El juez de la Audiencia Nacional José Luis Calama ha enviado a prisión a José Luis H., alias Alcasec, un joven de 19 años acusado de llevar a cabo el ciberataque en octubre de 2022 al Punto Neutro Judicial, la red de telecomunicaciones que conecta los órganos judiciales con otras instituciones, mediante el que habría accedido a datos bancarios de 575.186 contribuyentes.
El joven, detenido el viernes, ha reconocido el acceso a esos datos durante su comparecencia ante el juez, que ha seguido el criterio de la Fiscalía y ha acordado su ingreso en prisión como investigado por un delito de revelación de secretos.
Según el auto del juez, el joven habría accedido a través de las claves de dos funcionarios al Punto Neutro Judicial, gestionado desde el Consejo General del Poder Judicial (CGPJ), y, desde allí, a la base de datos de "cuentas ampliadas" de la Agencia Tributaria. Como consecuencia, habría tenido acceso a los datos bancarios de más de medio millón de contribuyentes que, a su vez, fueron transferidos a dos servidores alojados en Lituania.
El 20 de octubre, el juez de la Audiencia Nacional José Luis Calama acordó la incoación de diligencias previas a raíz de una denuncia interpuesta por el órgano de gobierno de los jueces en la que se advertía del ciberataque, que podría haber afectado a datos personales de contribuyentes depositados en las bases de datos de la Agencia Tributaria.
Como primeras medidas, el juez decretó el secreto de las actuaciones y solicitó una serie de informes a la Agencia Tributaria y al Centro Criptológico Nacional sobre el alcance de los hechos denunciados. Desde la Audiencia Nacional consideran que los hechos podrían ser constitutivos de un delito contra alto organismo de la nación y, sin perjuicio de ulterior calificación, de delito de descubrimiento y revelación de secretos.
El propio Consejo informó en su momento del ataque, que habría sido detectado en la segunda quincena de octubre de 2022. "Desde ese mismo momento se adoptaron medidas de ciberseguridad para la contención y neutralización de ataques informáticos de este tipo", explicó el CGPJ en un comunicado.
El órgano de gobierno de los jueces señaló en el mismo que el Punto Neutro Judicial fue "utilizado por los atacantes para acceder a otras instituciones públicas" y subrayó que en el ataque "no se han visto comprometidos datos relativos a procedimientos judiciales u otra información en poder de los juzgados y tribunales".
Desde el Consejo explicaron que, una vez detectado el ciberataque, los hechos se pusieron en conocimiento del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos (COCS), así como del Centro Criptológico Nacional (CCN-CERT).
Según el CGPJ, tras dicha notificación --y en coordinación con ambos centros-- se adoptaron "las medidas de investigación y mitigadoras correspondientes". Asimismo, el Consejo avisó a la Agencia Española de Protección de Datos (AEPD) y a la Dirección de Supervisión y Control de Protección de Datos del propio órgano de gobierno de los jueces.