Posible ciberataque a la Agencia Tributaria, que niega haber detectado brecha alguna
El grupo de hackers Trinity afirma haberse hecho con 560 GB de datos por los que pide 38 millones de dólares
Los ciberataques serán cada vez más sofisticados gracias a la inteligencia artificial
560 GB de datos obtenidos, 38 millones de dólares de rescate por ellos y una fecha límite, el 31 de diciembre. Son los datos de una supuesta brecha de seguridad de la que habría sido víctima la Agencia Tributaria y que ha sido detectada por la plataforma de soluciones de ciberseguridad FalconFeeds.io.
La compañía ha publicado en redes sociales una imagen obtenida en la dark web que captura la amenaza del conocido grupo de hackers Trinity con las cifras del ransomware: los ya mencionados 560 GB de información, por los que exigen un rescate de 38 millones de dólares que deben ser abonados antes del próximo 31 de diciembre para evitar su divulgación.
"La Agencia Tributaria (AEAT), el servicio de recaudación del Reino de España y encargado de gestionar los sistemas tributarios y aduaneros nacionales, ha sido víctima del ransomware Trinity. El grupo afirma haber obtenido 560 GB de datos de la organización y pretende publicarlos el 31 de diciembre de 2024", indica la publicación en X (antes Twitter) de FalconFeeds.io.
Salvo esa imagen que Trinity ha publicado en su blog, accesible solamente desde la dark web, no se conoce mucho más, ni detalles sobre el contenido de esos datos ni sobre las personas o entidades que podrían verse afectadas.
La Agencia Tributaria lo niega
En un comunicado difundido por varios medios, la Agencia Tributaria ha negado haber detectado brecha de seguridad alguna. El organismo asegura que han "revisado todos los sistemas" y no "han detectado ningún indicio" de ese posible ataque.
"Se han revisado todos los sistemas y, en estos momentos, están funcionando todos los servicios sin ningún problema y no se ha detectado ningún indicio de posibles equipos cifrados o salidas de datos", aseguran desde la Agencia Tributaria, y añaden que siguen monitorizando la situación.
Pero el historial de este grupo relativamente nuevo de ciberdelincuentes hace que la amenaza sea, si no cierta, sí al menos creíble.
¿Qué es Trinity?
Detectada por primera vez en mayo de 2024, Trinity es una organización de ciberdelincuentes que se sirve de un software homónimo para ejecutar su ataque preferido: el ransomware o secuestro de información por la que se exige rescate a cambio de recuperar el acceso y no hacerla pública.
Este grupo suele emplear tácticas conocidas como de doble extorsión: primero roban la información sensible y después cifran los archivos antes de amenazar con filtrarlos si no reciben el dinero que piden.
A pesar de su todavía corta trayectoria, Estados Unidos catalogó como una amenaza de primer nivel en cuanto lo detectó (mayo de este mismo año) a Trinity, tanto el grupo como el software que emplea.
El colectivo ha reivindicado ataques a entidades de Estados Unidos, Reino Unido, Canadá, China, Filipinas, Argentina o Brasil, entre otros países, con víctimas individuales y corporativas, de diversos sectores de actividad y tanto pertenecientes al sector público como al privado.
¿Cómo actúa Trinity?
Para acceder a los datos que secuestra, el grupo emplea los mismos puntos débiles de los que se sirven tantos otros delincuentes similares como puerta de entrada: software desactualizado, phishing (correos electrónicos con enlaces fraudulentos que permiten a quien está al otro lado entrar en nuestros equipos) o comprometer puntos finales de protocolo de escritorio remoto.
Como en tantos otros ataques anteriores (en los seis primeros meses de este año se contabilizaron en España 211.294 estafas informáticas), basta explotar una de estas vulnerabilidades, en cualquier usuario de la propia organización o de una con la que se colabore (en el caso de la Agencia Tributaria podría ser casi cualquier institución) para acceder a toda una red.
Según datos del Incibe y el Balance de Criminalidad del Ministerio del Interior, en lo que va de año los hackers han atacado a empresas del Ibex-35 (Banco Santander, Iberdrola o Repsol), instituciones públicas y sectores estratégicos de España y otros países de la OTAN, centros de investigación (como el INIA del CSIC), medios de comunicación, empresas de transporte y grandes compañías de comercio minorista, como Alcampo y Tendam.
También te puede interesar