spot_img

Presunto ciberataque a la Agencia Tributaria española habría robado 560 GB de datos y autoridades lo desmienten

Análisis

LISA News
LISA News
Contenido creado por el Equipo de Redacción de LISA News con el apoyo del equipo docente de LISA Institute.

El grupo de ciberdelincuentes Trinity exige un rescate de 38 millones de euros antes del 31 de diciembre de 2024 para no filtrar los supuestos 560 GB de datos confidenciales de contribuyentes españoles. La AEAT no detecta ningún indicio de posibles equipos cifrados e investiga la situación. El Ministerio del Interior asegura que es una fake news de los cibercriminales con el objetivo de «generar desconfianza en las instituciones públicas».

El 1 de diciembre de 2024, se dio a conocer un presunto ciberataque masivo contra la Agencia Tributaria Española (AEAT). El portal especializado HackManac lanzó la alerta sobre una posible filtración de datos sin precedentes, atribuida al grupo de ciberdelincuentes conocido como Trinity. Según la información difundida, los ciberdelincuentes habrían logrado acceder y extraer nada menos que 560 gigabytes de información sensible de los sistemas de la AEAT. Esto pondría en jaque la seguridad los datos de millones de contribuyentes españoles.

➡️ Te puede interesar: La geopolítica del ransomware: una amenaza global

La gravedad del supuesto ataque se ve amplificada por la ingente suma que Trinity exige como rescate: 38 millones de euros. El grupo ha establecido un ultimátum, amenazando con publicar toda la información robada si no reciben el pago antes del 31 de diciembre de 2024. Esta táctica de doble extorsión, característica del grupo Trinity, no solo busca el beneficio económico inmediato. También ejerce una presión adicional sobre la víctima al amenazar con la divulgación pública de datos confidenciales de contribuyentes.

Agencia Tributaria no detecta ninguna brecha

Frente a estas noticias, la Agencia Tributaria española ha respondido con cautela. En un comunicado oficial, la AEAT asegura que, hasta el momento, no ha detectado ninguna brecha de seguridad en sus sistemas. No obstante, la entidad ha confirmado que está llevando a cabo una «exhaustiva» evaluación de la situación y mantiene una vigilancia constante sobre sus infraestructuras digitales. Esta aparente contradicción entre la alerta de HackManac y la respuesta de la Agencia Tributaria ha generado un clima de incertidumbre y especulación sobre el posible robo de datos.

➡️ Te puede interesar: Qué es el Ransomware y cómo prevenir este ciberataque

«En relación con el supuesto caso de ataque informático, se han revisado todos los sistemas y en estos momentos están funcionando todos los servicios sin ningún problema y no se ha detectado ningún indicio de posibles equipos cifrados o salidas de datos. La Agencia Tributaria mantiene bajo observación todos sus sistemas para hacer seguimiento», explicó el organismo público en un comunicado emitido horas después de la notificación de HackManac.

Interior descarta ciberataque

El Ministerio del Interior de España ha desmentido categóricamente el supuesto ciberataque del grupo Trinity contra la Agencia Tributaria, calificándolo como una noticia falsa orquestada por cibercriminales. Según fuentes oficiales de Interior, esta desinformación busca «sembrar desconfianza en las instituciones públicas y generar alarma social». Las autoridades han subrayado que todos los sistemas de la Agencia Tributaria funcionan con normalidad y que no se ha detectado ninguna brecha de seguridad ni pérdida de datos. El Ministerio ha instado a la ciudadanía a mantenerse «alerta ante este tipo de bulos y a confiar únicamente en los canales oficiales de información» para evitar caer en trampas diseñadas para socavar la confianza en las entidades gubernamentales.

Acceso desde sistemas menos protegidos

El supuesto ataque ha despertado preocupaciones sobre la vulnerabilidad de las instituciones públicas frente a las amenazas cibernéticas cada vez más sofisticadas. Fuentes cercanas a la investigación sugieren que, de confirmarse la filtración, el punto de entrada de los hackers podría haber sido a través de sistemas menos protegidos, como los de ayuntamientos o diputaciones, para luego saltar a la red SARA (Sistema de Aplicaciones y Redes para las Administraciones) y finalmente infiltrarse en la AEAT. Este modus operandi pondría de manifiesto la necesidad de reforzar no solo la seguridad de las grandes instituciones, sino también la de entidades locales y regionales que pueden servir como puerta trasera para ataques de gran envergadura.

➡️ Te puede interesar: OSINT en la lucha contra el Ransomware

«Es muy probable que la puerta de entrada haya sido un Ayuntamiento o una Diputación. De ahí, saltan a la red SARA y pueden colarse en la AEAT. Así es como están entrando en todas las instituciones públicas. El hecho de que no haya un incidente visible no quiere decir que alguna base de datos no esté comprometida. Puede ser un ataque que haya afectado a alguna réplica de bases de datos. Eso permite que sigan funcionando con normalidad, pero la exfiltración puede ser muy completa. Por ejemplo, imagina que el ransom es en un servidor con las copias de seguridad: todo va a seguir funcionando bien, pero ese fichero de datos es potencialmente muy, muy sensible. Fue lo que ocurrió con el hackeo masivo a Equifax en 2017», explicaron fuentes al diario El Confidencial.

Trinity, una amenaza real

El grupo Trinity, responsable del presunto ataque, se ha ganado una reputación notoria en el submundo del cibercrimen desde su aparición en mayo de 2024. Conocidos por utilizar un ransomware que emplea el algoritmo de cifrado ChaCha20, Trinity ha perfeccionado la técnica de la doble extorsión. Su modus operandi incluye no solo el cifrado de datos, sino también su robo previo, lo que les permite amenazar con la publicación de información sensible si no se paga el rescate. El grupo se ha vinculado a ataques previos contra proveedores de atención médica en Reino Unido y Estados Unidos. Ha demostrado una capacidad alarmante para infiltrarse en sistemas críticos. La sofisticación de sus métodos, que incluyen phishing avanzado, explotación de vulnerabilidades de software y técnicas de movimiento lateral dentro de las redes comprometidas, hace de Trinity una amenaza real.

➡️ Te puede interesar: RansomHub supera a LockBit como el mayor grupo cibercriminal de ransomware

Este incidente ha reavivado el debate sobre la necesidad de invertir en infraestructuras digitales más robustas y en la formación continua del personal en materia de ciberseguridad. Además, ha puesto sobre la mesa la importancia de la colaboración internacional en la lucha contra el cibercrimen, dado el carácter transnacional de grupos como Trinity, que pueden poner en riesgo sectores críticos y vulnerables con sus operaciones sofisticadas.

➡️ Si quieres aprender sobre Inteligencia, Análisis Internacional, Ciberseguridad, Criminología, Prospectiva y más campos, te recomendamos visitar la web de LISA Institute.

Artículo escrito por:

Rubén Asenjo MorillasPeriodista apasionado por la actualidad internacional y la geopolítica. Escribo para entender el mundo en constante cambio y compartir perspectivas que despierten la reflexión y el debate. Comprometido con la búsqueda de la verdad y las historias que impacten e inspiren.

Artículos relacionados

Masterclass y eventos relacionados

Formación relacionada

spot_img

Actualidad

Dejar respuesta:

Por favor, introduce tu comentario!
Introduce tu nombre aquí

spot_img