Es noticia
De falsa alarma a 'agujero' en Interior: las teorías del supuesto 'hackeo' a la Agencia Tributaria
  1. Tecnología
"Ahora mismo, todo puede ser"

De falsa alarma a 'agujero' en Interior: las teorías del supuesto 'hackeo' a la Agencia Tributaria

La AEAT asegura que no se ha "detectado ningún indicio de cifrado de sistemas, ni de entrada, ni de robo de datos", pero varias pistas indican que la realidad podría ser diferente

Foto: Imagen de archivo de las oficinas de la Agencia Tributaria. (Europa Press)
Imagen de archivo de las oficinas de la Agencia Tributaria. (Europa Press)
EC EXCLUSIVO Artículo solo para suscriptores

Pocas certezas y muchas teorías. Esta es la situación que se vive casi 48 horas después de darse a conocer el que, de confirmarse, podría ser uno de los ciberataques más comprometedores para el Estado de los últimos años. El pasado fin de semana, el grupo de hackers Trinity anunció en su página de filtraciones que había robado a la Agencia Tributaria 560 GB de datos. Daba de plazo hasta el próximo 31 de diciembre para pagar un rescate (de cuantía desconocida) que evitaría la publicación de información comprometedora para la AEAT y para millones de ciudadanos. Se desataba así un estado de absoluto nerviosismo y confusión en diferentes estamentos de la Administración del Estado y entre los especialistas en ciberseguridad más experimentados del país. La AEAT asegura que no se ha "detectado ningún indicio de cifrado de sistemas, ni de entrada, ni de robo de datos", pero varias pistas indican que la realidad podría ser diferente.

"Ahora mismo, todo puede ser. Hay tantos indicios que apuntan a que no hay nada, como a que el ciberataque ha ocurrido de verdad. Si me preguntas, creo que hay un 50-50 de probabilidades", explica a El Confidencial un especialista en ciberseguridad consultado que pide mantener su anonimato. Dado lo extraño del caso, casi nadie quiere hablar del tema con nombre y apellidos para evitar posibles perjuicios.

"A mí me da igual. Yo digo lo que pienso tras hablar con personas con conocimiento de lo que se está viviendo en la AEAT, y hay información contradictoria", explica Román Ramírez, especialista en ciberseguridad y exasesor del Gobierno en la Estrategia de Seguridad Nacional. Fuentes del Ministerio de Interior consultadas por este diario señalan también que, pese a la versión oficial de la AEAT, el anuncio del robo de datos es perfectamente creíble. ¿Qué está pasando de verdad?

Fuentes conocedoras de la investigación señalan que, a día de hoy, no se ha encontrado todavía en los sistemas de la Agencia Tributaria ninguna prueba de que el hackeo se haya producido. No hay archivos cifrados con la extensión .trinitylock, ni ningún tipo de instrucción de cómo ponerse en contacto con los ciberdelincuentes para negociar un posible rescate. El CCN-CERT, dependiente del CNI, se ha encargado de parte de la investigación, y la Policía Nacional se ha puesto en contacto para prestar asistencia de ser necesario. Sin embargo, al no haberse producido entrada ilícita en los sistemas de la AEAT, no hay hecho que denunciar... De momento.

Foto: Fachada de la Agencia Tributaria. (Archivo)

Este es el primer gran 'pero' que varios especialistas contraponen a esta versión. Que la Agencia Tributaria no haya encontrado pistas del acceso no quiere decir que no se haya producido. Una hipótesis que gana peso es que el ataque se haya realizado a otro organismo de la Administración del Estado y, desde allí, se haya accedido a los sistemas de la AEAT. O, algo incluso más sofisticado: los atacantes habrían logrado hacerse pasar por otro organismo público, solicitado los datos a los servidores de la AEAT, que los habrían facilitado sin inconveniente. Desde el punto de vista legal y de privacidad, la AEAT estaría en lo cierto: no se ha producido acceso ilegal ni robo de datos a sus sistemas. Pero, en la práctica, esa información habría acabado en manos de ciberdelincuentes. El daño se ha producido, otra cosa es quién es el culpable.

Algo así sucedió hace justo dos años, cuando el joven hacker José Luis Huertas Rubio, conocido como Alcasec, y su socio Daniel Baíllo Escarabajal, se dieron cuenta de que, colándose en los sistemas de la Policía Nacional, tenían acceso a los del Punto Neutro Judicial (PNJ) del Consejo General del Poder Judicial (CGPJ). Fue entonces cuando crearon una página falsa del PNJ, se hicieron con las claves de dos funcionarios de Bilbao y, con ellas, se colaron en el PNJ real a través de los sistemas de Policía. Una vez dentro del PNJ, había una función llamada "cuentas ampliadas de la AEAT" con la que se podían acceder a datos tributarios. Dicho y eso.

placeholder La directora general de la Agencia Tributaria, Soledad Fernández Doctor. (EFE)
La directora general de la Agencia Tributaria, Soledad Fernández Doctor. (EFE)

Fue así como ambos lograron robar la información bancaria de más de 500.000 contribuyentes en España, datos que acabaron vendidos por miles de euros y contribuyeron a generar más de 1,8 millones de euros de ingresos a Huertas de forma ilícita. La AEAT se libró de sanción por parte de la Agencia Española de Protección de Datos (AEPD) porque esta entendió que, legalmente, quien había sufrido la intrusión había sido el CGPJ y los sistemas de Policía Nacional. La realidad es que, independientemente de quién tuvo la culpa, los datos tributarios quedaron al descubierto. ¿Podría haber pasado ahora algo parecido?

"Este escenario se repite de manera recurrente. Ni la Policía Nacional ni la Administración Pública parecen querer tapar sus agujeros. No nos tomamos en serio la lucha contra la ciberdelincuencia", señala una fuente del Ministerio de Interior consultada. Se da la coincidencia de que la web de cita previa del DNI, dependiente del Ministerio de Interior, dejó de estar operativa desde el domingo hasta media tarde de ayer lunes. No fue la única. La web de Policía Nacional estuvo también caída, al igual que la de la Guardia Civil y la del DNI electrónico. "Me parece demasiada casualidad", desliza Román.

El incidente hizo sospechar a muchos especialistas, por la coincidencia en el tiempo de ambos incidentes. ¿Estaban tapando los técnicos de Policía Nacional un agujero de seguridad que les llevó a desconectar durante día y medio la web de citas del DNI? ¿Podría tener algo que ver con el supuesto ataque a la AEAT? Consultado al respecto, un portavoz de Policía Nacional asegura que el incidente se debió a un corte en el suministro eléctrico de los centros de datos que el cuerpo policial mantiene en El Escorial (Madrid).

placeholder Imagen de la filtración anunciada por Trinity en su página en la dark web. (EC)
Imagen de la filtración anunciada por Trinity en su página en la dark web. (EC)

"No creo que la coincidencia haya sido accidental. Y todo esto es muy raro por otros motivos. Lo que sabemos de anteriores ataques de Trinity indica que son gente profesional y que estudian bien a sus víctimas. Es verdad que la cifra que dan de revenue de la AEAT de 38 millones no tiene sentido. Eso son ingresos, pero la AEAT no tiene ingresos. Algunos pensaron que era la cifra de rescate, pero tampoco. Llevo todo el día buscando como loco en el BOE a ver de dónde puede venir esa cifra", confiesa Ramírez.

Hay una explicación que puede aclarar no solo ese dato, sino también por qué la Agencia Tributaria dice no saber nada de este ciberataque. "Es posible que los hackers en realidad se hayan colado en una subcontrata de la AEAT, en una de las muchas empresas que les dan servicios, y crean que es en realidad parte de la AEAT. O tal vez lo han dicho así porque vende más decir que has hackeado a un Estado que a una empresa desconocida que les da servicio", explica una fuente consultada. "Otra opción es que hayan entrado en las agencias tributarias de comunidades autónomas o grandes ayuntamientos. Tienen el mismo nombre, pero no dependen ni tienen nada que ver con la AEAT", añade.

"No tengo conocimiento. Eso no quiere decir que no haya ocurrido. Pero te digo una cosa: hasta que llegue el 31 de diciembre no estaré tranquilo"

¿Qué pasará ahora? ¿Llegaremos a saber qué ha ocurrido de verdad? "Si esto lo gestionan bien desde el Gobierno, nunca sabremos nada. Si el ataque ha ocurrido, deberían estar ya gestionando el pago de un rescate, se pagará, el anuncio desaparecerá de la web de Trinity, nadie dirá nada y nos olvidaremos para siempre", señala Román Ramírez. Empresas como Coveware se han hecho un hueco ayudando a organizaciones y gobiernos a negociar el pago de rescates tras un ciberataque. En caso de administraciones públicas, el monto luego se trocea, se otorga como contratos de consultoría a firmas intermediarias y aseguradoras, y es imposible rastrearlo.

El próximo 31 de diciembre es la fecha límite para realizar el supuesto pago. Ese día, justo después de devorar 12 uvas y brindar por el 2025, pueden pasar dos cosas: absolutamente nada (con lo que la teoría del pago del rescate ganaría enteros), o la publicación de información sensible de cientos de miles de contribuyentes. "Yo no tengo conocimiento de nada", reconoce un alto funcionario consultado del Ministerio de Hacienda. "Eso no quiere decir que no haya ocurrido algo. Pero sí te digo una cosa: hasta que llegue el 31 de diciembre no estaré tranquilo".

Pocas certezas y muchas teorías. Esta es la situación que se vive casi 48 horas después de darse a conocer el que, de confirmarse, podría ser uno de los ciberataques más comprometedores para el Estado de los últimos años. El pasado fin de semana, el grupo de hackers Trinity anunció en su página de filtraciones que había robado a la Agencia Tributaria 560 GB de datos. Daba de plazo hasta el próximo 31 de diciembre para pagar un rescate (de cuantía desconocida) que evitaría la publicación de información comprometedora para la AEAT y para millones de ciudadanos. Se desataba así un estado de absoluto nerviosismo y confusión en diferentes estamentos de la Administración del Estado y entre los especialistas en ciberseguridad más experimentados del país. La AEAT asegura que no se ha "detectado ningún indicio de cifrado de sistemas, ni de entrada, ni de robo de datos", pero varias pistas indican que la realidad podría ser diferente.

Ransomware Ciberataque
El redactor recomienda