Este artículo está en constante actualización para incorporar novedades sobre el supuesto hackeo a la Agencia Tributaria. Hemos incorporado el contexto facilitado por un experto en ciberseguridad sobre los 38 millones de dólares incluidos en el anuncio, que no corresponderían al rescate, sino a los supuestos ingresos estimados por parte de Trinity. Última actualización: 05/12/2024 14:08.
Qué se dice: “Alerta de ciberataque España - Agencia Tributaria (AEAT). El grupo de hackers Trinity asegura haber vulnerado la seguridad de la Agencia”. Con este mensaje, la compañía de ciberseguridad HackManac advirtió en Twitter (ahora X) sobre un supuesto hackeo a la AEAT. La publicación incluye una captura de la página web (ubicada en la Dark Web) de Trinity donde ponen de fecha límite para pagar el rescate por 560 GB de datos el 31 de diciembre de 2024.
Qué se dice: “Alerta de ciberataque España - Agencia Tributaria (AEAT). El grupo de hackers Trinity asegura haber vulnerado la seguridad de la Agencia”. Con este mensaje, la compañía de ciberseguridad HackManac advirtió en Twitter (ahora X) sobre un supuesto hackeo a la AEAT. La publicación incluye una captura de la página web (ubicada en la Dark Web) de Trinity donde reclaman 38 millones de dólares a cambio de 560 GB de datos, con fecha límite de 31 de diciembre de 2024.
Lo que sabemos: la tarde del 4 de diciembre, la Agencia Tributaria anunció las conclusiones de su investigación preliminar, donde sostienen que no ha sufrido ningún ciberataque, según un comunicado enviado por la entidad a Maldita.es. La AEAT señala que la víctima sería “una entidad privada del ámbito de la asesoría fiscal y laboral” que no está vinculada a la Agencia.
El 2 de diciembre, la AEAT señaló a Maldita.es que los problemas con la web que algunos usuarios reportaron tienen que ver con actualizaciones de la intranet, no con el supuesto hackeo.
Ha reivindicado el supuesto ataque el grupo Trinity, conocido por utilizar un ransomware que se infiltra en los sistemas para secuestrar datos sensibles, cifrándolos (haciéndolos ilegibles) para que no puedan utilizarse a menos que se pague el rescate.
Ni la publicación de los ciberdelincuentes ni la alerta de HackManac dan detalles sobre qué tipo de datos habrían sido robados.
HackManac alertó de un posible hackeo: a 2 de diciembre la AEAT dice no detectar indicios de equipos cifrados o salidas de datos
Las alarmas de un posible hackeo a la Agencia Tributaria española se encendieron al mediodía del domingo 1 de diciembre, cuando HackManac, empresa de ciberseguridad que lleva un registro de ciberataques, publicó en su cuenta de X: “El grupo de hackers Trinity asegura haber vulnerado la seguridad de la Agencia Tributaria (AEAT). Según la publicación, se han extraído 560 GB de datos. Fecha límite de rescate: 31 de diciembre de 2024”.
La publicación contiene una captura de la página web del grupo internacional Trinity, afirma El País, ubicada en la Dark Web, la parte de internet a la que sólo se puede acceder a través de navegadores especializados y que se asocia con actividades ilegales. En ella se menciona una cifra de “ingresos”, 38 millones de dólares (36 millones de euros) sin dar más contexto: al principio se interpretó que correspondían a la cantidad que pedían como rescate. Pero Jorge Louzao, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes, explica que no es así. “Trinity publica en sus fichas de entidades vulneradas la estimación de beneficios que creen que tiene esa empresa”, aunque matiza que no hay claridad sobre de dónde sacan estos datos, especialmente en este caso ya que “la AEAT no es una empresa ni tiene beneficios”.
La Agencia Tributaria anunció el 4 de diciembre las conclusiones preliminares de la investigación que han realizado, donde sostienen que, “tras un análisis exhaustivo, se confirma que no existe evidencia alguna de que sus sistemas o los datos bajo su custodia hayan sido afectados”, según un comunicado enviado por la entidad a Maldita.es. En este, la AEAT afirma que el grupo Trinity no los ha contactado para solicitar rescate ni para demostrar que tienen los datos de los contribuyentes. “El incidente reportado no afecta a esta organización, sino que, de acuerdo con la información de la que dispone la Agencia, parece haber afectado a una entidad privada del ámbito de la asesoría fiscal y laboral”, señala el organismo.
El 2 de diciembre, la AEAT afirmó a Maldita.es que los problemas que algunos usuarios reportaroncon la web no tienen que ver con el supuesto hackeo, “son fallos de la intranet por la actualización periódica de aplicaciones”, que ya estarían resueltos.
Habitualmente, Trinity retiene y cifra los datos hasta que se paga el rescate: ni los ciberdelincuentes ni HackManac han dicho qué tipo de información habría sido robada
El grupo de hackers Trinity, responsable del supuesto ciberataque, es relativamente nuevo. Según la empresa de ciberseguridad WatchGuard, estos piratas informáticos fueron detectados por primera vez en mayo de 2024 pero ya registran 12 víctimas, tres de ellas relacionadas con el sector de la salud y medicina.
El ransomware que utilizan es un tipo de software malicioso que se infiltra en los sistemas a través de ataques de phishing, webs maliciosas o brechas vulnerables para recolectar datos del sistema en el que se infiltra y dar una apariencia de acceso legítimo para seguir expandiéndose, según Business Insider España. Los archivos afectados son renombrados con una extensión “.trinitylock” y solo se puede volver a acceder a ellos con la clave del cifrado que se obtiene al pagar el rescate.
En el caso del supuesto hackeo a la AEAT, ni HackManac ni los ciberdelincuentes del grupo Trinity han revelado qué información contiene la supuesta base de datos obtenida, por lo que no hay claridad sobre qué datos podrían haber sido filtrados ni las personas que podrían verse afectadas. Insistimos en que, a fecha de publicación de este artículo, según la AEAT esto no ha sucedido.
En este artículo ha colaborado con sus superpoderes Jorge Louzao, experto en ciberseguridad.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Primera fecha de publicación de este artículo: 02/12/2024