La red encabezada presuntamente por el hacker Alcasec robó las credenciales de un juez de Bilbao para consultar con su nombre 29 veces las bases de datos del Punto Neutro Judicial, el sistema que unifica los distintos registros de Hacienda o antecedentes penales, por ejemplo, para que estén accesibles en todos los juzgados españoles. El magistrado elegido, según la Audiencia Nacional, fue el titular del Juzgado de Instrucción número 9 de Bilbao, Jesús Zaragoza Osorio.
Los informes del caso reflejan que los piratas informáticos habrían utilizado las credenciales del magistrado en una fase previa de reconocimiento al exfiltrado masivo de datos, que terminó con el robo de información confidencial guardada en los servidores de Hacienda, por medio de un script: un programa informático que lanzaba peticiones masivas a los servidores de la Agencia Tributaria desde el acceso de la red de Justicia. Ese robo de datos habría afectado a más de un millón de registros.
Para garantizar su anonimato, los hackers empleaban antes un paso previo, enrutando sus comunicaciones por medio del acceso remoto web mediante VPN que tiene habilitada la Policía Nacional para sus funcionarios, por medio del sistema Pulse Secure de Microsoft. Para ello, los atacantes informáticos prepararon una serie de páginas web falsas donde funcionarios de los distintos cuerpos vieron robadas sus credenciales. Esas contraseñas -y en concreto la de una trabajadora de la Dirección General de Tráfico- eran utilizadas por medio de un nuevo filtro de seguridad, hasta derivar con los datos robados en un servidor en Lituania.
Después, según la información hecha pública ahora por la Audiencia Nacional, esos datos eran distribuidos al mejor postor por medio de una plataforma web y un canal de Telegram llamado USMS Alert. en el que había más de 400 personas registradas. Según las investigaciones desarrolladas por la Policía Nacional, 78 personas compraron datos extraídos presuntamente por esta red del Punto Neutro Judicial en solo 11 días, hasta el 31 de octubre de 2022. En total, había 17 bases de datos distintas en el sistema, que afectaba a más de un millón de contribuyentes españoles. En menos de dos semanas, los hackers ingresaron 39.096 euros con este servicio. En total, se hicieron con un botín de 1,8 millones de euros desde 2021.
Ahora, la Audiencia Nacional ha enviado a prisión provisional al principal comprador de estos datos, que se escondía desde la localidad sevillana de Dos Hermanas bajo el apodo cibernético de lonastrump. Según la investigación, este usuario compró los datos de 1.067 personas españolas. 20 de ellas han presentado ya denuncia en distintas comisarías del país por presuntos delitos contra su patrimonio por valor de 129.000 euros. Fuentes conocedoras de este tipo de estafas explican a NIUS que en la mayoría de los casos se trataría de créditos ilegales pedidos a su nombre a distintas financieras gracias a los datos robados de Hacienda.