Fotomontaje del logo de la Agencia Tributaria y un código. Omicrono
Así es Trinity, el ransomware con el que habrían atacado a la Agencia Tributaria para robar más de 560 GB de datos
- Los ciberdelincuentes emplearon un rasomware que lleva su mismo nombre que puede retener datos y dispositivos hasta que no se pague un rescate.
- Más información: Un día con el grupo de élite que lucha contra 'hackers' desde Madrid y ayuda al FBI: "Ya no hay nadie a salvo"
El domingo 1 de diciembre saltaron las alarmas en el sector de la ciberseguridad, y es que un grupo de hackers conocido como Trinity aseguró haber robado al menos 560 gigabytes de datos de la Agencia Tributaria de España (AEAT); entre la que se incluye información del organismo como de los contribuyentes y que podrían hacer pública. Para evitarlo, los ciberdelincuentes han pedido un rescate de 38 millones de dólares, fijando el día 31 de diciembre como la fecha límite para el pago.
Mientras tanto, la Agencia Estatal de Administración Tributaria ha indicado que, desde ayer por la mañana, se encuentran "evaluando la situación y, hasta el momento, no se ha identificado ningún inconveniente. La situación sigue bajo vigilancia". Pero ¿cómo se han hecho los hackers con esta valiosa información? Los ciberdelincuentes utilizaron un ramsomware -un tipo de malware que retiene datos y dispositivos como rehenes hasta que se paga un rescate- que lleva su mismo nombre y que se detectó por primera vez en mayo del año pasado.
Trinity, al igual que otros ciberataques de este tipo, es un malware capaz de secuestrar y cifrar datos de forma que sus propietarios no pueden ni acceder a ellos ni a utilizarlos. Mientras que en el caso de los archivos afectados, estos terminan siendo nombrados con una extensión llamada ".trinitylock". Estos hackers operan desde la dark web, mantienen un nivel alto de anonimato y suelen atacar a objetivos de alto perfil, robando datos sensibles, y luego amenazan con publicarlos si no se paga un rescate.
🚨Cyberattack Alert ‼️
— HackManac (@H4ckManac) December 1, 2024
🇪🇸Spain - Agencia Tributaria (AEAT)
Trinity hacking group claims to have breached Agencia Tributaria AEAT.
According to the post, 560 GB of data were exfiltrated.
Ransom deadline: 31st Dec 24. pic.twitter.com/HJEyYSzAor
El malware Trinity se despliega de manera particular, infiltrándose en los sistemas informáticos a través de diversos métodos de intrusión, como pueden ser páginas web maliciosas, phishing o mediante la explotación de vulnerabilidades del software del ordenador. Una vez que está dentro del sistema, el rasomware recoge datos y trata de ganar privilegios "colándose" como un proceso legítimo.
Al lograr el acceso, el malware intenta expandirse por la red para atacar a múltiples sistemas. Una particularidad de Trinity es que además de cifrar los datos, también los roba. Desde Hive Pro explican que cuando el rasomware se infiltra en el sistema roba los datos que cifrará para que queden en posesión de los hackers y después los cifra con un algoritmo que hace que la víctima no pueda utilizarlos a no ser que use una clave de descifrado.
Por el momento no se conoce una solución que permita descifrar este tipo de rasomware y tampoco hay información sobre cómo está evolucionando este caso. Sin embargo, es importante destacar que en esta ocasión se trata de un caso realmente preocupante debido a la naturaleza de los datos que hay en juego. Y es que la Agencia Tributaria cuenta con información muy sensible de prácticamente todos los españoles.
