Hacker espanhol Alcasec pode apanhar 3 anos de prisão por roubo de dados de mais de 550 mil pessoas
O Ministério Público da Audiência Nacional pede três anos de prisão para José Luis Huertas, conhecido como Alcasec, por ter atacado o sítio Web do Ponto Neutro Judicial da CGPJ. O pirata informático conseguiu extrair os dados bancários de mais de 571 mil contribuintes, um ataque que lhe permitiu obter lucros milionários com a venda dessa informação.
A acusação aplica a circunstância atenuante altamente qualificada da confissão tardia, que reduz o pedido de pena para os crimes continuados de acesso ilegal a sistemas informáticos e descoberta e divulgação de segredos. A sua colaboração com a justiça levou ao confisco de 863.000 euros provenientes da venda dos dados roubados.
Os outros implicados no caso
A situação é diferente para os outros dois arguidos. Para Daniel Baíllo, outro hacker envolvido, o Ministério Público pede 4 anos e 4 meses de prisão por um crime continuado de acesso ilegal a sistemas informáticos e outro de descoberta de segredos. Além disso, é considerado um colaborador necessário para a divulgação de segredos atribuídos à Alcasec.
O terceiro arguido, Juan Carlos O., incorre numa pena de 3 anos e 4 meses de prisão por ser o autor material de um crime de descoberta de segredos. Segundo a investigação, este último comprou 1.247.727 registos no valor de 109.876 euros com a intenção de lucrar com eles.
O método de acesso ao sistema
O ataque sofisticado começou em outubro de 2021, quando Alcasec contratou dois sistemas de armazenamento em massa com uma empresa lituana usando uma conta de e-mail criada durante a sua menoridade para esconder a sua identidade.
Para enriquecimento ilícito, obteve de Baíllo um certificado digital roubado emitido pela FNMT para a DGT. Este certificado permitia-lhe ligar-se remotamente aos sistemas da Traffic e aceder à rede da polícia através de um endereço IP interno da DGT.
Utilizando estas credenciais, fez 876 ligações ao portal da Polícia Nacional entre julho de 2022 e a data da sua deteção. Estes factos estão a ser investigados separadamente no 50.º Tribunal de Instrução de Madrid.
Infiltração do sistema judicial
Uma vez dentro da intranet da polícia, Alcasec obteve credenciais de um oficial da Polícia Nacional e conseguiu navegar pela rede SARA (Sistema de Aplicações e Redes para Administrações).
Este acesso permitiu-lhe ligar-se ao site do Ponto Neutro Judicial da CGPJ, a partir do qual obteve as credenciais de um utilizador de um tribunal de Bilbau, que utilizou para verificar o funcionamento do sistema.
Juntamente com Baíllo, criaram um site falso fingindo ser o portal de acesso ao PNJ para capturar mais credenciais. Baíllo contratou o domínio malicioso "cgpj-pnj.com" com um subdomínio que apontava para um endereço IP localizado na Rússia.
O roubo massivo de dados
Depois de aceder ao NPC com as credenciais capturadas, o Alcasec enviou comunicações a diferentes tribunais com ligações que redireccionavam para a sua página falsa, obtendo assim as palavras-passe de outros utilizadores do sistema judicial.
Com as credenciais de dois funcionários judiciais que caíram na armadilha, efectuou 438.099 pedidos ao serviço web "contas bancárias alargadas" da Agência Tributária, seguindo-se um segundo ataque.
A CGPJ bloqueou as contas comprometidas ao detetar a atividade suspeita e levou os factos ao conhecimento da Audiência Nacional. Com a ajuda do Centro Nacional de Criptologia, a página simulada foi bloqueada.
O alcance do ataque e a venda de dados
De acordo com a CCN, as entidades afectadas pelo roubo de dados foram a Catastro, a Agencia Tributaria, a DGT, o INE, a Seguridad Social, o SEPE e a Policía Nacional. A Agência Tributária confirmou que estas consultas em massa afectaram 571.210 pessoas singulares, enquanto as consultas individualizadas anteriormente efectuadas afectaram 373 números NIF, alguns pertencentes a pessoas com relevância pública.
Para comercializar os dados roubados, a Alcasec criou o portal uSms, onde inseriu 574.908 registos extraídos do PNJ. As transacções eram efectuadas através do portal de pagamentos de criptomoedas Plisio.
O portal, que chegou a ter 17 bases de dados à venda, tinha 1.746 utilizadores registados, dos quais 518 fizeram compras correspondentes a mais de 30 milhões de registos vendidos, gerando uma receita de 1.866.175 euros.