La noticia se conoció este fin de semana a través de redes sociales y corrió como la pólvora. El grupo de hackers Trinity afirma poseer 560 GB de datos confidenciales de la AEAT, la Agencia Tributaria Española. Y asegura que publicará esos datos el 31 de diciembre de este año. Salvo que alguien pague 38 millones de dólares. Aunque todavía hay que confirmar la veracidad de esta información, este hackeo a Hacienda es uno de los más graves que han sufrido las administraciones españolas en los últimos años. Y, desgraciadamente, no va a ser el último. Este tipo de ataques online son cada vez más frecuentes.
Por un lado, Hacienda es una de las administraciones públicas más importantes de España. Es la encargada de gestionar el sistema tributario y aduanero a nivel estatal y los recursos de otras administraciones. De ahí que tenga en su poder una enorme cantidad de datos e información de millones de empresas y ciudadanos españoles. Que esos datos acaben en manos de terceros, y que puedan acabar en Internet, supone un gran golpe a la credibilidad y profesionalidad de este ente público.
Por otra parte, el ataque sufrido por la Agencia Tributaria no es el primero de su clase ni será el último. A finales de mayo de este año, se ponían a la venta los datos personales de 34 millones de conductores. Esos datos habían salido de la Dirección General de Tráfico. Otra institución clave a nivel estatal. Y si echamos la vista atrás, encontraremos casos similares en universidades, hospitales, ayuntamientos, ministerios y demás organismos públicos.
Cómo ha sido el hackeo a Hacienda
Las filtraciones de datos como la que ha afectado, de confirmarse, a la Agencia Tributaria española tiene como protagonista el ransomware. Se trata de un tipo de malware, es decir, un software para usos ilícitos, que aprovecha agujeros de seguridad en sistemas informáticos de empresas, particulares u organismos públicos para acceder a datos de gran valor. Con esos datos se pueden hacer dos cosas: robarlos o secuestrarlos.
En el primer supuesto, los responsables del ataque amenazan con publicar esos datos en Internet a cambio de una elevada suma de dinero. Normalmente, mediante criptomonedas. En el segundo supuesto, los datos permanecen donde estaban, pero están cifrados. Para volver a acceder a ellos, es necesario pagar un rescate. También elevado y con criptomonedas. El hackeo a Hacienda podría responder a la primera situación, dado que los responsables, el grupo de hackers Trinity, amenaza con publicar los datos a finales de año.
Las primeras declaraciones desde Hacienda son de precaución. Varios medios hablan de que la AEAT está analizando la situación y que, aunque no ha encontrado ninguna brecha, no se puede descartar del todo. Los sistemas informáticos de la Hacienda española son difíciles de abarcar, y no destacan precisamente por contar con equipos de última generación. Algo que contrasta con el afán de esta agencia pública en modernizar sus servicios y prestaciones a empresas y particulares. Pese a contar con medidas de seguridad, un sistema tan complejo y con acceso a datos tan delicados, es susceptible de caer en manos de un ataque de ransomware. Solo hay que abrir un correo electrónico, un documento o un enlace.
El ransomware y el hacking lucrativo
Desgraciadamente, empezamos a acostumbrarnos a este tipo de situaciones. El hackeo a Hacienda ha sido uno más de los muchos que se suceden a lo largo del año en todo el mundo. En el punto de mira están particulares, empresas y organizaciones públicas. Especialmente estas dos últimas. El motivo está claro: tienen acceso a más dinero para pagar rescates y chantajes.
Por otro lado, acceder a ransomware para realizar un ataque informático de este tipo no es demasiado complejo. Desde hace años, expertos y empresas de seguridad alertan de la facilidad con la que es posible comprar este tipo de malware en foros de la dark web. No solo eso. También se pueden adquirir redes de ordenadores o dispositivos secuestrados que pueden emplearse para este tipo de ataques informáticos. No son necesarios conocimientos de hacking. Tan solo disponer del dinero necesario. En la dark web existe todo un ecosistema de creadores de malware, secuestradores de ordenadores para crear redes botnet y, finalmente, clientes que quieren lucrarse con estas herramientas claramente ilegales.
Según la empresa de seguridad Sophos, el ataque medio de ransomware puede dar unos beneficios de 2,73 millones de dólares a quien lo perpetra. Otras fuentes indican que este tipo de cibercrimen tiene un coste de 1,85 millones de dólares por ataque. Además, las empresas u organizaciones víctimas de ransomware tardan una media de 24 días en volver a la normalidad. La buena noticia es que el 97% de víctimas recuperan los datos cifrados o secuestrados.
Ataques informáticos similares en España
Los ataques con ransomware que se han popularizado en los últimos años, como el hackeo a Hacienda, requieren poco esfuerzo por parte del criminal. Y no necesita ser un experto en informática. Basta una relativamente pequeña inversión que luego se recupera. Y las posibles víctimas son muchas.
Prácticamente todas las empresas y administraciones públicas están conectadas, de alguna manera, a Internet. A esto se suma que son sistemas informáticos enormes que combinan equipos nuevos con otros más anticuados o desactualizados –fáciles de acceder porque tienen agujeros de seguridad detectados y denunciados públicamente–. O, simplemente, dan con un empleado que baja la guardia y, por accidente, abre un archivo o enlace que no debía.
Sin salir de España, a principios de verano, nos enterábamos que la Dirección General de Tráfico había sido víctima de un hackeo y que los datos de millones de conductores se habían filtrado en la dark web. Dos meses antes, en marzo de este mismo año, las Fuerzas Armadas también eran víctimas del ransomware. O una empresa subcontratada, más bien. El resultado, acceso a datos personales y sanitarios de decenas de miles de miembros de las Fuerzas Armadas.
En 2024, han sido víctimas de ataques de ransomware, y hackeos de distinto tipo, grandes empresas del Ibex 35, aseguradoras, bancos, organismos públicos, ayuntamientos, Radio Televisión Española (agosto de 2024), grandes superficies como Alcampo, etc. Proveedores de telefonía y electricidad también se vieron con filtraciones de datos de clientes. Y el mes pasado, en noviembre, un laboratorio del CSIC estuvo varias semanas sin Internet, afectando a más de 600 trabajadores.
Hackeos y ransomware en todo el mundo
A pesar de este hackeo a Hacienda, y de otros muchos en los últimos años, es probable que muchos conocieran por primera vez la palabra ransomware en 2017. Ese año, el mundo conocía la existencia de WannaCry, el hasta ahora mayor ataque de este tipo. Afectó a miles de ordenadores y sistemas informáticos de todo el mundo. Se estima que más de 250.000 usuarios de Windows de 150 países se vieron afectados. Las pérdidas estimadas alcanzaban los 4.000 millones de dólares.
Ese mismo año, el malware NotPetya se cebaba con Maersk y Merck, entre otras. La primera es una de las principales empresas de transporte de mercancías por mar. La segunda, una importante farmacéutica. El impacto económico se estimó en 10.000 millones de dólares.
TeslaCrypt también hizo de las suyas. Este troyano infectó decenas de archivos de más de 40 juegos online tan conocidos como Call of Duty, Minecraft o World of Warcraft. Afectó a miles de jugadores, que tuvieron que pagar 500 dólares para liberar los datos de sus ordenadores.
Y si echamos un vistazo a 2023, nos encontramos con casos de lo más variado. A principios de ese año, el servicio postal británico padecía un hackeo del grupo LockBit. Esto paralizó la entrega de cartas y paquetes, así como el pago online y otros servicios que ofrece la Royal Mail. Con todo, el servicio de correos británico se negó a pagar por evitar la extorsión. Y en mayo de ese año, la ciudad de Dallas, en Estados Unidos, sufrió un ataque de ransomware que afectó al ayuntamiento, al departamento de policía y sus sistemas informáticos y de comunicaciones en general.
Las administraciones públicas, en el punto de mira
Hospitales, ayuntamientos, universidades… Cualquier organización o administración pública puede ser víctima de grupos de hackers como Trinity, del que apenas sabemos nada. El motivo es que son relativamente fáciles de atacar, ya que sus sistemas informáticos son complejos. En el mal sentido. Por un lado, abarcan varias sedes, edificios y servidores. Al que tienen acceso decenas de empleados, con distintos niveles de conocimiento sobre ciberseguridad.
Y no todos estos sistemas están al día. Ya sea por falta de presupuesto, dejadez o porque dependen de aplicaciones específicas difíciles de actualizar, muchos de los ordenadores conectados a Internet son viejos y desactualizados. Un caldo de cultivo ideal para que un experto o un grupo de ellos pueda acceder a distancia. Además, muchos de estos organismos, como en el hackeo de Hacienda, tratan con datos personales que tienen mucho valor en el mercado. De ahí que el rescate exigido sea elevado. Una gran ganancia con relativamente poco esfuerzo.
¿Qué puedo hacer yo como ciudadano particular ante el hackeo a Hacienda?
Por parte del ciudadano o empresario que tiene sus datos en Hacienda, no se puede hacer nada. Al menos, directamente. La brecha de seguridad se ha producido en los servidores y/o equipos informáticos de la Agencia Tributaria. Nosotros solo podemos cruzar los dedos y estar alerta. Este hackeo a Hacienda se puede usar de muchas maneras. Así que debemos ser cautos para no ser víctimas de timos o estafas por Internet.
Por ejemplo, criminales de distinta índole pueden enviar SMS, mensajes de WhatsApp y correos electrónicos pidiendo que cambies o proporciones tus datos personales “debido a un incidente del que habrás oído hablar en los medios”. Rebuscado, pero algo habitual cuando los afectados son bancos o empresas con millones de clientes. También puede darse otra situación. Una vez esos datos se publiquen, si ocurre así, esa información se empleará para fraudes online como el phishing. Al contar con datos personales, será más fácil engañar a particulares y profesionales para obtener dinero, acceso a cuentas bancarias o sonsacar más información.
Por nuestra parte, por lo tanto, solo cabe ser precavidos, no dejarnos llevar por el alarmismo, y seguir con los hábitos en seguridad que se suelen recomendar. Como no difundir datos personales por vías no oficiales, entablar contacto con la AEAT, tu banco u otra organización con la aplicación o página web oficial, y no desde enlaces externos, mantener nuestros dispositivos actualizados y salvaguardar nuestras contraseñas y claves.
