Ciberataque a la Hacienda Pública: el ‘criptoransomware’ que ha puesto en jaque la seguridad nacional
Consiste en la introducción de un ‘software malicioso’ con el fin de cifrar determinados archivos que contienen información valiosa de la persona física o jurídica
Preocupación máxima. El pasado 1 de diciembre de 2024, un grupo de hackers, oculto bajo el pseudónimo Trinity, reivindicó la autoría de un ciberataque contra uno de los centros de procesamiento de datos más grandes de nuestro país: la Agencia Tributaria.
Trinity habría conseguido sustraer millones de datos confidenciales de los contribuyentes para solicitar después el pago en criptomonedas de una ingente cantidad económica, amenazando con difundirlos en la deep web en caso de que a las 00:00 horas del 31 de diciembre de 2024 no se abonara el precio del rescate.
Este ciberataque es lo que se denomina criptoransomware, que consiste en la introducción de un software malicioso (o malware) con el fin de cifrar determinados archivos que contienen información valiosa de la persona física o jurídica en cuestión y, acto seguido, exigir el pago de un rescate a cambio de la clave de descifrado, normalmente en monedas virtuales por cuanto presentan mayores dificultades de rastreo.
En el plano internacional, no es la primera vez que sucede algo así. En 2017, una de las principales agencias de información crediticia a nivel mundial, Equifax, fue objeto de un ciberataque que expuso información sensible de 150 millones de consumidores en Estados Unidos. El incidente provocó que Equifax tuviera que abonar 1.400 millones de dólares entre sanciones y mejoras implementadas para robustecer sus sistemas de seguridad.
En nuestro país también existen precedentes similares. En octubre 2022 tuvo lugar el ciberataque más relevante de nuestra reciente historia ciberdelincuencial. Y de nuevo la AEAT como objetivo. José Luis Huertas Rubio, alias Alcasec, fue detenido cinco meses después acusado de haber accedido al servidor del Consejo General del Poder Judicial utilizando las credenciales de dos funcionarios judiciales para acceder a datos personales de 575.186 contribuyentes.
Lamentablemente, Trinity no es un hecho aislado. 2024 ha sido un año especialmente aciago para las empresas españolas en materia de ciberseguridad. Multinacionales como BBVA, Banco Santander, Telefónica, Iberdrola, Orange, Total Energies y Cortefiel, así como organismos públicos como RTVE, DGT o –incluso– la Guardia Civil han sido blanco de ciberataques que han puesto en peligro millones de datos personales de clientes y empleados.
Pero esto es solo la punta del iceberg. No es la primera vez –ni la segunda– que la mayoría de estas compañías son objeto de ciberataques, en buena prueba de que ésta es la gran amenaza de nuestra era. Y es que en materia de ciberseguridad el riesgo cero no existe. La noticia positiva es que sí puede obtenerse un alto grado de protección a través de una postura proactiva de las empresas que haga énfasis en la educación del fenómeno, dando a la ciberseguridad la dimensión que merece.
Para ello, resulta esencial hacer una doble clasificación de las empresas: las que han sido ciberatacadas y las que van a serlo. La pregunta no es si una compañía será o no objeto de un ciberataque, sino cómo va a reaccionar cuando le pase.
Lo primero que debemos conocer es cuál suele ser el origen de un ciberataque. Y aquí quizás sorprenda saber que el 95% de los ciberataques tienen su principal vector de entrada en el factor humano –sí, las personas somos su vía de entrada– a través de técnicas que comúnmente se denominan de “ingeniería social”.
Pese a su nombre, estas técnicas son extremadamente simples y consisten en hacernos clicar, bien de forma impulsiva, bien mediante engaño, en enlaces o archivos adjuntos que contienen malware y que nos han sido enviados a través de correo electrónico, SMS o cualquier otro canal de comunicación, permitiendo desde ese preciso momento el acceso de los ciberdelincuentes a nuestros sistemas.
Y a partir de aquí se acabó. Ya han entrado en nuestra casa para cometer el sinfín de delitos que tienen a su alcance (ransomware, estafa al CEO, man in the middle, ataques DDoS, cracking, etc). Lo que hace tan peligroso estos ataques es que requieren de una acción mínima por parte de la víctima para abrirles la puerta de entrada.
Aquí se hace bueno el principio de tan fuerte es la cadena como su eslabón más débil. De nada sirve levantar un castillo y protegerlo con un dragón, si luego se le abre la puerta al asaltante desde el interior.
En definitiva, este ataque pone nuevamente de manifiesto la importancia de que las compañías cuenten con un plan de respuesta que minimice el impacto funcional y reputacional de estos incidentes a través de una evaluación preliminar; la notificación, en su caso, a la AEPD e individuos afectados por la brecha; la interposición de denuncia ante la Policía (Brigada de Investigación Tecnológica) o la Guardia Civil (Grupo de Delitos Telemáticos); así como la revisión y actualización de las políticas y protocolos internos de ciberseguridad.