El colectivo de hackers conocido como Trinity ha declarado haber sustraído al menos 560 gigabytes de datos de la Agencia Tributaria, lo que incluye información tanto del propio organismo como de los contribuyentes.
Estos delincuentes cibernéticos estarían, presuntamente, pidiendo un rescate de 38 millones de dólares a cambio de no hacer pública esta información, fijando el 31 de diciembre como fecha límite para el pago.
Por su parte, la Agencia Estatal de Administración Tributaria (AEAT) ha señalado que "se está evaluando la situación desde esta mañana y, hasta el momento, no se ha identificado ningún inconveniente. La situación permanece bajo vigilancia".
El blog de Trinity, accesible únicamente a través de la dark web, ha publicado recientemente una imagen que ilustraría este presunto ataque cibernético a través de X. Sin embargo, a pesar de la gravedad del evento, la publicación no proporciona información detallada sobre los datos específicos que han sido comprometidos ni sobre las personas que podrían estar afectadas.
Esta falta de detalles concretos sobre la información sensible implicada, como datos personales, financieros o de identificación y la falta de confirmación por parte de la Agencia Tributaria, hace que, de momento, no se pueda verificar la veracidad del ataque.
Sin embargo, este tipo de filtraciones en la dark web no son infrecuentes, y suelen ser un indicador de vulnerabilidades en sistemas de seguridad. La comunidad cibernética sigue de cerca este caso, esperando más actualizaciones que puedan arrojar luz sobre la verosimilitud del ataque.
Bruselas pedía reforzar la ciberseguridad
A su vez, esto sucede en la misma semana en la que la Comisión Europea ha iniciado este jueves procedimientos de infracción contra 23 Estados miembros, entre ellos España, por no haber trasladado a sus legislaciones nacionales las reglas comunes para elevar la ciberseguridad de empresas y redes críticas en la Unión Europea, una nueva legislación europea que entró en vigor en enero de 2023 y que los gobiernos tenían hasta el pasado mes de octubre para llevar a su regulación nacional.
Bruselas avisa en un comunicado de que la "plena aplicación" de las nuevas normas comunitarias es "clave" para "seguir mejorando la resiliencia y la capacidad de respuesta" des entidades públicas y privadas en estos sectores críticos frente a incidencias graves de ciberseguridad.
La apertura de un expediente sancionador supone iniciar un plazo de dos meses para que las autoridades del país incumplidor tomen medidas de corrección y aseguren el cumplimiento de las reglas comunes.
¿Qué es Trinity?
Trinity es una nueva organización de ciberdelincuentes que opera con un ransomware, o programa malicioso en español, que lleva su mismo nombre. Este grupo ha adoptado tácticas de doble extorsión y otros métodos avanzados, lo que lo convierte en una amenaza considerable según autoridades estadounidenses.
En relación con ataques previos, el Departamento de Salud y Servicios Humanos de EEUU emitió una alerta el 4 de octubre advirtiendo de este grupo, que fue identificado por primera vez en mayo.
Además, el Centro de Coordinación de Ciberseguridad del Sector Salud (HC3) ha revelado que al menos una entidad del ámbito sanitario en EEUU ha sufrido recientemente un ataque por parte del ransomware de Trinity.
Se sospecha que la entidad afectada es Rocky Mountain Gastroenterology, que figura en el portal de filtraciones de Trinity, donde el grupo afirma haber sustraído 330 GB de información.
En agosto, Trinity anunció haber robado 3.63 TB de datos de Cosmetic Dental Group en las Islas del Canal y amenazó con hacer públicos esos datos en septiembre.
El portal de filtraciones de este grupo también menciona a un bufete de abogados en Florida y Georgia, y ha reclamado ataques a organizaciones en el Reino Unido, Canadá, China, Filipinas, Argentina y Brasil.
¿Cómo operan?
Al igual que muchas bandas de ransomware actuales, Trinity primero roba datos sensibles antes de cifrar los archivos de la víctima y luego amenaza con filtrar dicha información si no se paga el rescate. Esto incrementa la presión sobre las organizaciones afectadas y la probabilidad de que se sometan a las demandas de los extorsionadores.
Se cree que los delincuentes obtienen acceso inicialmente al explotar vulnerabilidades en software desactualizado, enviando correos electrónicos de phishing con archivos adjuntos maliciosos o comprometiendo puntos finales de protocolo de escritorio remoto (RDP) con credenciales débiles o robadas. En esencia, utilizan tácticas similares a las de otros criminales para ingresar a las redes de sus víctimas.
El malware, o programa malicioso, también denominado Trinity, presenta similitudes con otros dos tipos de ransomware: 2023Lock y Venus. Todos ellos emplean el algoritmo de cifrado ChaCha20 y comparten valores de registro y convenciones de nomenclatura parecidas.
El programa de estos hackers también comparte código con 2023Lock y utiliza una nota de rescate idéntica a la de ese grupo. Desafortunadamente, en la actualidad no existen herramientas disponibles para descifrar Trinity.