La Sala de lo Penal de la Audiencia Doméstico (AN) ha sensato desestimar los bienes presentados por dos de los procesados por el robo de datos del Punto Neutro Legal (PNJ) al entender que los indicios que pesan sobre entreambos son «suficientes» para enviarles a seso vocal, por lo que ha avalado el procesamiento de entreambos.
Confirma así la osadía del sentenciador de la Audiencia Doméstico José Luis Calama que el pasado mes de octubre propuso establecer a tres personas por el ciberataque cometido en octubre de 2022 al PNJ, la red de telecomunicaciones que conecta los órganos judiciales con otras instituciones del Estado y que se gestiona desde el Consejo Universal del Poder Legal (CGPJ).
En ese automóvil del instructor, el magistrado tipificaba los hechos bajo el supuesto delito continuado de revelación de secretos por el ataque a datos –mediante la utilización de las claves de dos funcionarios de Rectitud obtenidas de forma ilícita– de más de medio millón de contribuyentes que fueron exfiltrados y luego vendidos.
A dos de ellos, José Luis Huertas –conocido como ‘Alcasec– y Daniel Baíllo –apelativo ‘Kermit’–, el sentenciador les atribuye encima un delito de ataque ilegal a sistemas informáticos, mientras que al tercero, Juan Carlos Ortega, se le atribuye la negocio del material exfiltrado.
Ahora, y a desidia de conocer la osadía de la Sala respecto al medio presentado por la defensa del principal investigado (‘Alcasec’), el magistrado ponente Fermín Javier Echarri explica sobre Juan Carlos Ortega que en su medio de apelación alegaba que los hechos que se le atribuían solo podía ser constitutivos de un delito de revelación de secretos, que el único hecho que se le atribuía era la negocio de 30 paquetes de datos en el seno de una plataforma web en la que se encontraban a la liquidación, que no se llevó a término ataque ilegal a sistemas informáticos y que ni difundió ni reveló ni cedió a terceros datos.
A esto, sumaba que se daba una desidia de continuidad delictiva en los hechos atribuidos, «entregado que se proxenetismo de unas concretas adquisiciones de 30 paquetes de datos entre el 20 y 21 de octubre de 2022«.
Pero la Sala combate estos argumentos de la defensa de Ortega apuntando que el encausado «venía adquiriendo de guisa ilícita información de ciudadanos españoles en el servicio uSms utilizando la identidad digital ‘Birras’ al menos desde el 18 de octubre de 2021 tal y como aparece de las evidencias digitales que hacen relato a dicho sucesor, a su conexión a la plataforma web usms.me, así como a la enclave de una carpeta de nombre ‘usms’ donde almacenaba la información adquirida en esta plataforma».
Suma que a través de las identidades digitales de Telegram ‘Diamante’ y ‘Meliodas’, Ortega administraba y coordinaba una red de 188 contactos dedicados a actividades de ciberdelincuencia, como el ‘smishing’, «con los que se asocia para la comisión de diferentes actividades ilícitas cuyo fin extremo es el beneficio financiero».
A esto, el ponente añade que «la adquisición de los 30 paquetes de datos no contenían información inocua», sino que podía ser calificada de ·reservada para terceros« al tratarse de información de tal naturaleza que afectaba a ciudadanos españoles, y que no debía estar en su poder.
En cuanto a la continuidad delictiva, la Sala indica que ésta se conforma por la negocio de datos con posterioridad al 30 de octubre de 2022 extraídos del PNJ «para cuyo ataque carecía de autorización». «En concreto, se le atribuye la negocio de 34 paquetes que contienen un total de 8676 registros de ciudadanos.
Dicha actividad lo fue con fines lucrativos, ya que de la información de los wallets de criptomonedas reconstruidos se desprende que ha movido cripto-activos por un cuantía igual o superior a un 1.237.637 euros, sin que se le conozca medio alguno de vida«, explica.
Destaca encima que, a pesar de no contar con medios conocidos de vida, en el año 2022 dispuso de criptomonedas «por un cuantía igual o superior a 1,2 millones de euros a través de 8 monederos de bitcoin», que durante los abriles 2022/2023 habría adquirido diferentes ingresos muebles e inmuebles con valía superior a los 500.000 euros, y que en su domicilio fueron intervenidas diversas joyas y relojes de media y ingreso abanico, y 2.750 euros en efectivo.
El caso de Daniel Baíllo
Por su parte, la defensa de Daniel Baíllo indicaba en su medio que era improcedente el procesamiento porque existían diligencias pendientes de realizar, como el resultado de la comisión rogatoria internacional dirigida a las autoridades de Hong Kong.
Entendía que se daba una «partida de indicios de la décimo del investigado en los hechos» porque «no puede tenerse por definitiva la creación del dominio cgpj-pnj.com hasta que no se haya completado la comisión rogatoria internacional enviada a las autoridades de Hong Kong».
Añadía que debían ser nulos determinados atestados policiales incluidos en la causa y que venían de diligencias previas de un auditoría de instrucción de Murcia que están bajo secreto de sumario, y que la defensa necesitaba más tiempo para estudiar la numerosa información técnica e informática para proponer las diligencias de investigación de descargo.
Pero la Sala insiste en que en la resolución del sentenciador «se recoge detalladamente el relato de hechos punibles, así como la décimo concreta de cada uno de los investigados en aquellos».
Así, respecto a Baíllo indica que «aparece directamente vinculado con la contratación del dominio cgpjpnj.com utilizado para realizar la campaña de phishing a través de la cual se obtuvieron las credenciales ilícitas de ataque a los sistemas informáticos de los funcionarios de la Empresa de Rectitud en órganos judiciales del País Vasco, y que fueron utilizadas como vector de entrada a la red de servicios del PNJ«.
Recuerda que el dominio ‘cgpj-pnj.com’ fue registrado a través de la empresa Eranet International Limited, con sede en Hong Kong (China), y que la investigación llevó a comprobar que se asociaba a un número de teléfono usado por Baíllo para como medio de demostración para la liquidación de Bitcoin en cajeros.
Añade que esa partidura móvil todavía se vincula con la cuenta de Telegram ‘Pelirojo’, que está asociada indiciariamente con Baíllo, y suma a esto que el encausado «estaba en posesión de múltiples credenciales obtenidas de forma fraudulenta que le permitían admitir a término accesos ilícitos a los sistemas de información de distintas Administraciones Públicas, entre ellas, a la Empresa de Rectitud».
Por otro costado, la Sala explica que Baíllo «disponía de la infraestructura cibernética necesaria para la ejecución de los hechos» y sostiene que mantenía «una relación delictiva» con José Luis Huertas ya que entre entreambos se establece «una connivencia delictiva para admitir a término ataques informáticos contra diferentes Administraciones Públicas y empresas radicadas en España, con un claro reparto de tareas y de beneficios económicos».
En este sentido, matiza que según las manifestaciones de Huertas durante la explicación prestada en calidad de investigado, fue Baíllo «quien le facilitó el certificado digital de una funcionaria de la Dirección Universal de Tráfico el cual les habría posibilitado consentir a la VPN de la Policía Doméstico y desde ahí al PNJ«.
Por otro ello, finaliza, las alegaciones del recurrente relativas a la partida de los indicios «deben ser rechazadas de plano ya que como se ha dejado constancia los mismos son plurales y unívocos en cuanto que apuntan a la concreta décimo de aquél en los hechos con relevancia penal objeto de investigación».