MADRID, 1 (EUROPA PRESS)
El juez de la Audiencia Nacional que investiga el ciberataque al Punto Neutro Judicial (PNJ) ha acordado prisión provisional, comunicada y sin fianza para Daniel Baíllo, un nuevo detenido por estos hechos al que se investiga por la compra de datos sustraídos en el suceso.
Fuentes jurídicas han explicado a Europa Press que, en su auto, el titular del Juzgado Central de Instrucción Número 4, José Luis Calama, atribuye a Baíllo, detenido el pasado martes en Cartagena (Murcia), un delito continuado de descubrimiento y revelación de secretos con fines lucrativos.
El juez justifica la imposición de la medida de prisión provisional en que los indicios expuestos permiten afirmar que el detenido dispone de una sólida infraestructura cibernética con la que, de quedar en libertad, puede destruir de forma remota fuentes de prueba relacionadas con los hechos investigados.
El magistrado precisa que, si bien el detenido ha facilitado en su declaración judicial los datos que permiten el acceso a los dispositivos electrónicos intervenidos, en tanto no se obtenga la información que contienen, han de tomarse todas las precauciones posibles para evitar que dicha información pueda ser eliminada.
En cuanto al riesgo de fuga, Calama explica que el delito continuado de revelación de secretos podría implicar hasta 6 años y 3 meses de prisión, circunstancia que unida al hecho de que posee varios monederos fríos de criptomonedas que, a través de extracciones en cajeros automáticos convierte en dinero fiduciario, así como su facilidad para la inserción en el mercado laboral de cualquier país dada su cualificación profesional en temas informáticos, sitúan el riesgo de fuga en unas «cotas máximas».
También entiende el juez que existe riesgo de reiteración delictiva puesto que dispone de un portátil que no ha sido localizado en el registro y de una amplia infraestructura cibernética donde se hayan evidencias de su actividad, caso de un proveedor ruso donde tiene contratados servidores virtuales que administra y utiliza para su actividad ilícita.
Para el juez, el riesgo de fuga se explica dada su facilidad de inserción en el mercado laboral de cualquier país por su cualificación profesional en informática, así como por la propiedad de varios monederos «fríos» que podría convertir en dinero fiducidario.
EL PRIMER DETENIDO POR EL ATAQUE
En el marco de esa investigación ya hubo un primer detenido, ‘Alcasec’, que ingresó el 3 de abril en prisión como investigado por el mismo delito continuado de revelación de secretos y fue puesto en libertad provisional el 23 de mayo.
La investigación, según el juez, ha permitido acreditar la venta de datos exfiltrados de la red de servicios del PNJ y, probablemente, la posterior utilización de estos para la comisión de una pluralidad de delitos derivados que incluyen estafas bancarias en diferentes modalidades y descubrimiento y revelación de secretos, entre otros.
En el caso del detenido, Daniel Baíllo, el juez señala que es la persona que administra la identidad ‘Kermit’ usada para comprar datos de contribuyentes españoles en la plataforma uSms ofertados tras el ataque y posterior exfiltración de información de la red de servicios del PNJ. Igualmente, el magistrado considera acreditado que fue uno de los usuarios de los servicios UDYAT, con nivel de administrador.
Así, continúa el juez, aparece indiciariamente acreditado que fue la persona que contrató el dominio «cgpj-pnj.com» a través del cual se obtuvieron las credenciales de acceso a los sistemas informáticos de Justicia y más tarde al PNJ.
También se deduce la connivencia entre ‘Alcasec’ y ‘Kermit’ en la obtención ilegítima de datos de carácter personal de distintas bases de datos, así como su colaboración en el acceso de la red de servicios del PNJ a través de la red Sara.
ESTRECHA COLABORACIÓN CON ‘ALCASEC’
El instructor también indica que el teléfono intervenido a ‘Kermit’ en el momento de su detención han sido localizadas una serie de conversaciones a través de mensajería instantánea con otro usuario cuya identidad real es la de Daniel Baíllo y que ponen de manifestó que ha existido una connivencia delictiva entre éste y ‘Alcasec’ «tanto para la comisión del ataque a la red de servicios del PNJ, como para ejecutar otros ataques informáticos contra sistemas de información de entes públicos y privados».
Entre los mismos «se encuentra el acceso ilegítimo a la Red Sara utilizando credenciales ilícitas, a los correos de doble factor de autenticación que permiten iniciar sesión en el PNJ o a la aplicación OWA utilizada por el Ministerio de Justicia como gestor de correo electrónico», apunta el magistrado.
El juez detalla en su resolución que los indicios racionales de criminalidad apuntados permiten afirmar de forma contundente la participación de Daniel Baíllo en la campaña de phishing dirigida contra los Juzgados de Bilbao en el mes de octubre de 2022, que habría sido ejecutada por el detenido.
Además, se constata, añade, que la identidad ‘Kermit’ utilizada para la compra de datos de contribuyentes españoles contenidos en la base de datos DB 12 FUCKING CRAZY BANK del servicio uSMS se corresponde con la filiación de Daniel Baíllo, basado en las transacciones recogidas en el Informe de Análisis de criptoactivos, concretamente las conversiones de Bitcoin a dinero FIAT en cajeros ATM Bitbase.
Igualmente, explica, las identidades ‘Flores’ y ‘H4kim’ utilizadas en las conversaciones de mensajería instantánea intervenidas en la presente causa se corresponde con las que Daniel Baíllo interaccionaba con ‘Alcasec’ para la coordinación y ejecución sistemática de los ataques realizados contra distintas Administraciones Públicas y el Consejo General del Poder Judicial.
Otro de los indicios apunta a que dispuso de credenciales y accesos a la infraestructura informática del CGPJ, según se desprende de las conversaciones de la aplicación de mensajería instantánea, así como que dispone de acceso a servidores virtuales que administra, y desde donde ejecuta su actividad delictiva y utiliza como repositorio de la información confidencial obtenida.
Por último, el titular del Juzgado Central de Instrucción 4 señala que el investigado dispone de varios monederos fríos de criptomonedas que, a través de extracciones en cajeros automáticos, se convierte en dinero fiduciario.
EXPERTO EN MEDIDAS DE SEGURIDAD OPERACIONALES
Según ha informado la Policía Nacional a través de una nota de prensa el ahora detenido se habría ocupado de la obtención ilícita de distintas credenciales de usuario para realizar los ciberataques.
«Este segundo autor, de 29 años, contaba con diversos antecedentes policiales vinculados a la ciberdelincuencia y era experto en anonimización, medidas de seguridad operacionales, encriptación de comunicaciones y multidentidad», señalan los agentes.
Además, la Policía indica que participaba en foros de cibercrimen muy selectos y cerrados donde tenía una alta reputación. «Esta especialización y experiencia dificultaba la atribución de los
ataques y multiplicaba el riesgo en la exposición de los datos vulnerados, representando un grave riesgo para la Seguridad Nacional», apunta.
