Podría ser el argumento de una película, la Agencia Tributaria de España tiene hasta el 31 de diciembre en plenas campanadas de Nochevieja para responder al chantaje de un grupo de hackers que aseguran haber accedido a su sistema y robado 560 GB de datos. Precisamente el grupo que afirma haber conseguido este golpe se llama Trinity, como el personaje de Matrix que consigue hackear la Hacienda de Estados Unidos en la cinta de 1999. La AEAT niega este ataque que, de confirmarse, podría elevar el riesgo de los ciudadanos españoles a ser víctimas de una estafa online en los próximos meses.
Los ciberdelincuentes han dado de plazo hasta el 31 de diciembre a medianoche para llegar a un acuerdo con Hacienda, si quieren recuperar la información robada a cambio de una suma importante de dinero que aún no se ha anunciado. Así lo han indicado en su propio portal online disponible solo en la dark web. El anuncio ha sido compartido por la plataforma Hackmanac, observador con gran experiencia en las amenazas virtuales.
De momento, es la palabra de la AEAT contra la de la banda Trinity. Los ciberdelincuentes, "no han publicado ninguna prueba que sostenga el secuestro de datos" explica un experto en ciberseguridad a EL ESPAÑOL - Omicrono. Son varias las hipótesis que se barajan actualmente sobre el ataque, pero los expertos coinciden en que debe servir de aviso a los contribuyentes, para que extremen las precauciones ante cualquier mensaje en nombre de la AEAT que reciban en adelante.
Buscando el 'phishing' dirigido
Los 560 GB de datos no son una cifra pesada para la cantidad de información que maneja la Agencia Tributaria en España, pero lo importante no es la cantidad, si no la sensibilidad de los datos que puedan haber extraído los piratas informáticos. José Antonio Izquierdo López, Cybersecurity Competencer Manager de Innovery by NEVERHACK, aconseja en una entrevista con este diario, no entrar en pánico.
La banda no ha dado muestra o explicación sobre la naturalidad de los datos robados. Los datos más jugosos serían conocer la lista de morosos o los datos de los fiscales de los usuarios. Estos no servirían para acceder a cuentas bancarias inmediatamente, pero sí son de gran ayuda para personalizar los ataques, crear estafas más convincentes.
Cada año los piratas informáticos aprovechan momentos clave como la campaña de la Renta para estafar a un mayor número de víctimas. Con esta información pueden conocer si algún ciudadano o empresa tiene algún proceso pendiente con la agencia y está esperando una notificación de la agencia.
"Ahora sé que estás esperando una notificación de Hacienda, y te mando un Whatsapp o SMS que va muy bien dibujado", explica José Antonio Izquierdo. Por esta razón, es importante revisar aquellos mensajes que lleguen, no usar enlaces o descargar documentos que no se han solicitado y siempre estar alerta; tomar estas medidas como un hábito.
La Administración advierte con frecuencia que desde sus instituciones no se envían notificaciones en las que haya que realizar algún tipo de acción como pagar una multa, solo son informativas. Después el ciudadano tiene que ir por su cuenta a las oficinas, llamar por teléfono o entrar en el servicio online oficial correspondiente.
Un ataque sin pruebas
Este tipo de anuncios por parte de los propios ciberdelincuentes reclamando un ataque o anunciando la venta de datos robados suelen recibirse con cautela en el sector, hasta que la entidad o víctima lo confirma. La AEAT niega desde el primer momento el ataque, aseguran no haber detectado ningún indicio de posibles equipos cifrados o robo de datos, "se está evaluando la situación desde esta mañana y, hasta el momento, no se ha identificado ningún inconveniente. La situación permanece bajo vigilancia", señalaba a EL ESPAÑOL.
Esa falta de evidencias podría suponer que aún no se haya localizado la base de datos afectada. Las fuentes consultadas por este periódico explican que sería posible que el sistema atacado fuera una copia de su base de datos, las cuales se suelen tener por seguridad ante ataques o fallos informáticos. Algunos grupos de hackers cifran y roban de estas copias sin necesidad de bloquear por completo a su víctima, lo que no impide que sigan extorsionandolas.
También se baraja la posibilidad de que no sea la institución la que ha sido realmente atacada, sino alguna empresa que trabaje para ellos. Los hackers hablan de un revenue o beneficio de la víctima de 38 millones de dólares, pero al ser un organismo público no tiene beneficios. Podría tratarse de una empresa asociada a la AEAT.
La falta de muestras o pruebas de los datos obtenidos es otro motivo para sospechar, según detalla uno de los expertos consultados. Ante un caso ransomware lo normal es que, para presionar en la extorsión, se muestren al menos algunos documentos para probar que realmente se ha accedido a esa información clave.
Por otro lado, "el tipo de ataques que ha realizado en los últimos meses esta banda no va especialmente dirigidos a la Administración pública". En el último año solo figura este ataque en España en su listado de acciones, el que cuelgan en su web para reclamar el golpe. Aún así, no lo descartan como posible. La Agencia Tributaria no está obligada a informar publicamente del ataque, salvo a los organismos encargados de realizar una investigación. En el ritmo de ataques detectados en España y el resto del mundo en los últimos años, lo que tienen claro todos los expertos es que en algún momento todos pueden ser víctimas de alguno.
Este no es el primer gran hackeo que sufre la Agencia Tributaria en los últimos años. En 2023 se envió a prisión provisional al joven detenido por el ataque al Punto Neutro Judicial. Con 19 años, José Luis Huertas Rubio, quien actúa bajo el alias de Alcasec, accedió a los datos de, en total, 575.186 contribuyentes, almacenados en bases de la Agencia Tributaria. Dentro de la red Sara a la que pertenece la AEAT, el Servicio Público de Empleo Estatal (SEPE) y la DGT, entre otros, también se han visto afectadas en años anteriores por importantes hackeos.
Cómo funciona Trinity
A través de un ataque clásico, mediante un correo electrónico o un enlace, los piratas informáticos comprometen el sistema y roban credenciales. Puede que alguién encontrará un acceso previo, utilizado por otros atacantes o una vulnerabilidad que les abriera las puertas. Los expertos advierten que el principal riesgo actual en España es la debilidad de la red que interconecta proveedores y empresas de terceros con las grandes entidades y empresas.
Una vez instalado, el ransomware de Trinity envía información operativa al sistema sobre cuántos procesadores y unidades conectadas están disponibles para atacar y busca vulnerabilidades adicionales para circulando por la red y propagar aún más el ransomware. Una vez que está dentro del sistema, el rasomware recoge datos y trata de ganar privilegios "colándose" como un proceso legítimo.
Según el informe de la Oficina de Seguridad de la Información de Estados Unidos, el grupo Trinity ha adoptado una metodología de ataque llamada doble extorsión: roban los datos antes de cifrarlos para impedir el acceso a ellos. Los ficheros afectados acaban siendo renombrados con una extensión ".trinitylock".
Este tipo de bandas vende su malware y el uso de la plataforma con la que gestionan los ataques y rescates de las víctimas a sus afiliados, los cuales pueden ser de todo el mundo. Después se reparten el beneficio. Estos anuncios dan notoriedad al grupo y pueden atraer a nuevos afiliados, sean o no ciertos.
Trinity se ha dado a conocer en los últimos meses por ataques a hospitales en EEUU y Reino Unido. Esto ha llevado al Centro de Coordinación de Ciberataques del Departamento de Salud de EEUU a publicar un informe de alerta sobre su funcionamiento. Otro detalle importante es que aún no existen herramientas públicas para descifrar los datos afectados.
Cada familia de ransomware tiene su propio mecanismo de cifrado. Trinity, en sus últimas variantes, aún no hay descifrado, lo que no significa que no pueda haber uno en el futuro. Ejemplo de ello es la desmantelación de las operaciones de lockbit que recientemente ha conseguido la policía y esto ha permitido conocer cómo funciona la infraestructura y desarrollar herramientas de defensa.