MENÚ
En los últimos días, se han difundido y viralizado tanto en redes sociales como en plataformas privadas como Telegram varios contenidos que hablan de “hackeos” a las administraciones públicas y de la filtración de datos personales de miles de contribuyentes, como números de DNI o de cuentas bancarias. Estos contenidos se suman a los derivados de una publicación de ABC del 21 de noviembre en la que afirma que “piratas informáticos” habían “hackeado el Ministerio de Economía”. Mientras que el Gobierno ha negado que este último haya ocurrido, el Consejo General del Poder Judicial (CGPJ) sí que ha sufrido un ciberataque que habría afectado a la red que conecta los órganos judiciales con instituciones públicas como ministerios. Vamos a ver en orden qué ha sucedido con esta mezcla de acusaciones para entender lo ocurrido.
#1 El Consejo General del Poder Judicial (CGPJ) admite haber sufrido un ciberataque
El 8 de noviembre, el CGPJ anunció en un comunicado que el Punto Neutro Judicial (PNJ) había sido afectado por un ciberataque en la segunda quincena de octubre. El PNJ es la red de telecomunicaciones que conecta a los órganos judiciales con otras instituciones del Estado, según explica el propio CGPJ, encargado de gestionarlo. Su misión es “centralizar y trasladar peticiones de información entre los órganos judiciales y organismos o instituciones”, entre ellas la Agencia Estatal de Administración Tributaria (AEAT), la Dirección General de la Policía, el Servicio Público de Empleo (SEPE) o el Instituto Nacional de la Seguridad Social (INSS).
Algunos contenidos han afirmado que todas estas administraciones han sido vulneradas, en lugar de señalar que el ataque se ha dirigido contra la red que las conecta. El propio CGPJ afirma en su comunicado que han podido averiguar que el PNJ ha sido utilizado por los atacantes para acceder a otras instituciones públicas.
El CGPJ asegura entonces que “no se han visto comprometidos datos relativos a procedimientos judiciales u otra información en poder de los Juzgados y Tribunales”. No da más detalles del tipo de datos afectados, tampoco al ser preguntado por Maldita.es, sino que nos remite al citado comunicado. Sí que dice, no obstante, que tras conocer el ataque notificó a la Agencia Española de Protección de Datos (AEPD) y al organismo que supervisa los temas de protección de datos del CGPJ. Este es un procedimiento habitual cuando se han visto comprometidos datos personales almacenados por un organismo, una administración, una empresa, etc.
#2 La Audiencia Nacional abre una investigación al ciberataque al CGPJ
El 10 de noviembre, el CGPJ comunica que la Audiencia Nacional ha abierto diligencias previas para investigar el ciberataque al PNJ. El juez al cargo es José Luis Calama, que habría abierto esta investigación el 20 de octubre a raíz de la pertinente denuncia del organismo judicial.
En este comunicado, sí que se admite que el ciberataque “podría haber afectado a datos personales de contribuyentes depositados en las bases de datos de la Agencia Tributaria”. De ahí que Calama haya pedido informes sobre lo ocurrido tanto a la Agencia Tributaria como al Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI).
#3 Medios publican que en el ataque se han filtrado datos personales de miles de contribuyentes
Ya el 8 de noviembre, cuando el CGPJ lanza este comunicado, El País afirma en su cobertura del incidente que, según fuentes del organismo, el ataque no tendría como principal objetivo el órgano judicial, sino alguna de las instituciones conectadas a través de esta red, y señalan concretamente a la Agencia Tributaria.
Tres días después, el 11 de noviembre, elDiario.es publica en esta línea que se usó la red del PNJ para acceder a distintas instituciones, y que la que recibió el mayor golpe fue la Agencia Tributaria; asegura que los ciberatacantes consiguieron hacerse con los datos de “cerca de medio millón de contribuyentes”. También afirma, según fuentes próximas al caso que habrían consultado, que la Dirección General de la Policía también sufrió las consecuencias del ataque y que se habrían obtenido los nombres, direcciones, números de DNI y otros datos de alrededor de 50.000 miembros de la Policía.
#4 Comienzan a circular contenidos sobre la filtración de datos, cuyo alcance no está confirmado por el CGPJ
Tras estas publicaciones, en redes sociales y en plataformas como Telegram comienzan a circular contenidos que hablan del ciberataque. En muchos de ellos se habla de la filtración de datos de “todos” los contribuyentes o de “47 millones de españoles”. Hablan también del tipo de datos supuestamente filtrados: DNI, cuenta bancaria, número de tarjeta, residencia, patrimonio, vidas laborales, relaciones empresariales, etc. El CGPJ no ha especificado qué tipo de datos se han visto afectados por el ataque informático.
A 24 de noviembre, no hay información oficial sobre el alcance del ciberataque al Punto Neutro Judicial, a pesar de que, como hemos citado antes, el CGPJ sí que habría podido afectar a “datos personales de los contribuyentes” de la Agencia Tributaria. elDiario.es, que en su artículo cita a “fuentes conocedoras del caso”, habla de alrededor de 500.000 personas afectadas, y también asegura que se habrían atacado perfiles concretos. Es decir, que se habría buscado la información de personas específicas.
#5 ABC publica que “piratas informáticos hackean el Ministerio de Economía”
El 21 de noviembre, el ABC publicó un contenido en el que afirmaba que “piratas informáticos” habían “hackeado el Ministerio de Economía”. Esta publicación se hizo pocos días después de que se informara del ataque informático que había sufrido el Consejo General del Poder Judicial, aunque en esta ocasión aseguran que este nuevo ataque habría afectado a la red SARA, que es otro de los sistemas que comunica a las administraciones públicas, tanto españolas como europeas, para que puedan compartir información.
ABC asegura, citando a “fuentes directas”, que el pasado 14 de noviembre un funcionario del Ministerio de Asuntos Económicos “comprobó que el puntero del ratón se estaba moviendo 'solo'” porque “alguien sin su consentimiento estaba accediendo en remoto a su equipo”. Asimismo, “fuentes conocedoras” habrían aclarado a ese medio que “el ataque se produjo sobre la red SARA que conecta a las distintas administraciones públicas, por lo que se ha podido extender a otros organismos públicos”.
En este sentido, el diario afirma que este funcionario avisó entonces al Centro de Atención de Usuarios (CAU), al departamento de informática, y que “los técnicos comprobaron la infección del equipo informático y eliminaron el software instalado para tomar control del ordenador”. También explican que los ciberatacantes habrían obtenido “datos muy sensibles” del departamento en el que se elaboran previsiones económicas.
A raíz de esta publicación por parte de ABC, comienzan a mezclarse ambos ciberataques: algunos usuarios relacionan la filtración de datos que se atribuiría al ataque al CGPJ con el supuesto “hackeo” al Ministerio de Asuntos Económicos, pero que el Gobierno ha desmentido, como vemos a continuación.
#6 El Gobierno niega que el Ministerio de Asuntos Económicos haya sufrido un ciberataque
El Gobierno ha negado las afirmaciones de ABC sobre el supuesto hackeo al Ministerio de Asuntos Económicos y Transformación Digital. Un comunicado oficial publicado en la página web y en las redes sociales de este departamento asegura que “la noticia publicada por el diario ABC es absolutamente falsa” y que “tampoco ABC contactó con el Ministerio para contrastar la información”.
En la misma nota se asegura que “ningún departamento del Ministerio de Asuntos Económicos ha recibido el ataque mencionado”, que “todos los sistemas de ciberseguridad están activos” y que no se ha abierto investigación por parte de la Policía Nacional”. Desde Maldita.es nos hemos puesto en contacto con la Policía Nacional para preguntar sobre la supuesta investigación secreta referida por ABC y no hemos recibido información al respecto.
#7 ABC publica un segundo contenido en el que da una versión diferente a la inicial sobre el supuesto ataque
El 22 de noviembre, ABC publica un segundo contenido en el que comienza dando datos generales sobre ciberataques, para luego referirse al sufrido por el CGPJ y el supuesto ataque que habría afectado al Ministerio de Asuntos Económicos. En esta ocasión, dan una versión diferente a la inicial: afirman que la red SARA se vio afectada con el ciberataque al Consejo General del Poder Judicial: “Según las fuentes consultadas, éstos [los ciberataques] fueron independientes. El primero [el del CGPJ], mediante el que se sustrajeron datos de todos los contribuyentes de España accediendo desde el PNJ a la Agencia Tributaria, afectó también a la red SARA, acrónimo de Sistemas de Aplicaciones Redes para las Administraciones”, aseguran.
A continuación, afirman que “el ciberataque sufrido en la sede central del Ministerio de Asuntos Económicos y Transformación Digital no se habría producido desde ahí”.
ABC recoge entonces el comunicado oficial de este ministerio, en el que niegan el supuesto ciberataque, y explica tras consultar a “fuentes oficiales del ministerio” que estas reconocen que “no fue un ataque”, pero que sí se realizó un acceso en remoto al equipo del funcionario que habría denunciado este incidente. Recogen también que estas fuentes aseguran que ese acceso se haría producido “con consentimiento” del empleado.
También reconocen que el supuesto ataque del que informaron en un primer momento “habría tenido un alcance de menor entidad al que apuntaron fuentes policiales a ABC en un primer momento”.
Desde Maldita.es hemos consultado con el especialista en ciberseguridad y hacker ético Jorge Louzao, que trabaja también con casos de ciberataques, sobre el acceso remoto a los equipos de los empleados. Explica que existen muchas herramientas de gestión remota que no necesitan ninguna actuación por parte del empleado, lo que significa que el administrador de los sistemas podría acceder al equipo sin contactar con el empleado en cuestión. Señala que, normalmente, las empresas que realizan este tipo de acciones se ponen de acuerdo con los empleados para no molestar demasiado o interferir en el trabajo y las tareas diarias. Y, como ejemplo, pone las herramientas Teamviewer o eHorus, de una compañía española.
También añade que “habría que ser muy novato” para atacar un equipo perteneciente al ministerio mediante un “secuestro del escritorio remoto”, ya que es un tipo de ataque “demasiado obvio” y perceptible. Esto quiere decir que, normalmente, para llevar a cabo un ataque informático de estas dimensiones, los ciberatacantes querrían pasar desapercibidos a la hora de hacerse con información, pero si ves que el puntero de tu ratón o las ventanas de tu ordenador se mueven solas, enseguida te das cuenta de que algo va mal y es mucho más fácil bloquearlo antes de que vaya a más.
