"Yo empecé programando plugins de Minecraft". El canal de YouTube Club 113 —del equipo de eSports Team Heretics— servía para que Alcasec explicase sus inicios en el mundo del hacking. A partir de ahí este precoz hacker español iniciaba una singular trayectoria que según la Policía Nacional "realizó un ciberataque al Consejo General del Poder Judicial (CGPJ) junto a otras graves intrusiones en instituciones públicas".
Medios como El Mundo desvelan más datos sobre José Luis Huertas, un hacker de 19 años conocido por su sobrenombre en el ámbito de la ciberseguridad, Alcasec. Este joven lleva años superando los sistemas de seguridad de empresas e instituciones públicas, y la semana pasada fue detenido por la Policía Nacional en colaboración con el Centro Criptológico Nacional.
El último de sus ciberataques se produjo en el Punto Neutro Judicial, el servidor donde se salvaguardan todas las causas del CGPJ, incluidas aquellas que hacen referencia a importantes casos de las altas esferas políticas. Ese ciberataque inicial sirvió posteriormente como puerta de acceso para la Agencia Tributaria, de donde según la investigación se recolectaron los datos de más de medio millón de contribuyentes.
Según indican en el Mundo, fueron agentes de Granada los que iniciaron la investigación hace dos años tras la intrusión que sufrió el Ayuntamiento de esa localidad, donde varias nóminas cambiaron de destino. En octubre de 2022 la Audiencia de Granada lo dejó en libertad vigilada en Madrid, pero según indican los hechos, Alcasec volvió pronto a actuar y acabó infiltrándose en el CGPJ.
🚩Detenido en #Madrid un peligroso delincuente informático que realizó un #ciberataque al #CGPJ junto con otras graves intrusiones en instituciones públicas
— Policía Nacional (@policia) April 3, 2023
Suponía una amenaza grave a la #SeguridadNacional y es considerado experto en #criptoactivos y ocultación de fondos pic.twitter.com/mUZj04Mecw
Los ciberataques de Alcasec se sucedieron y golpearon todo tipo de instituciones, desde la Dirección General de Tráfico (DFT) hasta la de la Policía Nacional —robando los datos personales de 50.000 policías— pasando por la web de Telecinco, en la que se infiltró y acabó robando 300.000 euros suplantando la identidad de Paolo Vasile, máximo responsable de la cadena.
Según revelan en el diario, Alcasec creó un portal llamado UDYAT —en referencia al Ojo de Horus, como Alcasec explicaba en otra entrevista con Club 113— en el que ponía a la venta "millones de datos robados". El autor de los hechos, que según El País usaba pseudónimos como "Mango" o "Chimicurri" en la plataforma digital uSms, recibía pagos en bitcoins, y por ejemplo se registraron ingresos por valor de 13,52 bitcoins (aproximadamente 348.000 euros con el cambio actual).
Sus actuaciones han sido múltiples y a pesar de haber sido detenido en diversas ocasiones —incluidas varias siendo menor de edad—, varios medios como El Confidencial revelan cómo ha reincidido una y otra vez.
Agujeros y defensas con nombres de mujer
Como explicaban en otro artículo de El País, el último gran ciberataque de Alcasec al Punto Neutro Judicial se realizó a través de las claves de dos funcionarios de la administración de justicia.
Fuente: Club 113.
Consiguió esos datos "de forma ilícita", y a partir de ahí logró acceso a la base de datos de las llamadas "cuentas ampliadas" de la Agencia Estatal de la Administración Tributaria. Eso le permitió robar datos de más de medio millón de contribuyentes, transferirlos a servidores en Lituania y luego venderlos a terceras personas.
Los ciberataques que tienen como objetivo las instituciones públicas fueron especialmente frecuentes en 2022, señalaban en Newtral. El informe "Ciberamenazas y Tendencias" del Centro Criptológico Nacional mostraba cómo en 2021 se publicaron 28.695 vulnerabilidades, un incremento del 23,31% respecto a 2020.
La exposición de las instituciones públicas es especialmente peligrosa, y en los últimos años hemos visto ciberataques especialmente relevantes como el que sufrió el Servicio Público de Empleo Estatal (SEPE), el INE, el CSIC, la UOC, el Hospital Clínic de Barcelona, ayuntamientos de la provincia de Navarra —entre otros muchos— o el espionaje que sufrieron máximos representantes del Ministerio de Defensa.
La principal motivación de esos ciberataques a instituciones públicas es el robo de datos. A partir de ahí los ciberdelincuentes pueden o bien extorsionar a los organismos que han sido víctimas del ataque, o vender esos datos a terceros. El ransomware se ha convertido en otra de las vías más explotadas en este tipo de actuaciones.
Un estudio publicado por el PAe (Portal de Administración Electrónica), basado en el ENISA Threat Landscape 2022 revelaba cómo el phishing —con nuevas variantes como el phishing selectivo, el whaling, el smishing y el vishing— es "el vector inicial más común" en los ciberataques. Se han vivido ataques especialmente notables como el "fraude del CEO" que son variantes avanzadas de los ataques de phishing originales, por ejemplo.
Mientras, un estudio de Deloitte revelaba que el 94% de las empresas españolas habían sufrido al menos un incidente grave en materia de ciberseguridad en el último año: eso coloca a España en tercera posición en un terrible ránking: el de los países del mundo con más ciberataques a empresas.
Desde Hispasec revelaban cómo el CCN-CERT se sitúa como eje central de las administraciones públicas a la hora de "fortalecer sus murallas frente a los ciberataques". Hay administraciones que están ya moviendo ficha, pero este organismo avisaba de que "las aministraciones públicas que aún no están en movimiento tendrán que adecuarse pronto si no quieren quedarse atrás".
Este organismo ha creado una Red Nacional de SOC (Centros de Operaciones de Ciberseguridad, SOC por sus siglas en inglés) que tiene como fin último "articular la colaboración y el intercambio de información ágil y efectivo entre todos los SOC de las distintas Administraciones Públicas (AGE, Comunidades Autónomas y Entidades Locales) para mejorar, de esta forma, las capacidades nacionales de defensa, detección y respuesta a posibles ciberincidentes".
Las herramientas planteadas por el CCN-CERT, por cierto, tienen nombre de mujer. "Nombres como Lucía, microCLAUDIA, Carmen, Gloria, la omnipresente Reyes o la atractiva y joven Inés son grandes protagonistas. Nada que envidiar a la ya adulta Pilar y a otras que componen nuestro escudo, junto con el resto de medidas y protocolos de actuación que se están ideando y poniendo en marcha"
Así se organiza la ciberseguridad en España
En España el Centro Nacional de Inteligencia (CNI), adscrito al Ministerio de Defensa, es el organismo del que dependen tanto el Centro Criptológico Nacional (CCN), que gestiona la ciberseguridad nacional, como la Oficina Nacional de Seguridad, que se encarga de la información clasificada.
En España el Centro Nacional de Inteligencia (CNI), adscrito al Ministerio de Defensa, es el organismo del que dependen tanto el Centro Criptológico Nacional (CCN), que gestiona la ciberseguridad nacional, como la Oficina Nacional de Seguridad, que se encarga de la información clasificada.
Del CNI cuelga otro de los organismos clave en el ámbito de la ciberseguridad en España: el CCN-CERT (Capacidad de Respuesta a Incidentes de Seguridad de la Información, @CCNCERT), que "coopera y ayuda a responder de forma rápida y eficiente a los ciberataques".
En el organigrama público destaca también el Departamento de Seguridad Nacional (DSN), ligado al Gabinete de Presidencia y que se define como “el órgano de asesoramiento” al presidente en materia de seguridad. Bajo su paraguas está la Unidad de Sistemas e Infraestructuras, que se divide a su vez en dos áreas: de informática (TIC) y comunicaciones. Hace un año el Gobierno anunció también la implantación de un Centro de Operación de Ciberseguridad de la Administración General del Estado (COCS) para, precisamente, reforzar la vigilancia, protección y detección de ciberataques.
Existen además otros organismos como el INCIBE (Instituto Nacional de Seguridad) que "trabaja para afianzar la confianza digital, elevar la ciberseguridad y la resiliencia y contribuir al mercado digital de manera que se impulse el uso seguro del ciberespacio en España". El INCIBE depende del Ministerio de Asuntos Económicos y Transformación Digital, y está orientado a mejorar la ciberseguridad no tanto en instituciones públicas, sino de empresas privadas, ciudadanos y menores.
El auge en la tipología y número de amenazas hace que empresas e instituciones necesiten prestar más atención que nunca a un ámbito que se está convirtiendo en fuente de numerosos problemas.
Imagen: Policía Nacional
Ver 21 comentarios