La policía destapó una red de 188 estafadores digitales tras la detención de Alcasec

Juan Carlos Ortega Guerrero tenía tres apodos ficticios en el lucrativo mundo de la ciberdelincuencia. Dependiendo de su actividad se hacía llamar Lonastrump, cuando su cometido era comprar paquetes de datos de particulares obtenidos de forma ilícita por otros colegas del hampa digital, Diamante o Meliodas, cuando coordinaba a los miembros de un grupo de Telegram —la plataforma de mensajería instantánea de origen ruso— que llenaban sus monederos virtuales aplicando su capacidad estafadora contra usuarios vulnerables.

Ortega Guerrero, nacido en Dos Hermanas (Sevilla) hace 26 años, llevaba un tren de vida tan elevado para un chaval de su edad que levantaba suspicacias entre sus vecinos. Un pensamiento que luego corroboró la investigación judicial al afirmar que no contaba con fuente de ingreso conocida. Por ejemplo, solo en el 2022 dispuso de criptomonedas (activo digital de intercambio) por un importe de 1,2 millones de euros, que estaba agrupado en ocho monederos virtuales. Y este mismo año hasta su detención en junio y posterior encarcelamiento dentro de la tercera fase de la operación Pousada, la caída de los autores del mayor ciberataque a la gran base de datos de la Administración de Justicia, que dejó al descubierto información bancaria de más de 575.000 contribuyentes, habría adquirido diferentes bienes muebles e inmuebles por un valor superior a los 500.000 euros.

Cuando los agentes de la policía entraron en su casa de Dos Hermanas el pasado 10 de junio, en virtud de una orden acordada por el juzgado de la Audiencia Nacional que instruye los hechos, a Ortega Guerrero le intervinieron en una primera inspección diversas joyas, relojes alta gama y 2.750 euros en efectivo. Pero antes de intervenir los equipos electrónicos, los investigadores se quedaron perplejos por otro hallazgo inesperado: en una habitación guardaba un arsenal de armas y munición.

Colocadas con mimo, tenía una escopeta de cañones superpuestos, un subfusil con dos cargadores, una pistola con un cargador, 26 cartuchos de munición calibre 22 y otros once de munición calibre 7,65. Tras notificar esta intervención, el juez instructor José Luis Calama acordó inhibirse a los juzgados de Dos Hermanas por si los elementos encontrados fueran constitutivos de delitos de tenencia ilícita de armas, así como de un delito de depósito de armas de guerra y municiones.

Intervención del CNI

De forma posterior, los agentes incautaron en la vivienda todo el material relativo a sus actividades delictivas y su vinculación al ciberataque perpetrado por Alcasec, apodo del joven madrileño de 20 años José Luis Huertas Rubio, y su compañero Daniel Baíllo Escarabajal, alias Kermit, murciano de 30 años. Una acción que, según describió el juez, puso en riesgo la «seguridad nacional» por la afectación de sistemas críticos del Poder Judicial y de la Agencia Tributaria. Un agujero que provocó la intervención de la unidad informática del Centro Nacional de Inteligencia (CNI).

Los agentes llegaron a Ortega Guerrero gracias a los efectos intervenidos en los registros de Alcasec a principios de abril y la colaboración judicial prestada por esta suerte de Robin Hood digital que pregonaba en entrevistas, tapado con una máscara, conocer datos del 90 % de los españoles.

De los análisis forenses realizados por la Unidad de Informática y Comunicaciones de la Comisaría General de Información se permitió identificar a la persona que se encontraba detrás de la identidad de Lonastrump. El sobrenombre utilizado por el mayor comprador de los datos robados por Alcasec y Kermit. Concretamente, Ortega Guerrero habría adquirido 15.284 registros distribuidos en 30 paquetes con información bancaria de cientos de contribuyentes. Todo ello en menos de 24 horas. Entre el 20 y el 21 de octubre del 2022.

Esta actividad no era nueva para él, ya que a través de la página web restringida donde se vendió el contenido extraído del servidor de Hacienda, llamada «usms.me», había venido comprando desde septiembre del 2021 información privada de ciudadanos españoles para realizar posteriores estafas.

Cazado en plena estafa

En la vivienda de la localidad sevillana, entre cajas de zapatillas deportivas sin estrenar, los agentes cazaron en plena faena al procesado con un ordenador portátil abierto. Le ordenaron retirarse del aparato y entonces observaron activa una pestaña de una plataforma de envío masivo de SMS (mensajes de móvil) junto con 24 teléfonos y 114 tarjetas de telefonía listas para su uso. Asimismo, en el historial de navegación del ordenador se encontraron paneles dedicados a la obtención de contraseñas mediante técnicas de phishing (correos para engañar a la víctimas suplantando la identidad de una entidad legítima) de clientes de 20 bancos españoles.

Pero lo que los agentes no esperaban encontrar tras la supervisión de los efectos intervenidos era una información de incalculable valor. A través de dos identidades en la plataforma de mensajería Telegram, Diamante y Meliodas, este chaval de 26 años administraba y coordinaba una red de 188 contactos de ciberdelincuentes. Un hallazgo que ha servido a los investigadores para iniciar nuevas pesquisas, triangular estos nombres con otros grupos y reactivar líneas de trabajo que estaban en barbecho.

Del mismo modo, la particularidad de este grupo es que usaban para su actividad la técnica del smishing: distribuir mensajes de texto falsos para engañar a los usuarios para que descarguen programas maliciosos y entrar en sus dispositivos. Una técnica que se asocia a la comisión de diferentes actividades ilícitas, según el juez. En suma, los investigadores del ciberataque de Alcasec descubrieron un «diamante» en bruto con esta red de contactos. Ahora solo les queda ponerles cara.

---

---

---