus monederos de criptomonedas. Si bien, en el auto de cárcel el juez explica que hay riesgo de reiteración delictiva porque un ordenador no fue encontrado.

Las fuentes de la causa consultadas difieren sobre el delito de organización criminal. Fuentes jurídicas señalan que es difícil que este delito sea agregado porque no se puede meter a todos los investigados en el mismo saco. Hay diferencias entre un perfil de hackers, acostumbrado a trabajar en la red y a delinquir por el gusto del dinero y otro que utiliza la estafa como su modo de vida.

Los agentes de Información escribieron en sus informes sobre la "potencial peligrosidad" de Juan Carlos Ortega, el tercero de los detenidos, como reveló este periódico. En su casa encontraron decenas de teléfonos móviles y en su historial policial acumulaba hasta 12 denuncias por estafa. El jefe del operativo encontró tres armas que, posteriormente, fueron analizadas por Balística. Una de ellas era un arma de guerra. Collares de oro, zapatillas de todo tipo, miles de euros en efectivo y hasta una máquina de contar dinero fueron fotografiados e incautados de su domicilio.