La noticia del supuesto ataque a la Agencia Tributaria (AEAT) por el grupo de hackers conocido como Trinity ha generado una alerta sin precedentes en España. Ante la posibilidad de que 560 GB de datos de los contribuyentes obren en manos de criminales que amenazan con exponer dicha información, los españoles debemos contemplar la posibilidad de tener que hacer frente, durante los próximos meses, a descomunal 'boom' de los timos y de la ingeniería social.
¿Qué sabemos del ataque?
El grupo de cibercriminales Trinity, que ya cuenta con todo un historial de ataques a nivel internacional, asegura haber logrado un acceso masivo a los sistemas de la AEAT. Según su modus operandi habitual, habrían utilizado un ransomware que primero exfiltra datos y luego cifra los sistemas comprometidos, dejando inutilizables los archivos sin la clave correspondiente.
En esta ocasión, el grupo afirma haber secuestrado 560 GB de información crítica, aunque la Agencia Tributaria niega haber detectado algún incidente en sus sistemas, según sus declaraciones públicas (algo que varios medios españoles insisten en contradecir citando fuentes internas). Entre los posibles vectores de acceso al sistema, los expertos en ciberseguridad señalan dos hipótesis principales:
- A través de la red 'Sara': Una infraestructura de comunicaciones que conecta a diversas instituciones públicas. Aunque la AEAT tiene medidas para mantenerse aislada de esta red, el historial de vulnerabilidades en otras entidades relacionadas con Sara sugiere que podría haber sido utilizada como pasarela para acceder a la Agencia Tributaria.
- Un ataque interno o 'insider': La participación de un agente interno o el uso de credenciales comprometidas de un empleado es una posibilidad que, según algunos especialistas, explicaría la magnitud del ataque.
El impacto potencial de la filtración
El ataque a la agencia de crédito estadounidense Equifax, en 2017, dejó expuestos los datos de 150 millones de contribuyentes en varios países, y las consecuencias fueron devastadoras: los datos robados todavía están siendo utilizados para fraudes y suplantaciones, años después del incidente.
La Agencia Tributaria maneja información que no sólo es sensible, sino también crítica para la seguridad económica y personal de millones de ciudadanos y empresas. Una filtración de esta magnitud podría desencadenar múltiples problemas en diversas áreas:
1) Extorsión y chantaje a gran escala
Los datos exfiltrados podrían incluir:
- Declaraciones de la renta.
- Información bancaria y patrimonial.
- Movimientos financieros detallados.
- Datos personales como direcciones, números de identificación fiscal, y contactos.
Con esta información, los atacantes podrían contactar directamente a ciudadanos y empresas, amenazando con exponer su situación fiscal, irregularidades tributarias reales o supuestas, o cualquier otra información que pueda ser utilizada para extorsionarlos. Esto abre la puerta a un modelo de extorsión masiva, donde cada contribuyente se convierta en un objetivo potencial.
2) Fraude financiero y robo de identidades
El acceso a datos fiscales y bancarios convierte a los ciudadanos en blanco fácil para fraudes financieros. Algunas de las posibles consecuencias incluyen:
- Préstamos y créditos fraudulentos: Los atacantes podrían utilizar la información para solicitar créditos o realizar compras en nombre de las víctimas.
- Acceso a cuentas bancarias: Si las credenciales de acceso o datos financieros estuvieran comprometidos, podrían vaciar cuentas o realizar transacciones ilícitas.
- Robo de identidad: Con nombres, direcciones, documentos de identificación y datos fiscales, los delincuentes podrían suplantar la identidad de las víctimas para múltiples propósitos, desde abrir cuentas hasta realizar estafas a terceros.
3) Uso en actividades delictivas y cibercrimen organizado
Los datos robados podrían ser vendidos en el mercado negro a otros actores maliciosos, fomentando:
- Nuevos ciberataques: Los datos podrían ser utilizados para ataques más específicos, como spear phishing o campañas dirigidas a sectores clave.
- Espionaje industrial o político: Las grandes bases de datos fiscales también pueden contener información de figuras públicas, políticos, o empresas estratégicas, convirtiéndose en un arma para el espionaje o la manipulación.
- Comercialización masiva en la dark web: Los datos exfiltrados podrían convertirse en un producto codiciado para delincuentes a nivel global, alimentando un mercado ilegal que ya genera miles de millones de euros anualmente.
4) Consecuencias legales y regulatorias
Una filtración de esta magnitud podría tener implicaciones legales significativas tanto para la AEAT como para otras entidades públicas relacionadas:
- Multas por incumplimiento del GDPR (Reglamento General de Protección de Datos): Si se demuestra que la AEAT no adoptó medidas suficientes para proteger los datos personales, podría enfrentar sanciones millonarias. (Pero, como 'Hacienda somos todos', una multa de ese tipo sólo supondrá que el Estado se pague a sí mismo con nuestro dinero).
- Demandas colectivas: Ciudadanos y empresas afectadas podrían iniciar acciones legales para exigir compensaciones por el daño causado.
- Revisión de protocolos de seguridad nacionales: Este incidente podría motivar una reestructuración general de las políticas de ciberseguridad en todas las administraciones públicas, lo que implicaría inversiones significativas y posibles interrupciones de servicios.
El rol del ciudadano: protegerse ante posibles consecuencias
Ante un ataque de esta magnitud, es crucial que los ciudadanos adopten medidas proactivas para protegerse de las posibles consecuencias de la filtración de sus datos personales. Aunque no se puede evitar el acceso inicial de los ciberdelincuentes a la información comprometida, existen varias estrategias para intentar minimizar el impacto y prevenir un uso indebido de esos datos. A continuación, se detalla un conjunto de acciones que los ciudadanos pueden implementar:
Monitorización de cuentas y actividades financieras
Una de las principales amenazas de una filtración de datos fiscales es la posibilidad de fraude financiero. Para protegerse:
- Revisar regularmente extractos bancarios y de tarjetas de crédito: Identificar transacciones sospechosas y reportarlas inmediatamente a la entidad financiera.
- Configurar alertas de actividad: Muchos bancos permiten activar notificaciones automáticas para movimientos inusuales en las cuentas.
- Controlar el historial crediticio: Solicitar informes de crédito a agencias especializadas para detectar la apertura no autorizada de cuentas o solicitudes de préstamos.
Proteger datos personales
Los datos filtrados pueden facilitar campañas de suplantación de identidad. Para reducir los riesgos:
- Ser cauteloso con la información que se comparte en redes sociales: Evitar publicar datos personales que puedan cruzarse con la información filtrada, como direcciones o fechas de nacimiento.
- Verificar comunicaciones oficiales: En caso de recibir correos, llamadas o mensajes que aparenten ser de la Agencia Tributaria u otra institución, confirmar su autenticidad directamente a través de los canales oficiales.
Actuar rápidamente en caso de exposición
Si un ciudadano sospecha que sus datos han sido comprometidos o utilizados de manera indebida, es vital que actúe con rapidez:
- Denunciar fraudes: Notificar inmediatamente a las autoridades competentes (Policía, Guardia Civil o INCIBE en España) cualquier actividad sospechosa o intento de suplantación.
- Bloquear cuentas comprometidas: Contactar con bancos, plataformas digitales o instituciones fiscales para congelar o recuperar el acceso.
- Solicitar el derecho al olvido: Si los datos filtrados están publicados en Internet, solicitar su eliminación a través de los mecanismos legales disponibles, como la Ley de Protección de Datos.
En Genbeta | Cómo denunciar fraudes en Internet y ciberestafas
Ver 0 comentarios