La trama de hackers que robó nóminas buscaba a sus víctimas en los boletines oficiales
▶ El teletrabajo y la «falta de celo» de los bancos facilitaron los ciberataques y las usurpaciones
No todos los trabajadores pueden acceder al sistema que gestiona las nóminas en su empresa. Lo habitual es que la interlocución la lleve una persona de recursos humanos, cuyo nombre será conocido intramuros, no tan frecuente fuera. En las administraciones públicas, por contra, el nombre es y debe ser conocido en tanto que es un cargo de la Administración.
De hecho, los nombramientos se publican en el boletín oficial del ayuntamiento o comunidad que corresponda. Y de eso se habría aprovechado la trama que, como viene destapando este diario, levantó miles de euros desviando las nóminas de distintos empleados públicos a cuentas bancarias que estaban bajo su control.
Según consta en el sumario de la causa que se sigue por este asunto en un juzgado de Granada, buscaban a sus víctimas en el equivalente local al BOE y, una vez tenían el nombre y los apellidos, encontraban su dirección de email en cualquiera de las decenas de plataformas y redes sociales en las que los ciudadanos acostumbran a inscribirse. Así sabían a quién debían enviar el ‘software’ malicioso que a la postre, les serviría para acceder a las tripas en remoto de la entidad pública sin levantar sospechas, usando sus credenciales, es decir, nombre de usuario y contraseña.
Tras el fraude, los investigadores sitúan al el célebre y precoz hacker José Luis Huertas, alias ‘Alcasec’; y el que sería su socio en este asunto, un melillense con una lista de antecedentes policiales por estafa que responde a las iniciales A.M. No son los únicos, entre quienes se supone que orquestaban el fraude, quienes recepcionaban el dinero de la nómina
La investigación que se sigue en un juzgado de Granada, centrada en las intrusiones al ayuntamiento de la ciudad y la Consejería de Sanidad de la Comunidad de Madrid, podría crecer después de que en los dispositivos intervenidos en el domicilio de A.M, el supuesto socio del joven hacker Alcasec, hallaran una lista de posibles objetivos en la que figuran otros organismos ajena y quienes lo gastaban o extraían, hay cerca de una decena de investigados. En cuanto a las víctimas, como ya desveló ABC hay policías locales de Madrid y Granada, pero también un letrado de este consistorio, un bombero y otros empleados, tanto de lo público (se investiga si robaron la nómina de médicos de urgencias de Madrid y/o Costa del Sol) como de lo privado (constaban empresas en su lista de objetivos).
Pero sin verse perjudicadas en lo económico, constan dos víctimas en la usurpación. Funcionarias de los consistorios de Granada y Madrid responsables de recursos humanos cuyas claves fueron hackeadas con ese ‘modus operandi’. En el caso de la granadina, por ejemplo, el acceso que cambió la cuenta bancaria públicos y empresas como los ayuntamientos de Fuenlabrada, Marbella, Badajoz y Cuenca, Renault, Mercadona o Cepsa, hospitales o distintos servicios de salud autonómicos. Si bien la Policía encargada de las pesquisas no descarta que haya más ciberataques perpetrados por el mismo grupo de personas, no denunciados por «miedo reputacional». de la nómina de los empleados afectados fue a las cuatro de la mañana. Y ella tenía acceso desde su casa, la pandemia obligó a habilitarle un portátil con acceso a una red segura. Su hijo lo usaba de vez en cuando para sus cosas, pero, según declararían ambos, sin entrar en esa red. Hubo un incidente de seguridad en el dispositivo que fue detectado y atajado por los servicios informáticos de Granada pero el mal ya estaba hecho. Entraron, cambiaron el número de cuenta de cinco funcionarios y salieron.
Se percataron cuando a mes vencido no habían cobrado la nómina y fue investigando la cuenta bancaria a la que había ido a parar como la Policía supo que no eran los únicos. Constaban ingresos de sueldos de otras administraciones. El titular de esa cuenta, por cierto, había denunciado usurpación de identidad. Según la investigación, los hackers, «aprovechando las facilidades propiciadas por las nuevas formas de contratación online, y la falta de celo de determinados bancos, operadoras y otros prestadores de servicios a la hora de identificar a sus clientes», abrieron cuentas como esa utilizando documentos de identidad sustraídos y alterados.
Los agentes señalan a Alcasec como autor de las intrusiones y a A.M., su supuesto socio, como el «responsable» del dinero
Pero lo peor es que lo detectado hasta que fueron intervenidos podría ser sólo una «prueba» resultado del «progreso» alcanzado por A.M. en materia de hackeos. «Constituye –dice el informe– una PoC (Proof of Concept / Prueba de Concepto) con el objeto de explorar este nuevo vector de ataque a futuro para su elección masiva»,
La Policía marca en la línea del tiempo un momento concreto en el que Alcasec y sus presuntos colaboradores comenzaron a desplegar estos ataques por administraciones y empresas: la pandemia. Mientras los españoles intentaban acostumbrarse al teletrabajo, el grupo habría centrado sus esfuerzos en encontrar vulnerabilidades en sus sistemas para poder penetrarlos. Según los investigadores, los ataques se intensificaron en el verano de 2021, en una especie de carrera contra el reloj, antes de que Alcasec alcanzara la mayoría de edad aquel octubre.
«No estamos ante un típico grupo criminal con ramificaciones extranjeras», advierten los informes policiales que señalan al joven hacker, en prisión provisional desde el pasado mes de abril por su última fechoría (el robo y venta de los datos de casi 600.000 contribuyentes a través de la red del CGPJ), y a A.M. como «miembros principales» del grupo dedicado a la sustracción de nóminas. «El primero como autor material de las intrusiones informáticas y el segundo como responsable de la recepción y reparto de los fondos obtenidos», especifican.