No, no han sido unos «hackers» los que han atacado a la Agencia Tributaria. Por mucho que algunos medios se repitan unos a otros, quienes supuestamente han realizado un ciberataque contra la Agencia son un grupo de cibercriminales. Desde hace unas horas, se suceden los titulares alertando de que «un grupo de ‘hackers‘ (repetimos, cibercriminales) asegura haber extraído 560 GB de datos a la Agencia Tributaria». Vayamos por partes.
¿De dónde ha salido la información, cuál es la fuente?
Ha sido la empresa de ciberseguridad HackManac con sede en Dubai quien ha dado la señal de alerta. Esta empresa suele publicar en su perfil de X advertencias de este estilo, que obtienen de foros de cibercriminales.
🚨Cyberattack Alert ‼️
🇪🇸Spain – Agencia Tributaria (AEAT)
Trinity hacking group claims to have breached Agencia Tributaria AEAT.
According to the post, 560 GB of data were exfiltrated.
Ransom deadline: 31st Dec 24. pic.twitter.com/HJEyYSzAor
— HackManac (@H4ckManac) December 1, 2024
En su post concretamente da una «alerta de ciberataque en España: el grupo Trinity asegura haber vulnerado la Agencia Tributaria AEAT».
La publicación la complementan con una captura de pantalla, asociada a los cibercriminales, que supuestamente han publicado en alguno de estos foros, aunque no lo especifican.
¿Qué es lo que dicen que ha ocurrido?
Según la publicación, los ciberdelincuentes aseguran haber robado 560 GB de datos.
Mencionan un revenue de 38 millones de dólares (el valor que consideran que tiene la entidad), por el momento no se sabría el rescate solicitado. La fecha límite para el pago es el 31 de diciembre de 2024. De no efectuarse el pago antes de esa fecha, Trinity supuestamente hará públicos los datos exfiltrados. No se da más información sobre qué tipo de datos se trata, ni tampoco cómo se ha producido el presunto ciberataque a la Agencia Tributaria. Aunque como veremos a continuación, Trinity es conocido por sus ataques de ransomware.
¿Quién es Trinity?
El grupo cibercriminal que supuestamente ha asegurado haber sustraído tal cantidad de datos a la AEAT es un viejo conocido del sector. De tratarse de ellos, son el mismo grupo especializado en ransomware que este mismo año ha atacado a diversos organismos estatales, en concreto en Estados Unidos.
En octubre de este año, se alertaba del ransomware Trinity como una amenaza emergente en Estados Unidos, concretamente para el sector sanitario.
Al menos una entidad del sector salud de Estados Unidos fue víctima de este nuevo ransomware, según informes federales.
El Departamento de Salud de Estados Unidos publicó una advertencia, avisando a los hospitales del riesgo que suponía este grupo especializado en ransomware. Destacaban que sus tácticas, se basaban en la técnica del ransomware de doble extorsión. Tanto el de doble como el denominado de «tripe extorsión» son variantes de la técnica de ransomware, es decir: un secuestro de datos al que se le añade la exfiltración de información. En este tipo de ataques informáticos, los atacantes efectivamente en suelen solicitar una cantidad de dinero a modo de chantaje, con la amenaza de publicar los datos que se hayan sustraído en caso de no pagarse.
El popular caso del ciberataque al Hospital Clínic en 2023, fue un ejemplo de este modus operandi. Se negaron a pagar y RansomHouse, el grupo cibercriminal detrás del ataque, acabó filtrando toda la información sustraída.
Así funciona el ransomware de triple extorsión que está poniendo en jaque a las empresas
¿Está confirmado el ciberataque a la Agencia Tributaria?
No. Ni la Agencia Tributaria ni ningún otro organismo ha confirmado de manera oficial por ahora que se haya producido un ciberataque, ni tampoco una brecha de seguridad.
Algunos medios aseguran haber hablado con responsables de esta entidad quienes niegan dicho ataque. Lo que es seguro es que se encontrarán investigándolo a raíz de esta información. Seguiremos atentos.
