La hacienda española podría haber sido hackeada, y en esta clase voy a contarte quién está detrás, cómo esto podría afectarte a ti directamente y, lo más importante, si este ataque se pudo haber evitado. Pero antes de entrar en los detalles, es importante entender cómo hemos llegado hasta aquí. En 2022, se aprobó un presupuesto de más de 1.000 millones de euros destinado a reforzar la ciberseguridad en España.
Estos 1.000 millones se destinaron a la creación de una plataforma nacional para la notificación y seguimiento de ciberincidentes, el fortalecimiento de infraestructuras de ciberseguridad en comunidades autónomas y entidades locales, el apoyo a la ciberseguridad de pymes, micropymes y autónomos, y la promoción de una mayor cultura de ciberseguridad.
Sin embargo, parece que esta inversión no ha sido suficiente para proteger a las entidades públicas.
En 2023, un grupo criminal sustrajo 4.000 gigabytes de datos personales del Hospital Clínic. Cinco días después, exigió un rescate de 4,5 millones de dólares para devolver la información, una demanda que la Generalitat rechazó. Como represalia, el 30 de marzo, los atacantes publicaron entre tres y cuatro gigabytes de la información robada.
Ese mismo año, el Ayuntamiento de Sevilla fue víctima de un ciberataque en el que se exigió más de 1,5 millones de euros como rescate por los datos comprometidos.
Hace unos meses, la Dirección General de Tráfico (DGT) sufrió una grave filtración de datos que afectó a más de 34 millones de conductores.
No es la primera vez que alguna administración pública es comprometida por ciberdelincuentes. Y, por más que ocurren los desastres, no aprenden.
Hoy, 1 de diciembre de 2024, parece que Hacienda ha sido víctima de un ataque del ransomware Trinity. El grupo ruso Trinity afirma tener en su poder más de 560 GB de datos confidenciales de la Agencia Tributaria española. Según noticias, exigen un rescate de 38 millones de dólares para evitar la publicación de la información, dando como plazo hasta el 31 de diciembre de este año. De no recibir el pago, han prometido divulgar los datos.
La Agencia Tributaria asegura que lleva varias horas investigando el incidente y, por el momento, no ha encontrado pruebas que confirmen el supuesto ataque informático. Esto plantea dos posibilidades: que todo sea un farol del grupo Trinity (como ya ha ocurrido en otras ocasiones con ciberdelincuentes) o que hayan conseguido eliminar cualquier rastro del ataque.
Lo curioso de este caso es que, a diferencia de otros comunicados de Trinity, donde suelen ser bastante claros con sus demandas y amenazas, acompañándolas de pruebas concretas del ataque, aquí no han presentado ninguna evidencia que respalde lo que dicen. Además, resulta extraño que mencionen dólares en lugar de Bitcoin o Monero, que son las criptomonedas que habitualmente utiliza este grupo. Tampoco se sabe con certeza a qué periodo corresponden los datos que supuestamente han sido robados.
Independientemente de si el robo de datos resulta ser real o no, este tipo de situaciones no debería sorprendernos.
Trinity es un grupo de ransomware ruso que opera bajo el modelo de Ransomware-as-a-Service (RaaS). Este modelo permite que afiliados externos utilicen las herramientas y técnicas desarrolladas por Trinity para llevar a cabo ataques a cambio de una comisión. Este enfoque es particularmente preocupante, ya que, como comenté en mi artículo sobre las predicciones y tendencias de ciberseguridad para 2025, el uso de la inteligencia artificial potenciará aún más este tipo de actividades.
Trinity es conocido por emplear estrategias de doble extorsión. Esto significa que primero extraen los datos de la víctima antes de proceder a cifrarlos. Los archivos robados son cifrados utilizando un algoritmo avanzado, ChaCha20, dejándolos inutilizables sin la clave de descifrado correspondiente. Esta táctica agrega presión a las víctimas al amenazar con divulgar la información sustraída si no se paga el rescate.
El grupo comparte similitudes significativas con las familias de ransomware 2023Lock y Venus, incluyendo:
Estas similitudes sugieren que Trinity podría ser el sucesor de 2023Lock, lo que refuerza la idea de que este grupo no solo está evolucionando, sino que también está construyendo sobre las técnicas y herramientas de grupos previos.
Mientras leía una noticia sobre el incidente, me encontré con comentarios del tipo: «Por fin los datos de los políticos se van a filtrar» o «Se lo merecen». Sin embargo, quiero recalcar que el principal afectado en este tipo de ataques no es otro que el ciudadano.
Los datos robados pueden ser utilizados para suplantaciones de identidad, fraudes fiscales o incluso chantajes. En mi día a día, veo cómo, a través de campañas de phishing, los ciberdelincuentes logran robar grandes sumas de dinero. Y mientras más información tengan sobre ti, más devastador puede ser el ataque.
Sí y no. Cualquier empresa o institución corre el riesgo de ser atacada, porque no existe una seguridad al 100% frente a la ciberdelincuencia: la tecnología siempre tiene límites. Si alguien te promete seguridad total, te está engañando.
Hay dos tipos de empresas: las que han sido hackeadas y las que lo serán. El verdadero problema, en mi opinión, no es si ya han sido atacadas, sino cómo responden ante el incidente. Prevenir, detectar y responder son pilares fundamentales de una estrategia de ciberseguridad. Sin embargo, el 77% de las empresas no cuenta con un plan de respuesta adecuado.
Es crucial cómo se gestionan los recursos, qué iniciativas concretas se están implementando y cómo se aprende de los errores. Porque, en ciberseguridad, no hace falta aprender de tus propios fallos, puedes aprender de los errores de los demás, y parece que en España somos expertos en ignorar esas lecciones.
Un ejemplo de buenas prácticas que otros países están llevando a cabo son los programas de bug bounty, donde profesionales de ciberseguridad reciben una recompensa por encontrar vulnerabilidades en los sistemas. Esto no previene un hackeo por sí solo, pero es parte de una estrategia de ciberseguridad sólida que, junto a otras medidas, puede marcar la diferencia.
Es importante recordar que «Hacienda somos todos». La negligencia o errores de unas pocas personas pueden no tener consecuencias para ellos, pero sí que tendrán un impacto directo en nosotros. Al final, seremos los ciudadanos quienes paguemos el precio de estas brechas de seguridad.
Únete a hacking snacks y recibe el mejor contenido sobre ciberseguridad y hacking ético
Al suscribirte, aceptas la política de privacidad de rinku.tech y recibir noticias, contenidos, comunicaciones relacionados con la web, gratuitos y premium.
