La historia del joven hacker español José Luis Huertas Rubio, conocido como Alcasec, ha dado un giro que mezcla cibercrimen, instituciones públicas y corrupción política. A sus 21 años, Alcasec acumula múltiples detenciones por delitos informáticos, siendo la más reciente la Operación Borraska, una investigación de gran escala dirigida por la Audiencia Nacional que ha destapado una sofisticada red de robo, comercialización y blanqueo de datos personales a nivel nacional.

Una auditoría pública firmada por un ciberdelincuente

Lo más sorprendente del caso es que, poco antes de su octava detención, el Ayuntamiento de Madrid adjudicó un contrato público a la empresa de Alcasec, Havenio Technology SL, para auditar aplicaciones móviles municipales. El contrato, valorado en 9.196 euros, se ejecutó entre septiembre y diciembre de 2024 bajo la supervisión de la Oficina de Protección de Datos del consistorio.

Según las declaraciones oficiales, se trató de una contratación por libre concurrencia en la que participaron tres empresas, siendo Havenio la que presentó la oferta más económica. Sin embargo, el procedimiento no aparece publicado en la plataforma de contratación municipal, lo que sugiere que fue un proceso negociado sin publicidad.

La adjudicación se realizó pese a que Huertas Rubio ya había sido detenido dos veces en ese mismo año por ciberataques graves. Y lo más alarmante: la operación fue facilitada por Francisco Martínez, exsecretario de Estado de Seguridad, hoy en prisión provisional por su rol central en la red de Alcasec.

El rol de Francisco Martínez: asesor legal y facilitador institucional

De acuerdo con la jueza María Tardón, el ex número dos del Ministerio del Interior habría sido clave en la “blanqueo institucional” de Alcasec, promoviendo su inserción en el ámbito académico y profesional como experto en ciberseguridad. Martínez habría mediado para lograr acuerdos con entidades como la UNED y el propio Ayuntamiento de Madrid, al tiempo que ayudaba al hacker a constituir empresas pantalla como Havenio Technology y Horus Corp.

Estas empresas no solo le servían para emitir facturación simulada, sino también para aparentar una fachada legal que encubría actividades ilícitas. A través de servidores en Suiza, pagados con criptomonedas, la red almacenaba y comercializaba datos robados de instituciones como la CNMC, la DGT, el Registro Civil, puertos, y empresas energéticas y logísticas.

Martínez incluso habría accedido a estos datos mediante un bot cifrado en Telegram proporcionado por Alcasec, realizando al menos 21 consultas. También se le atribuye haber asesorado a la madre del hacker para destruir pruebas durante la investigación judicial.

Operación Borraska: Un golpe al corazón del Estado digital

La detención de Alcasec en mayo de 2025 es el desenlace de la Operación Borraska, una investigación iniciada tras una serie de ciberataques sostenidos contra infraestructuras públicas y privadas. La red desarrollada por Huertas operaba con técnicas avanzadas de anonimato, cifrado, identidades falsas y uso intensivo de criptomonedas. Los datos extraídos eran organizados, indexados y vendidos a través de plataformas ocultas como Udyat, también conocida como El ojo de Horus.

Entre sus ataques más notorios está la intrusión en el Punto Neutro Judicial del CGPJ, desde donde obtuvo información bancaria de más de 575.000 contribuyentes, transferida posteriormente a servidores en Lituania y comercializada en el mercado negro por más de 500.000 dólares en criptomonedas.

Otros objetivos de Alcasec incluyeron a empresas como HBO, Burger King y Holaluz, así como organismos como la Policía Nacional, el Ministerio del Interior y varios ayuntamientos, de los que logró desviar fondos e incluso generar carnés de conducir falsos.

Una carrera delictiva desde la adolescencia

El historial de Huertas es extenso: comenzó a los 15 años hackeando HBO para regalar cuentas premium y no tardó en escalar a objetivos más ambiciosos. Manipuló sistemas de transporte público, accedió a registros médicos y robó información de partidos políticos. A pesar de sus antecedentes y de haber pasado por centros de menores, el joven logró construir una imagen pública de hacker reformado, aprovechada para infiltrarse en entornos legales de ciberseguridad.

¿Quién vigila al vigilante?

Este caso revela una falla estructural grave en los procesos de contratación y validación de antecedentes en entidades públicas. Que una administración local confíe tareas críticas de seguridad a un hacker investigado y protegido por un alto cargo del Estado no solo es preocupante, es un riesgo sistémico.

La historia de Alcasec nos recuerda que la ciberseguridad no se limita a sistemas y firewalls: también depende de las decisiones humanas, la ética y la transparencia institucional. A medida que se revelan más detalles de la Operación Borraska, queda claro que el mayor peligro no siempre proviene del exterior.