El Caso Alcasec Expone la Fragilidad del Estado
Hilo sobre por qué Alcasec robó medio millón de datos bancarios con un certificado de la DGT —y por qué su condena no arregla el problema real: el Estado español sigue sin saber proteger tus datos
o Que No Te Cuentan: Alcasec robó medio millón de datos bancarios, aceptó 2 años de cárcel, y el Estado español sigue sin saber quién protege tus datos
Un chico de 22 años accedió a la red de todas las administraciones españolas con un certificado robado de la DGT. La pregunta no es si fue listo. Es por qué fue tan fácil.
José Luis Huertas tenía 19 años cuando lo hizo.
Se hacía llamar Alcasec.
Y entre octubre de 2021 y octubre de 2022 robó más de medio millón de registros bancarios de ciudadanos españoles. No de una empresa. No de un banco. Del Punto Neutro del Consejo General del Poder Judicial. De la red SARA. Del sistema que conecta todas las administraciones públicas del país.
El 27 de mayo de 2026 aceptó dos años y siete meses de cárcel.
Confesó. Colaboró. Devolvió 863.000 euros de ganancias.
Y el Estado sigue igual de expuesto.
El giro polémico
Aquí está el truco que nadie menciona.
Alcasec no hackeó la red SARA con ingeniería de élite. Usó un certificado digital robado de la Fábrica Nacional de Moneda y Timbre para la Dirección General de Tráfico.
Un certificado de la DGT.
La misma DGT donde renovaste tu carné. La misma que tiene tus multas, tu dirección y tu historial.
Eso fue la llave maestra.
Con ella, navegó por la red SARA —el Sistema de Aplicaciones y Redes para las Administraciones— como si fuera un funcionario más. Se conectó al Punto Neutro Judicial. Obtuvo credenciales de un juzgado de Bilbao. Y con esas credenciales hizo 438.099 peticiones a la Agencia Tributaria para acceder a "cuentas bancarias ampliadas".
La ironía definitiva: el Estado español construyó una red que conecta juzgados, Hacienda, Tráfico y registros para que los funcionarios trabajen mejor. Y un adolescente de 19 años la convirtió en mercancía.
Traducción: la digitalización de la administración española no es un avance. Es un mercado negro con interfaz institucional.
"Alcasec vendió 574.908 registros a través de uSms, una pasarela de pagos en criptomonedas. El mayor comprador invirtió 109.876 euros. Tenía antecedentes por estafa y tentativa de homicidio."
Tus datos bancarios, en manos de un delincuente con antecedentes de intentar matar a alguien.
Y el Estado dice que todo está bajo control.
Lo que la condena realmente dice
Dos años y siete meses.
Por robar medio millón de datos bancarios. Por venderlos a delincuentes. Por demostrar que la red de todas las administraciones españolas es un queso gruyère con contraseña.
La condena es corta porque Alcasec colaboró. Facilitó claves. Devolvió dinero. Se mostró arrepentido.
Pero hay algo que no devolvió.
La certeza de que esto no vuelva a pasar.
Porque el problema no era Alcasec. El problema era la red SARA. El problema era que un certificado de la DGT diera acceso al CGPJ. El problema era que un funcionario de Bilbao, engañado por una página falsa, entregara credenciales que luego permitieron 438.099 peticiones a Hacienda sin que nadie hiciera saltar las alarmas.
El problema es que, en 2026, la ciberseguridad de España sigue dependiendo de que los funcionarios no caigan en phishing.
Y eso no es seguridad.
Es suerte.
La pregunta que no te dejará dormir
Si mañana descubrieras que tus datos bancarios, tu historial judicial y tu dirección fiscal están en una base de datos que un chico de 19 años vendió por criptomonedas a un delincuente con antecedentes por tentativa de homicidio, ¿seguiría confiando en el Estado que te prometió protección o preferirías no saberlo?
Alcasec no es un genio.
Es un síntoma.
Un síntoma de una administración que digitaliza sin proteger, que conecta sin segmentar, que construye redes sin muros. La red SARA debería ser la columna vertebral del Estado digital español. En lugar de eso, es una autopista sin peaje donde cualquiera con un certificado robado circula a velocidad de crucero.
Y la pregunta que el juicio no resuelve:
¿Cuántos Alcasec más hay ahora mismo navegando por esa misma red, vendiendo datos que tú ni siquiera sabes que el Estado tiene?
La condena de Alcasec es justicia para él.
Pero no es justicia para ti.
Porque tú no firmaste para que tu cuenta bancaria estuviera en una base de datos accesible desde el juzgado de Bilbao. No elegiste que la DGT y el CGPJ compartieran certificados. No votaste para que medio millón de españoles se convirtieran en mercancía dentro de un mercado negro de criptomonedas.
Eso lo decidió el Estado.
Y el Estado sigue ahí, prometiendo que ahora sí, que ya está todo arreglado, que la red SARA es segura.
Mientras tanto, Alcasec cumple dos años y siete meses.
Y tú sigues sin saber quién tiene tus datos.