El grupo de hackers Trinity se ha atribuido el robo de 560 GB de datos confidenciales de la Agencia Tributaria Española (AEAT) por los que exige un rescate de 38 millones de dólares antes de fin de año. Sin embargo, la AEAT niega haber sufrido cualquier robo o brecha de seguridad en sus sistemas.
La primera hipótesis es que Trinity se está marcando un farol y, afortunadamente, todo es mentira. Es posible, pero poco probable teniendo en cuenta el historial de esta organización de ciberdelincuentes
La segunda teoría es que, efectivamente se haya producido el hackeo pero la Agencia Tributaria lo esté negando públicamente por motivos de seguridad hasta que sea capaz de evaluar los daños y controlar la situación.
La tercera hipótesis, formulada por la experta en ciberseguridad Rosa Ortuño Melero, es que la víctima del hackeo no sea la AEAT, sino la empresa privada encargada de almacenar las copias de seguridad de la base de datos de Hacienda, "que es lo que hemos visto últimamente en otros ataques a universidades, al banco Santander o a la DGT", señala Ortuño.
Y es que, aunque las administraciones públicas son las responsables de la gestión y el tratamiento de nuestros datos, la mayoría de ellas subcontratan a empresas de tecnologías para encargarse de esta labor y los servidores de copias suelen estar en manos de terceros.
Muchas administraciones públicas subcontratan a empresas privadas para encargarse de la gestión y almacenamiento de nuestros datos
En el caso de la AEAT, en el año 2016 sacó a licitación los "servicios de gestión y administración de Sistemas y de Bases de Datos, así como de desarrollo y mantenimiento de aplicaciones y de procesos de extracción, transformación y cargas". El valor estimado del contrato fue de 7,86 millones de euros y se adjudicó a una UTE (Open, Babel, Connectis y Alalza).
"La AEAT tiene que comprobar que no tiene sus sistemas secuestrados o una brecha de seguridad", señala Ortuño, aludiendo al modus operandi de "doble extorsión" de Trinity (secuestran los datos y piden doble rescate: uno por liberarlos y otro por no difundirlos). "Cuando lo comprueben, podríamos estar ante un hackeo de sus copias de seguridad. En ese caso, tienen que informar inmediatamente a la Agencia de Protección de Datos, al INCIBE y a los ciudadanos para alertarles de lo que podría suceder".
"No se están haciendo los controles suficientes"
En opinión de Ortuño, "la concienciación en ciberseguridad debería haber llegado a España hace muchos años" y actualmente, "falta compromiso e inversión por parte de las empresas, además de buenos profesionales".
Y en el caso de los organismos públicos, "hay mucha dependencia de terceros y no se están haciendo los controles suficientes para garantizar la cadena de custodia de los datos. Hay una falta de control", señala la experta en ciberseguridad.
Atención a las estafas. Tras el hackeo de las bases de datos de la DGT, miles de ciudadanos recibieron mensajes de texto con supuestas multas no pagadas en las que se aportaba información real de sanciones, la matrícula y el modelo del coche e incluso el número de cuenta bancaria. Muchos de ellos, accedieron al enlace que se facilitaba en el mensaje y fueron víctimas de ciberestafas.
En este caso, señala Ortuño, si los datos de Hacienda llegan a la deep web, los delincuentes "tendrían datos reales de nuestras cuentas bancarias, casas, patrimonio… es una información muy sensible y va a ser más difícil todavía distinguir si estamos ante un fraude".
Información: Marta Arce (Libre Mercado)
Comments