El día 1 de diciembre varios medios se hicieron eco de una noticia en la que aseguraban que unos hackers habían robado de datos de la Agencia Tributaria.
El artículo decía que detrás de este ataque estaba Trinity y que se habrían hecho con 560GB de datos de información, secuestrado parte de los sistemas de la AEAT, cifrado datos y a cambio para liberarlos quería un rescate de 38 millones de dólares.
Si no reciben el dinero que han pedido publicarán toda la información el 31 de diciembre.
Al poco de hacerse pública la noticia el portavoz de la AEAT realizó un comunicado en el que decía que después de revisar todos los sistemas, sus servicios estaban funcionando sin problema. Ademas no habían detectado ningún indicio de equipos cifrados o de salida de datos.
Dada la credibilidad del grupo Trinity algunos especialistas de ciberseguridad dicen que probablemente haya afectado a a una réplica de bases de datos y por eso no detecten indicios del ataque. Incluso señalan la posible puerta de acceso como un Ayuntamiento o una Diputación para luego saltar a la red Sara y poder colarse en la AEAT.
¿Que es la red Sara?
La Red SARA (Sistemas de Aplicaciones y Redes para las Administraciones) es un conjunto de infraestructuras de comunicaciones y servicios básicos que conecta las redes de las Administraciones Públicas Españolas e instituciones europeas. Su objetivo es facilitar el intercambio seguro de información y el acceso a servicios compartidos entre las diferentes Administraciones Públicas.
¿Cual es el problema con la red Sara? Que en otras ocasiones se ha usado para obtener acceso ilícito a instituciones del gobierno como en el ataque al SEPE o el de la DGT hace unos años.
Alcasec logró acceder a la AEAT hace un par de años entrando primero en la red Sara, desde ahí se colaba en los sistemas de la Policía Nacional donde tenían acceso a los del Punto Neutro Judicial del Consejo General del Poder Judicial. Crearon una página falsa del PNJ, se hicieron con las clases de dos funcionarios de Bilbao y entraron en el PNJ donde había una función llamada «cuentas ampliadas de la AEAT«. Robaron la información bancaria de más de 500.000 contribuyentes en España que vendió por alrededor de casi dos millones de euros.
Trinity y como funciona este ransomware
El grupo de ciberdelincuentes, Trinity, ha sido responsable de varios incidentes de ransomware donde se infiltraba en los sistemas de sus victimas para robar y cifrar la información con la que extorsionar a las instituciones.
Este ransomware es muy peligroso ya que una vez instalado envía información al sistema sobre cuantos procesadores y unidades conectadas están disponibles para atacar y buscar vulnerabilidades adicionales para circular por la red y propagarse.
Una vez está dentro, bloquea el acceso a los datos robados, dejando a las victimas sin poder acceder a su propia información. Lo mas recomendable sería contar con copias de seguridad para restaurar los datos una vez eliminado el software malicioso.
Evolución del «hackeo»
Después de alarmar sobre el posible hackeo a la AEAT el 2 de diciembre afirmó que los problemas de algunos usuarios solo son fallos de la intranet por la actualización periódica de aplicaciones que ya han resuelto.
El 4 de diciembre, sostienen que ‘no existe evidencia alguna de que sus sistemas o los datos hayan sido afectados’. Incluso dicen que no el grupo Trinity ‘no ha contactado para solictar el rescate ni para demostrar que tienen los datos de los contribuyentes’.
La AEAT se reafirma dicendo que sus sistemas no han sido vulnerados. Tras haber terminado el informe preliminar, el día 5 de diciembre sugiere un ciberataque a una entidad privada especializada en asesoría fiscal y laboral ubicada en Málaga, sin conexión con la AEAT.
Medidas que deben tomar los usuarios
- Revisar los movimientos bancarios regularmente.
- Cambiar contraseñas en los servicios relacionados con la AEAT.
- Denunciar cualquier actividad sospechosa a las autoridades.
- Mantenerse informado sobre el caso.
Podrían revelar datos como nombres, dirección e información fiscal o bancaria. Estos podrían ser vendidos en mercados ilegales.
Finalmente, habrá que esperar para conocer el desenlace de un caso que podría marcar un antes y un después en España.