El grupo hacker Trinity se ha atribuido el robo de 560 GB de datos confidenciales de la Agencia Tributaria Española (AEAT) por el que exige un rescate de 38 millones de dólares antes de final de año. Sin embargo, la AEAT niega haber sufrido algún robo o brecha de seguridad en sus sistemas. ¿Cómo es posible entonces?

La primera hipótesis es que Trinity está mintiendo. y, afortunadamente, todo es mentira. Es posible, pero poco probable, considerando la historia de esta organización cibercriminal.

La segunda teoría es que el hackeo efectivamente se ha producido pero la Agencia Tributaria lo niega públicamente por motivos de seguridad hasta que pueda valorar los daños y controlar la situación.

La tercera hipótesis, formulada por la experta en ciberseguridad Rosa Ortuño Melero, es que la víctima del hackeo no es la AEAT, sino la empresa privada encargada de almacenar las copias de seguridad de la base de datos de Hacienda, «que es lo que hemos visto últimamente en otros ataques a universidades, al banco Santander o a la DGT», afirma Ortuño.

Y, aunque las administraciones públicas son las responsables de la gestión y tratamiento de nuestros datos, la mayoría de ellas subcontratan a empresas tecnológicas para que se encarguen de esta labor y los servidores de copia suelen estar en manos de terceros.

En el caso de la AEAT, en 2016 licitó los “servicios de gestión y administración de Sistemas y Bases de Datos, así como el desarrollo y mantenimiento de aplicaciones y procesos de extracción, transformación y carga”. El valor estimado del contrato fue de 7,86 millones de euros y se adjudicó a una empresa conjunta (Open, Babel, Connectis y Alalza).

«La AEAT tiene que comprobar que sus sistemas no están secuestrados o hay una brecha de seguridad», afirma Ortuño, en alusión a la modus operandi de «doble extorsión» por parte de Trinity (secuestran los datos y piden un doble rescate: uno por liberarlos y otro por no difundirlos). «Cuando lo comprueben, podríamos estar ante un hackeo de sus copias de seguridad. En ese caso, tienen que informar inmediatamente a la Agencia de Protección de Datos, al INCIBE y a la ciudadanía para alertarles de lo que podría pasar.»

«No se están haciendo suficientes controles»

En opinión de Ortuño, «la concienciación en ciberseguridad debería haber llegado a España hace muchos años» y actualmente «falta compromiso e inversión por parte de las empresas, así como de buenos profesionales».

Y en el caso de los organismos públicos, «hay mucha dependencia de terceros y no se están realizando controles suficientes para garantizar la cadena de custodia de los datos. Falta control», afirma el experto en ciberseguridad.

Cuidado con las estafas

Tras el hackeo de las bases de datos de la DGT, miles de ciudadanos recibieron mensajes de texto con supuestos impagos de multas en los que se aportaba información real de las sanciones, la matrícula y modelo del coche e incluso el número de cuenta bancaria. Muchos de ellos accedieron al enlace proporcionado en el mensaje y fueron víctimas de ciberestafas.

En este caso, apunta Ortuño, si los datos de Hacienda llegan al red profundalos delincuentes «tendrían datos reales de nuestras cuentas bancarias, casas, activos… es información muy sensible y será aún más difícil de distinguir si se trata de un fraude».