¿Sabías que existió en España una ‘startup’ ilegal que vendía tus datos como Netflix vende series? Descubre el caso Alcasec y su increíble infraestructura.
El caso Alcasec: cuando el cibercrimen se viste de startup
No exagero si te digo que la historia de José Luis Huertas—más conocido como Alcasec—es de las más fascinantes (y perturbadoras) del cibercrimen español reciente. Porque aquí no estamos hablando del típico hacker adolescente en busca de fama fácil; estamos ante un joven visionario que convirtió el robo masivo de datos en un negocio tan sofisticado como cualquier unicornio digital español.
Cuando saltó la noticia de su detención en 2023, muchos lo presentaron como "el chico travieso que hackeó a media España". Pero la verdad es mucho más profunda y, sobre todo, inquietante. Alcasec diseñó desde cero una plataforma llamada Udyat – El ojo de Horus, capaz de vender información personal segmentada (desde tu DNI hasta tu IBAN) con la misma facilidad con la que compras unas zapatillas por internet.
Un supermercado online… pero para tu vida privada
Lo primero que me llamó la atención al analizar su modelo fue la escalabilidad y profesionalización del sistema: nada de foros oscuros llenos de jerga incomprensible, ni pagos anónimos vía webs cutres. Lo suyo era casi clonar la experiencia de usuario de Amazon o Netflix: buscabas lo que querías—datos personales o empresariales concretos—y el bot cifrado te atendía con amabilidad robótica las 24 horas.
Piensa por un segundo en esto: cualquiera podía entrar a ese mercado paralelo, pagar con criptomonedas y recibir toda una ficha personalizada sobre ti o sobre tu empresa… ¿Y lo mejor (o peor)? Los sistemas estaban tan automatizados que no hacía falta volver a hackear cada vez: los robots se encargaban de robar y clasificar los datos constantemente.

Los números marean
- Facturación estimada: casi 1.9 millones de euros.
- Más de 32.900 bitcoins encontrados en dispositivos relacionados.
- Cientos de miles en notificaciones cripto entre finales de 2021 y principios del 2022.
¿Lo más salvaje? Instituciones públicas vulneradas sin darse cuenta. Literalmente transformaron bases oficiales en un supermercado online.
Del delito a la fachada empresarial legítima: el truco maestro
Uno podría pensar: “vale, es solo otro chaval listo con ganas de dinero fácil”. Pero aquí había estrategia empresarial real. Alcasec tejió una red societaria impecable usando incluso la imagen pública del exsecretario de Estado Francisco Martínez para dotar todo el tinglado de apariencia legal y consultora tecnológica.
Este detalle es clave porque revela hasta qué punto las fronteras entre lo legal e ilegal pueden difuminarse cuando se aplica mentalidad startupera al cibercrimen. La policía lo define como “amenaza estructural”; yo diría que inventó un modelo exportable internacionalmente si nadie lo paraba.
¿Qué nos dice esto del futuro?
- El cibercrimen se está profesionalizando a niveles nunca vistos en España.
- Las técnicas "business-to-business" ya no son exclusivas del comercio tradicional.
- La ingeniería social y el blanqueo reputacional están cada vez más integrados en los esquemas criminales sofisticados.
¿Y cómo protegernos ante este escenario?
Después de entrevistar a expertos en ciberseguridad (y confieso haber navegado algunos foros oscuros por pura curiosidad), mi sensación es clara: ya no basta con cambiar contraseñas cada X meses o evitar enlaces sospechosos.
La verdadera protección pasa ahora por:
- Auditorías digitales periódicas, incluso para ciudadanos normales (¡hay servicios gratuitos para chequear filtraciones!).
- Presionar a administraciones públicas para que actualicen sistemas obsoletos y mejoren controles internos —España ha avanzado, pero aún hay mucho por hacer (INCIBE)
- Educación digital desde edades tempranas: entender qué datos compartimos y dónde acaban realmente es crucial en esta nueva era.
- Si eres pyme o autónomo, invertir aunque sea mínimamente en protección profesional; sale más barato prevenir que lamentar una fuga viralizada (CCN-CERT).
El dato curioso:
Muchos clientes del "Amazon oscuro" ni siquiera sabían que estaban cometiendo delitos; algunos pensaban contratar asesoría legal real… Otro efecto perverso del camuflaje startupero aplicado al submundo digital español.
Reflexión final: ¿startup criminal o genio incomprendido?
No pretendo glorificar las acciones ilegales ni mucho menos. Pero negar el talento técnico detrás sería hipócrita—la diferencia entre Udyat y cualquier SaaS exitoso está simplemente en la legalidad del producto final. Esto debería abrir debates urgentes sobre ética tecnológica y responsabilidad penal en una sociedad cada vez más dependiente del dato personal como moneda principal.
Para quienes piensan “esto nunca me va a tocar”, recomiendo recordar algo básico: tu información privada ya es mercancía global. Y mientras haya demanda (de aseguradoras, bancos clandestinos o simples curiosos), surgirán nuevos ‘Alcasecs’ listos para llenar ese vacío regulatorio con innovación digna tanto del MIT como del mismísimo Berlín Noir.
Preguntas frecuentes sobre Alcasec y venta ilegal de datos en España
¿Qué tipo de datos vendía exactamente la plataforma Udyat?
Vendían desde DNIs completos hasta cuentas bancarias, historiales telefónicos e incluso detalles empresariales sensibles obtenidos tras vulnerar instituciones públicas españolas.
¿Era posible comprar estos datos sin ser parte activa del mundo hacker?
Sí; precisamente uno de los éxitos (y peligros) del modelo era su accesibilidad tipo “e-commerce”: cualquier persona podía pagar con criptomonedas y obtener información confidencial fácilmente sin conocimientos técnicos avanzados.
¿Qué pueden hacer las empresas españolas para evitar caer víctimas?
Invertir en auditorías regulares, formar equipos internos competentes y mantenerse informados sobre las amenazas emergentes locales mediante organismos oficiales como INCIBE o CCN-CERT ayuda notablemente a reducir riesgos graves.