‘Chimichurri’ y ‘Mango’, los alias que delatan al ‘hacker’ Alcasec en su ciberataque contra el Poder Judicial y Hacienda

En internet todo deja huella. Y esta resultó fatal para José Luis Huertas, alias Alcasec, un hacker madrileño de apenas 19 años, que vivía a todo tren gracias al negocio ilícito que había montado presuntamente en la web: vendía datos confidenciales robados en complejos ciberataques, como el ejecutado contra el Consejo General del Poder Judicial (CGPJ) el pasado octubre, que le permitió llegar hasta la Agencia Tributaria y hacerse con información de 575.186 contribuyentes. Unas maniobras que el joven ha confesado este lunes en la Audiencia Nacional. Cercado ya por la Policía, que pone sobre la mesa las numerosas pruebas recabadas: como el rastro dejado por dos sobrenombres que usaba para registrarse y ahora lo delatan: Chimichurri y Mango.

Hasta lograr capturar el pasado viernes a Alcasec, con “amplia experiencia” en el mundillo de la ciberdelincuencia pese a su corta edad, los investigadores han reconstruido durante meses el camino recorrido por el joven para perpetrar sus fechorías. Así lo deja claro el juez José Luis Calama, instructor de las pesquisas sobre el ataque al CGPJ, que lo ha enviado a prisión provisional tras pedirlo la fiscal Ana Noé. Al igual que la acusación pública, el magistrado ha considerado que existe un enorme riesgo de que se fugue si sigue en libertad —“dispone de importantes cantidades de criptomonedas que le permitirían disponer de liquidez suficiente para residir en cualquier parte del mundo, eludiendo la acción de la justicia española”, explica Calama—; o que destruya pruebas; o que continúe cometiendo más delitos.

Los análisis de los investigadores han permitido descubrir, por ejemplo, que el joven madrileño se encuentra detrás del usuario virtual Mango, que figura en la plataforma digital usms como el “vendedor” de la información extraída a través del ciberataque al Poder Judicial —mediante una base de datos bautizada como “DB 12 Fucking Crazy Bank”, traducción al inglés de “DB 12 Puto Banco Loco”—. Un alias que, según la resolución de Calama, Huertas también usaba en un canal de la aplicación Telegram que administraba y donde compartió documentación personal de él mismo, como una autorización temporal para conducir, un informe de calificaciones emitido por el Centro de Estudios González Cañadas o una tarjeta de crédito.

Otro denominación que Alcasec usaba era Chimichurri, según los indicios recabados por los agentes de los servidores informáticos investigados, desde los que se atacó al CGPJ y extrajo información. En esa línea, el instructor Calama describe cómo en uno de esos servidores se encontraba instalada la aplicación de mensajería instantánea Gajim, configurada con el nombre de usuario “chimichurri”. “Se ha acreditado provisionalmente que el usuario Chimichurri es José Luis Huertas, el cual utiliza esta aplicación para mantener todo tipo de conversaciones relacionadas con su actividad delictiva”, apunta el magistrado.

Para completar el puzle, los agentes también han localizado alojado en un servidor la herramienta Udyat, llamada así en referencia al símbolo egipcio El Ojo de Horus. Según los investigadores, “esta arquitectura informática” es un “servicio de consultas bajo demanda de datos obtenidos de forma ilícita”. En una entrevista en un canal de Youtube, Club 113, donde Alcasec participó enmascarado, este afirmó que se encontraba detrás de Udyat y que tenía “almacenados datos del 90% de los españoles”.

Transferencia de criptomonedas

La Policía, que ha trabajado en colaboración con el Centro Criptológico Nacional (dependiente del CNI), ha seguido el rastro de las criptomonedas usadas para contratar los servidores donde se guardó la información robada. Los agentes comprobaron que, desde dos monederos usados para pagar estos servicios, se transfirieron bitcoins por valor de 543.514 dólares a otro monedero controlado por el joven.

La Policía Nacional, que califica a Huertas como un “peligroso delincuente informático”, incide en que Alcasec creó una base de datos que funcionaba como “un servicio de consultas y venta de información ilícita”. Según los agentes, su único objetivo era “mercadear” con todo ello para su beneficio económico: hacía caros viajes, vestía marcas exclusivas, frecuentaba locales de moda, conducía coches caros... “No era ningún Robin Hood”, apostillan fuentes policiales. La investigación aún sigue abierta.