En noviembre de 2022, el Consejo General del Poder Judicial (CGPJ) anunció que a finales del mes de octubre habían sido víctimas de un ciberataque, siendo afectado el Punto Neutro Judicial (PNJ) que se gestiona desde el CGPJ. Se trata de un sistema de comunicación que permite centralizar las peticiones de información entre los órganos judiciales e instituciones como son la Agencia Estatal de Administración Tributaria, la Dirección General de la Policía, el Servicio Público de Empleo o el Instituto Nacional de la Seguridad Social. Asimismo, los juzgados lo utilizan para consultar datos de ciudadanos en bases de entidades bancarias, registros y organismos públicos.

La semana pasada fue detenido por la Policía Nacional en colaboración con el Centro Criptológico Nacional un joven de 19 años, José Luis H. (alias Alcasec), como presunto autor del ciberataque. Este lunes, el juez de la Audiencia Nacional ha acordado su prisión provisional incondicional, por un delito continuado de revelación de secretos

En su comparecencia, el detenido ha reconocido los hechos, que consisten en el acceso a datos de 575.186 contribuyentes.

El ciberataque al CGPJ

Según explica en un comunicado, los días 18 y 20 de octubre de 2022 el detenido accedió a través de las claves de dos funcionarios de la Administración de Justicia al Punto Neutro Judicial y desde ahí a la base de datos de “cuentas ampliadas” de la Agencia Estatal de la Administración Tributaria. 

Como consecuencia de dichos ataques se exfiltraron los datos bancarios de más de medio millón de contribuyentes. 

Dichos datos fueron enviados a su vez a dos servidores alojados en Lituania. El detenido ha reconocido que los datos fueron vendidos a continuación a terceras personas. “Alcasec” vendió los datos personales de una cantidad indefinida por el momento de afectados a través de la plataforma uSms con pagos en criptomonedas. 

El magistrado ha explicado que los hechos constituyen un delito de revelación de secretos, que sanciona a quien sin estar autorizado se apodera, utiliza o modifica, en perjuicio de terceros datos reservados de carácter personal o familiar que se hallan registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivos o registros públicos o privados. 

Al investigado se le podría imponer una pena superior a 5 años de prisión. Por el momento, se encuentra en prisión provisional, ya que existe riesgo de fuga debido a posible pena que se le puede llegar a imponer, debido a que el detenido tiene depositadas “importantes cantidades de criptomonedas” que le permitirían disponer de liquidez para residir en cualquier parte del mundo, eludiendo la acción de la justicia española, según el auto. 

Esta prisión provisional también se entiende como una manera de impedir que pueda destruir pruebas existentes, manipulando los registros informáticos.

Un ciberataque al CGPJ roba datos a Hacienda de medio millón de contribuyentes

Mónica Valle
https://monicavalle.es
Periodista especializada en seguridad informática y tecnología. Cofundadora y directora editorial de Bit Life Media, web dedicada a la actualidad de la tecnología, ciberseguridad e innovación. Presentadora de eventos y ponente especializada en seguridad informática y concienciación. Autora de "Ciberseguridad, consejos para tener vidas digitales más seguras".

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre