El 'hacker' del Ayuntamiento de Roquetas, todo un periplo policial y judicial

Todo comenzó el 25 de junio de 2019, si no antes, aunque la noticia salió a todos los medios de comunicación unos 15 días después. Según las resoluciones judiciales de instrucción y que luego han sido considerados hechos probados en acusación y sentencia firme, el hacker modificó unos archivos contables sustituyendo los números de cuenta de los empleados públicos del Ayuntamiento de Roquetas por una cuenta alemana destinataria del dinero. Así, se transfirió un importe cercano a 700.000 euros destinado al abono de las nóminas de 428 empleados públicos. Además, «para no despertar sospechas y hacer creer que pudiera ser un fallo informático del Ayuntamiento, alteró aleatoriamente la relación de cuentas, de tal manera que unos trabajadores sí cobraron sus nóminas y otros no», determinó la investigación. A este respecto, la auditoría realizada al sistema informático del consistorio permitió confirmar que el autor de estos hechos llegó a borrar todos los 'logs', para no dejar huella digital. Una forma de proceder que, a juicio de la Guardia Civil, «denotaba su alto nivel delictual».

La gravedad de los hechos no sólo era por el importe intentado para su defraudación, o por el número de personas que pudieron ser afectadas, sino también porque un acceso no autorizado a una administración pública local y a sus cuentas bancarias puede tener interés estratégico para el país (aquellos que son esenciales para la seguridad nacional y para el conjunto de la economía). Por esta razón las instituciones públicas más atacadas son Hacienda (posiblemente por el dinero que guarda y sus datos) y los ayuntamientos (posiblemente por la escasez de medidas técnicas y organizativas de protección y unas grandes vulnerabilidades). Atacar a ayuntamientos suele ser relativamente sencillo y rentable. Cuando se produce un ciberincidente en el sector público, que puede afectar a infraestructuras críticas y operadores estratégicos o a la propia ciberdefensa del país, interviene siempre como centro de respuesta el CNI, el Centro Nacional de Inteligencia a través de su CCN-CERT, del Centro Criptológico Nacional. Así comenzó una investigación interna desde el propio Ayuntamiento, que procedió a realizar una auditoría interna experta en ciberseguridad, al mismo tiempo que se iniciaban dos investigaciones externas paralelas, la recolección de evidencias y seguimiento de manera clasificada y la investigación judicial a cargo del Equipo de Investigación Tecnológica de la Policía Judicial de la Comandancia de Almería.

Se consiguió recuperar el dinero, gracias a la cooperación policial y la activación del protocolo antiblanqueo, al recibir una cuenta una transferencia de tanta cantidad de dinero. El juzgado de guardia tuvo que actuar rápidamente, al día siguiente del hackeo, y solicitó un bloqueo de la cuenta, aseguramiento de las cantidades y devolución de las mismas, pero lo cierto es que Alemania contestó pasados ya bastantes meses diciendo que «no entendía lo que se pedía», cuando las órdenes europeas de investigación son formularios de modelo a rellenar en campos, e iguales para todos los países. Y es que hay países como Alemania o Reino Unido (ya salido del Brexit), que su desempeño en cooperación internacional no es precisamente encomiable, sino todo lo contrario. Al igual que muchos países tienen paraísos fiscales, este tipo de delitos no causan alarma social, pero sus autores ganan y mueven mucho dinero, y en ocasiones hay países que simplemente al no colaborar en su persecución facilitan un refugio muy importante en su territorio o cuentas bancarias.

Al banco alemán se le solicitó todo tipo de información sobre la cuenta, titulares, movimientos o datos de conexión. Ciertamente, no se ha conseguido averiguar si el hacker tenía apoyo dentro del Ayuntamiento y algún empleado público le abrió la puerta o no. Al final ha sido el único condenado, que no es poco. El ya condenado cometió varios errores, uno de ellos fue el registro de la cuenta con una de sus identidades, y es que tenía al menos dos conocidas por la Guardia Civil, pero lo relevante serían los lugares desde los cuales se habría conectado a la cuenta del banco alemán.

Como un juego entre ratón y gato, entraron en liza la Guardia Civil, el Juzgado nº 1 de Roquetas de Mar, la Fiscalía de Delitos Informáticos, junto con la Eurojust (Agencia Europea de refuerzo de la cooperación judicial penal) y el hacker. Las autoridades policiales hicieron lo mismo colaborando con Interpol y Europol. Y es que se habían descubierto conexiones a la cuenta del banco que estaba en el foco desde Italia, Francia y Reino Unido, en lo que pareció un viaje de vacaciones cruzando los tres países. Daba la sensación que hay ladrones que no descansan. Una investigación que afectaba ya a cinco países y que luego se ampliaría hasta seis, hizo necesaria la apertura de un expediente en la delegación española Eurojust, sin cuya colaboración no hubiera sido posible, ya que la necesidad de colaboración en más de decena de ocasiones por distintos países requiere en una labor de diplomacia judicial y de tocar correctamente los resortes necesarios. Hasta el punto, que en esta agencia consideran este caso un modelo de buen resultado y funcionamiento de una investigación de esta complejidad.

Teniendo los datos de conexión en distintos países, se libraron las distintas órdenes europeas de investigación y se descubrió que en Francia se conectaron al banco desde una wifi abierta de una estación de tren, lo que resultó ser una vía muerta. Sin embargo en Italia se conectaron desde un hotel de Florencia, un hotel de cinco estrellas que reflejaba un altísimo nivel de vida del delincuente y que luego los investigadores consiguieron acreditar de viajes, gastos, compras e incluso vuelos en avión privado. Sin embargo, esta persona no apareció entre los listados de huéspedes. Pero sí apareció en un Airbnb, cerca de Verona, donde el individuo se alojó con la misma identidad que la cuenta bancaria germana. Además, se pidió a los Carabinieri que recogieran toda la información del huésped e interrogaran a la propietaria del establecimiento. Y de una manera totalmente encomiable, con unos resultados rápidos y diligentes en la colaboración, la dueña contó que este hombre estuvo muy interesado en el WIFI del establecimiento, y llegó a reconfigurar el router por tener gran experiencia informática. Y el hacker cometió otro error, se olvidó algunos efectos en la habitación del establecimiento hotelero como un cargador y un adaptador, por lo que pidió al hotel que se los mandara por correo a un pueblo de Reino Unido.

Resultó que ese pueblo inglés coincidía con la geoposición de una de las conexiones al banco en otro apartahotel. De nuevo se encargó la realización de gestiones a los policías ingleses, sin embargo, como todo lo que hicieron durante la investigación fue infructuoso. Sin embargo, sí que se supo encontrar el domicilio del hacker en Reino Unido a nombre de una de las identidades que utilizaba y que coincidió con otra de las conexiones del banco alemán. Obtenidas las dos identidades, comprobadas las bases de datos de pasajeros de vuelos, se comprobó que a quien se buscaba era de origen americano y un buen aficionado a las vacaciones en España, en Barcelona o Lanzarote, y que solía ir acompañado de su familia en ocasiones, aunque no se descarta que algunos de estos viajes pudieran ser para realizar otros ataques informáticos. Identificado el autor, su empresa de desarrollo de software y servicios informáticos, su familia, domicilio, tarjetas de crédito, e incluso teléfono, y su conexión con otros países como Letonia, sólo quedaba detenerlo. Según la investigación, habría creado una empresa fantasma registrada en Gibraltar y con sede social en Reino Unido, con cuenta bancaria en Alemania, donde recibía el dinero procedente de los fraudes que perpetraba a través de la red. Sin embargo, cada paso que se daba, Reino Unido lo convertía en un suplicio pidiendo ampliaciones de información o aclaraciones absurdas o alegaban que no veían la conexión de la información que se solicitaba con los indicios que se poseían. En alguna ocasión incluso enviaban información de días distintos al que se pedía. Para colmo según las actuaciones, fueran un municipio u otro, actúan distintas policías regionales lo que complicaba todo con distintos puntos de contacto. Intentando contactar incluso con las autoridades policiales británicas, se llegó a comprobar que un caso como éste lo llevaba un «oficial de inteligencia» británico que estaba en prácticas y que en Linkedin aparecía en «búsqueda activa de empleo», ya que trabajaba para la policía a tiempo parcial. Incluso llegaron a poner en cuestión la ponderación de derechos fundamentales realizada por el instructor, algo que las autoridades requeridas tienen completamente prohibido por el derecho europeo, de acuerdo al principio de reconocimiento mutuo, ya que se debe cooperar y colaborar sin poder cuestionar la petición por tener la misma legitimidad que quien la solicita. El pirata informático parecía que estaba muy cómodo en el Reino Unido, tradicionalmente un país con una larga historia de piratas. A la postre, los intentos no fructificaron y harto ya el juez de los capotazos británicos decidió autorizar la entrada y registro en la vivienda y solicitar el desplazamiento y auxilio de la Guardia Civil en Reino Unido. Los agentes llegaron a tener preparado todo para un inminente desplazamiento que nunca llegó. Se hizo el silencio por las autoridades británicas y cuando contestaron fue para decir quince días después que ya no había nadie en el domicilio. Algo que parecía de esperar.

Dos años y medio después, sólo quedaba activar la orden europea e internacional de detención y esperar que apareciera aunque lo cierto es que la esperanza era nula. Año y medio después, (cerca de cuatro años después de ocurrir los hechos e iniciarse la investigación), autoridades polacas se ponen en contacto y manifiestan que tienen detenido en Cracovia al ciudadano norteamericano y que necesitan colaboración para su extradición. Aún así, los trámites se demoraban e incluso llegó a sacar un billete aéreo a Qatar, mientras latían las sospechas de que el ciudadano americano buscado por el Servicio Secreto de Estados Unidos (USSS) y Scotland Yard podría tener algún tipo de vínculo con los servicios de inteligencia de estos países. No es de extrañar ya que en ocasiones los propios países pueden reclutar a este tipo de especialistas para la realización de operaciones encubiertas. Lo llamativo de que pudiera estar buscado por el Servicio Secreto de Estados Unidos se debe a que esta unidad, además de la protección del presidente, también se dedican a la investigación de ciberdelincuencia, fraude y ataques informáticos, a la infraestructura financiera, bancaria y de telecomunicaciones en aquel país.

A pesar de la poca fe en que Polonia entregara a un norteamericano a España, no por la la falta de cooperación ya que siempre es un país colaborador, sino por la delicada situación geopolítica y en medio de la guerra de Ucrania y tras la huida que se produjo en territorio británico, el trabajo continuó a través de Eurojust, Europol e Interpol para conseguir la entrega de este delincuente a España.

Una vez que pisó suelo español, la Fiscalía solicitó prisión provisional, que fue acordada por el juzgado de guardia y posteriormente raficada por la jueza de Roquetas de Mar.

La historia acaba con una condena para este 'hacker' americano de dos años de prisión, de los cuales ha estado en prisión nueve meses, ante el tribunal de la Sección Segunda de la Audiencia Provincial de Almería, ante el que ha reconocido haber perpetrado el ciberataque aprovechando «un agujero en la seguridad». Se mostró, a continuación, conforme con las penas interesadas por la Fiscalía, que inicialmente solicitaba seis años de cárcel como autor de un delito de estafa informática en relación con un delito de acceso a sistema informático ajeno. El tribunal acordó hace dos semanas suspender el cumplimiento de la pena de prisión a condición de que no delinca en un periodo de cuatro años.

Habrá quien piense que es mucha o poca pena para un ataque del que se recuperó todo el dinero, pero lo que no es sencillo es que un hacker americano buscado por Scotland Yard y Servicio Secreto norteamericano, tras una investigación de más de dos años y medio, realizada en seis países, no sólo pueda pisar prisión en suelo español sino además ser condenado en sentencia firme.

• Temas
• España
• Reino Unido
• Roquetas de Mar
• Ciberataque
• Ciberseguridad
• Hackers