así son los hackers y estafadores adolescentes que atacan con éxito a la DGT o al CGPJ

Durante abriles, la imagen del hacker ha estado dominada por el arquetipo del talento antisocial encerrado en un sótano sombreado, pulsando teclas con destreza sobre una pantalla llena de líneas verdes. Pero en España, la nueva ola de ciberdelincuentes al punto que supera la mayoría de antigüedad, y —por seguir rompiendo estereotipos— el campo de operaciones de estos adolescentes no son solo videojuegos o foros, sino las entrañas digitales de organismos esencia del Estado.

Así, la Dirección Común de Tráfico, el Consejo Común del Poder Legislativo, la Agencia Tributaria, la Seguridad Social o incluso cuerpos policiales han sido víctimas de ataques protagonizados por jóvenes —algunos incluso menores de antigüedad— que han demostrado una tiento sorprendente y una osadía amenazador.

El mancebo hacker gachupin por excelencia: Alcasec

El nombre de José Luis Huertas, apodo Alcasec, ha pasado en pocos abriles de circular sólo por foros 'underground' a ser pronunciado por los fiscales de la Audiencia Doméstico. A los 19 abriles, Huertas logró lo impensable: accedió al Punto Neutro Legislativo del CGPJ, puerta de enlace a múltiples sistemas de la Filial Pública, incluida la Agencia Tributaria, desde donde sustrajo datos bancarios de más de medio millón de españoles.

Imagen vía Club 113 (YouTube)

¿Su objetivo? Comercializar datos robados en plataformas oscuras de compraventa de información, algunas alojadas en servidores rusos y lituanos. Su plataforma de distribución, indicación Usms, llegó a registrar más de 95.000 transacciones y suscitar casi dos millones de euros en ingresos, cobrados en criptomonedas.

Referencias

Desde los 15 abriles, Alcasec había demostrado una sobresaliente destreza en el hacking: su primera incursión sobresaliente fue en el sistema de arrendamiento de bicicletas del Concejo de Madrid (Bicimad), permitiendo el uso regalado de bicicletas. Estas acciones le valieron una reputación de "Robin Hood" digital... pero tras eso su trayectoria pronto tomó un camino más sombreado, implicándose en estafas de 'smishing' (uso de SMS maliciosos para robar datos bancarios).

Entre 2021 y 2022, Alcasec protagonizó accesos ilegales a sistemas de bases de datos de instituciones españolas como el Profesión de Educación, ayuntamientos, y entidades privadas como Telepizza o Glovo. En estos casos, se descargaron datos sensibles de millones de ciudadanos, incluyendo correos electrónicos, contraseñas y datos de contacto.

Nueva forma

En la presente, 'Alcasec' se enfrenta a 3 abriles de prisión por los delitos relacionados con sus actividades de hacking... pero mientras aplazamiento a que la Probidad decida, ahora investigación redimirse con un plan empresarial propio: una startup de ciberseguridad indicación Havenio.

Con ella pretende ofrecer servicios de ciberinteligencia, respuesta delante filtraciones y auditoría preventiva de sistemas. Alcasec justifica su valía diferencial con una frase clara:

"Por mi pasado, sé muy adecuadamente dónde se compran y se venden los datos robados".

Para evitar conflictos legales y éticos, todos sus contratos incluirán cláusulas que prohíben el uso de datos obtenidos en su etapa como hacker.

Alcasec asegura que su etapa delictiva quedó detrás, que su paso por prisión preventiva en Alcalá Meco le cambió profundamente y que su motivación ahora es "hacer el adecuadamente".

El 'otro Alcasec': un veinteañero murciano que hackeó la DGT durante cuatro abriles

Otro caso que sorprendió (más por su duración, incluso, que por su impacto) fue el de un mancebo murciano de 23 abriles, detenido en febrero de 2024, que durante cuatro abriles accedió sin asentar sospechas a la colchoneta de datos de la Dirección Común de Tráfico (DGT), extrayendo más de 40 millones de matrículas y datos personales de conductores.

Su técnica era tan ingeniosa como inquietante: usó el certificado digital del DNI de su mama para crear un script automatizado que accedía de forma continuo y silenciosa a los registros: sólo cuando cometió el error de descargar de asalto 80.000 registros fue detectado.

Su objetivo era crear una alternativa económica al servicio oficial de la DGT para consultar datos de vehículos, y ofrecerlo en webs propias o a terceros interesados: aseguradoras, plataformas de compraventa de coches o directamente foros de hackers. En su arresto participó al Centro Criptológico Doméstico, normalmente centrado en amenazas de terrorismo, lo que da una idea de la magnitud del daño potencial.

Hackeando a la policía: un último pone en peligro a los 'Mossos'

Si aún dudabas sobre el hecho de que la antigüedad ya no es un autor limitante en el mundo del cibercrimen, otro ejemplo: en marzo de 2024, un último fue detenido por vulnerar un receptáculo corporativo de los 'Mossos d'Esquadra', tras alcanzar a información privada de más de medio millar de agentes y imprimir datos personales de al menos 60 de ellos en canales de Telegram.

La revelación de estos datos no solo supuso una amenaza directa a la seguridad de los agentes, sino igualmente una indicación de atención sobre el nivel de seguridad de los sistemas públicos.

Ciberestafas al por maduro desde un calle emparentado

No todos los ciberataques están dirigidos a organismos públicos, claro. Hace unos días salía a la luz cómo un estudiante de informática de 19 abriles y un compañero suyo, estudiante de criminología (¡y pretendiente a policía!), habían montado desde Tarrasa una de las mayores redes de estafas telefónicas del país. Desde la casa de sus padres orquestaron un entramado que incluía suplantación de identidad, phishing, cuentas falsas y enyesamiento de capitales.

Utilizaban SMS y correos electrónicos fraudulentos que simulaban estar enviados desde bancos como BBVA o Abanca, y hasta falsas multas de la DGT. Con eso, recolectaban información bancaria de las víctimas para luego canalizar el fortuna mediante cuentas abiertas con DNIs ajenos y mulas —jóvenes marginales que retiraban efectivo a cambio de una comisión—. Se estima que blanquearon más de un millón de euros, buena parte a través de bancos digitales y criptomonedas.

¿Qué hay detrás de esta nueva ola de ciberdelincuencia joven?

Más allá del morbo que despiertan estos casos, hay fundamentos estructurales que explican su proliferación:

• Hiperconectividad temprana: Estos jóvenes han crecido en un entorno digital desde la infancia. Para muchos, manipular sistemas informáticos es poco casi 'natural'.
• Accesibilidad tecnológica: Los medios para hackear, desde tutoriales hasta herramientas de penetración, están más disponibles que nunca. El talento autodidacta encuentra aquí su caldo de cultivo.
• Desidia de percepción del aventura: El anonimato percibido y la prontitud con la que pueden moverse entre servidores, VPNs y criptodivisas genera una (falsa) sensación de impunidad.
• Fallos sistémicos en la Filial española: La deficiente interconexión de organismos y la escasa seguridad en credenciales digitales de los funcionarios remotos hacen que una pequeña brecha sea una puerta de entrada a las interioridades del Estado.

Estos casos no solo suponen una amenaza a la ciberseguridad pública. Igualmente plantean un desafío educativo y jurídico. ¿Qué hacer con jóvenes con habilidades avanzadas que optan por la ilegalidad? ¿Cómo precaver que el talento termine en foros de compraventa de datos en vez de en empresas de ciberseguridad? Curiosamente, algunos de los implicados —como el propio Alcasec— buscan ahora redimirse fundando empresas de ciberseguridad.

Imagen | Marcos Merino mediante IA

En Genbeta | Dos adolescentes robaron 24 millones en criptomonedas. Su víctima los rastreó y tuvieron que devolver todo