No ha sido un fin de semana tranquilo para la Agencia Tributaria. La compañía de ciberseguridad Hackmanac, especializada en el análisis de amenazas cibernéticas, ha advertido sobre un ciberataque dirigido a la Agencia Tributaria mediante el ransomware Trinity, que habría sustraído un paquete de datos de 560 GB.
De ser cierto, se trataría de uno de los hackeos de mayor relevancia internacional de los últimos años, dada la sensibilidad de los datos a los que habría tenido acceso. La Agencia Estatal de Administración Tributaria, por su parte, se encuentra “evaluando la situación”, al mismo tiempo que confirma no haber detectado ninguna salida de datos que pueda confirmar dicha amenaza. Pero, ¿es esta explicación suficiente para desmentir la información?
🚨Cyberattack Alert ‼️
— HackManac (@H4ckManac) December 1, 2024
🇪🇸Spain - Agencia Tributaria (AEAT)
Trinity hacking group claims to have breached Agencia Tributaria AEAT.
According to the post, 560 GB of data were exfiltrated.
Ransom deadline: 31st Dec 24. pic.twitter.com/HJEyYSzAor
Secuestro y rescate por los datos robados
Como es habitual en estos casos, los ciberdelincuentes confirman haber secuestrado y cifrado los datos y, bajo la amenaza de filtrarlos, reclaman al Estado el pago de un rescate antes del próximo 31 de diciembre. En el caso de no llevarse a cabo dicho pago, los datos podrían venderse al mejor postor o liberarse para que sean explotados por el resto de bandas criminales.
Pese a que se ha difundido que el pago del rescate está cifrado en 38 millones de dólares, la cifra no es del todo cierta. El grupo ha fijado en dicha cantidad el valor estimado de los datos sustraídos y se debe tomar como referencia para, a posteriori, negociar el monto total que reclaman, cuya cantidad no ha sido desvelada. Al menos, públicamente.
La Agencia Tributaria ha negado tener evidencia de dicha incursión en su base de datos confirmando, además, que todos los sistemas continúan funcionando con normalidad. Sin embargo, esto no significa necesariamente que la seguridad del sistema no haya sido violada, tal y como afirma Marijus Briedis, CTO de NordVPN, “los ciberataques pueden ocurrir sin señales visibles inmediatas, como en el caso del ataque a SolarWinds, que fue altamente sofisticado y permaneció sin ser detectado durante meses, a pesar de su amplio impacto en numerosas redes gubernamentales y corporaciones de alto perfil (…) este tipo de ataques demuestra cómo los hackers pueden permanecer en una red de manera persistente sin ser detectados inmediatamente”.
Esta explicación se adaptaría a la perfección al funcionamiento de Trinity, que una vez se infiltra en el sistema, trabaja para escalar los privilegios mediante la suplantación de las credenciales, con el objetivo de evitar hacer saltar las diferentes alertas de seguridad y recolectar el máximo de información bajo la aparente normalidad del sistema. Para lograr la infiltración, utiliza ataques de phishing, webs maliciosas o brechas vulnerables que no hayan sido detectadas previamente y que den acceso a la información.
Qué tipo de información podría haber sido robada
Uno de los motivos que está generando algunos interrogantes en torno a la veracidad de dicho ataque es que no se ha revelado qué información contiene la base de datos que podrían haber obtenido. Por lo tanto, no existe ninguna certeza sobre los registros que podrían estar comprometidos. Lo único que se sabe con certeza es que en las bases de datos de la AEAT permanecen detalles actualizados de todos los contribuyentes de nuestro país, por lo que cualquier robo podría tener consecuencias catastróficas en términos de privacidad.
Según se describe en WatchGuard, Trinity es un ransomware relativamente nuevo dentro del ámbito de la ciberseguridad, habiendo sido detectado por primera vez en mayo de 2024. Actualmente, cuenta con un historial de 12 víctimas, ninguna de ellas española hasta la fecha. Los archivos que secuestra son renombrados con la extensión “.trinitylock” y únicamente se pueden desencriptar tras la introducción de una clave que está en posesión de dicho grupo y solo es desvelada tras el pago del rescate. Mientras tanto, quedan inutilizables para sus propietarios. En este caso, la Agencia Tributaria.
Desde ADSLZone hemos acudido a Javier Cuervo, profesor del Grado de ADE en UNIE Universidad, que expone que “el supuesto hackeo a la Agencia Tributaria sigue sin confirmarse. La AEAT lo niega, pero esperamos una confirmación o un desmentido más detallado (…) la falta de cobertura internacional genera dudas sobre su alcance real”. Sin embargo, continúa, “medidas como la suspensión del teletrabajo muestran que la amenaza se toma en serio. Casos recientes, como el hackeo a la DGT en mayo de 2024 o la filtración de datos de policías en 2022, confirman que los organismos públicos son objetivos frecuentes. Aunque el ataque podría no haberse concretado, el riesgo sigue presente”.
En el caso de que la filtración fuera confirmada, los datos de miles de ciudadanos de nuestro país estarían en peligro. En función de la base a la que hayan tenido acceso, hablaríamos de información fiscal y bancaria, datos personales e, incluso, el historial tributario de las víctimas.
Fuente: adslzone