La Policía Nacional y el Centro Nacional de Inteligencia (CNI) vinculan a Francisco Martínez, ex secretario de Estado de Interior durante la etapa de Mariano Rajoy, con una red de inteligencia formada por el hacker Alcasec y que estaba dedicada a cometer ciberataques a organismos públicos y empresas estratégicas para robar datos de organismos públicos y privados.
La operación se ha saldado con la detención de cuatro personas en Madrid, Córdoba y Andorra. Según fuentes de la Comisaría General de Información (CGI) de la Policía Nacional, al exnúmero 2 de Interior se le atribuyen los delitos de organización criminal, descubrimiento y revelación de secretos y blanqueo de capitales.
Es la llamada Operación Borraska, dirigida desde la Audiencia Nacional. Esta se inició en 2024 tras detectarse una serie de ciberataques sistemáticos y sostenidos en el tiempo contra infraestructuras informáticas de organismos públicos, empresas del sector energético, puertos, sistemas de transporte, redes telefónicas y plataformas educativas.
Estas personas constituían una red criminal de alta especialización tecnológica. Su actividad se centraba mayormente en la obtención ilícita, procesamiento automatizado y explotación de información estratégica.
Las pesquisas apuntan a que muchas de las instituciones cuyos sistemas fueron vulnerados podrían no ser plenamente conscientes de la intrusión ni del uso encubierto de sus bases de datos e información empresarial por parte de la red de Alcasec. La sofisticación de los accesos y el camuflaje técnico empleado dificultaron la detección temprana de la actividad ilícita.
Una red de inteligencia privada
La estructura criminal operaba como una auténtica red de inteligencia privada, con funciones claramente diferenciadas: administración tecnológica, desarrollo de herramientas de anonimato, gestión financiera a través de criptoactivos, asesoramiento jurídico, expansión internacional y comercialización en mercados oscuros. Uno de los miembros desempeñaba un rol clave en esta internacionalización, ampliando las operaciones a terceros países mediante contactos profesionales consolidados.
La red instrumentalizó sus relaciones personales y profesionales para presentarse como un entorno legítimo de asesoramiento tecnológico, blanqueando su operativa mediante estructuras societarias y servicios de “consultoría” que facilitaban su inserción en entornos económicos e institucionales. Esa era la tapadera que utilizaban para continuar con sus actividades ilícitas.
La red había desarrollado una plataforma tecnológica integrada que permitía almacenar, indexar y comercializar datos segmentados, individualizados y vinculados a personas físicas, entidades jurídicas y operaciones institucionales. Esta capacidad les permitía elaborar perfiles completos, cruzar información en tiempo real y ofrecer servicios personalizados de consulta a terceros.
Los clientes de la red de Alcasec accedían a través de un bot cifrado en una conocida red social. Toda la operativa estaba alojada en servidores distribuidos en la nube, que el grupo consideraba inaccesibles para los Cuerpos y Fuerzas de Seguridad.
La organización desarrolló una infraestructura tecnológica sofisticada con servidores en la nube, cifrado de extremo a extremo, identidades interpuestas y transacciones con criptoactivos para ocultar sus actuaciones.
Uno de los logros más importantes de esta operación ha sido la intervención y recuperación de la infraestructura tecnológica de la red. A pesar del uso de identidades falsas, criptomonedas, cifrado extremo y rutas anónimas de acceso, los investigadores consiguieron identificar y desmantelar los servidores principales, así como recuperar las bases de datos alojadas en la nube.
Esta actuación ha permitido salvaguardar información sensible vinculada a millones de ciudadanos, entre la que se incluían datos personales procedentes de sistemas educativos, el registro civil, registros de mascotas, abonos de transporte, registros telefónicos y plataformas de facturación de compañías eléctricas. El joven ciberdelincuente Alcasec ya había sido detenido anteriormente por vender información de terceros en internet.
En total han sido detenidas cuatro personas, dos de ellas en Madrid, una en Córdoba y otra en Andorra por su presunta participación en estos hechos. La investigación ha sido coordinada por la Fiscalía de la Audiencia Nacional y dirigida por el Juzgado Central de Instrucción número 3.
La CGI contó con la participación decisiva del Centro Criptológico Nacional (CCN-CERT) dependiente del CNI, así como de la Policía de Andorra. Además, se ha contado con la colaboración internacional de la autoridad judicial de Andorra, la Magistrada de Enlace en Suiza, la Oficina Federal de Justicia y la Policía Judicial–SATI del cantón de Ticino, todos ellos países igualmente afectados por la actividad de esta red.
Su cooperación ha sido esencial para el seguimiento de flujos económicos transnacionales y el aseguramiento jurídico de la actuación operativa.
Causas pendientes
Fuentes de la defensa del expolítico sostienen que sus servicios, en ese ámbito, se limitaron a la mera creación de estas mercantiles, que serían administradas por Huertas en lo sucesivo.
Ahora bien, el Juzgado Central de Instrucción número 3 de la Audiencia Nacional, que investiga las finanzas del pirata informático, indaga también en el supuesto enriquecimiento del expolítico gracias a la actividad en Internet de Huertas.
No es ésta la única causa abierta en la Audiencia Nacional en la que Alcasec ha estado investigado. Otro Juzgado, el Central de Instrucción número 4, se encargó de indagar en la exfiltración de datos de 575.000 contribuyentes.
Cuando fue interrogado por aquellos hechos, Huertas confesó ante este juez José Luis Calama que así lo hizo y que puso estos archivos a la venta.
Alcasec consiguió todos estos datos tras cometer un ciberataque, en 2023, al Punto Neutro Judicial (PNJ), la red de telecomunicaciones que conecta los órganos judiciales con otras instituciones del Estado. El PNJ se gestiona desde el Consejo General del Poder Judicial (CGPJ).
