Hackers roban datos de la AEAT: ¿Qué riesgos implica?

Hace unos días conocimos la noticia de que un grupo de Hackers se ha atribuido el robo de 560 GB de datos confidenciales de la Agencia Tributaria Española (AEAT), exigiendo un rescate desorbitado de 38 millones de dólares antes de fin de año.

Mantenerse precavido frente a las estafas

Si los datos personales de la AEAT se filtrasen, los delincuentes tendrían datos reales del patrimonio, casas, cuentas bancarias y otra información sensible que puede hacer difícil distinguir cuando estamos ante una estafa. Es por lo que recomendamos extremar las precauciones ante avisos de la AEAT, ya sean vía email o a través de mensajes de texto.

Trinity es un programa de secuestro y extorsión gestionado por un grupo de ciberdelincuentes detrás del ataque, y que ya ha sido usado en otras ocasiones. Este programa utiliza diferentes métodos para infiltrarse y robar información de sistemas informáticos, desde explotar vulnerabilidades o enviar emails con apariencia de ser corporativos.

Por contra, la AEAT niega haber sufrido el robo, por lo que se barajan diferentes escenarios. Uno de ellos es que el grupo de hackers esté dando información falsa. Aunque se trata de un grupo de ciberdelincuentes con cierto historial delictivo.

Otro de los escenarios es que la AEAT aún se encuentre evaluando los daños y por ello no haya lanzado un comunicado oficial admitiéndolo. Lo último que transmitió fue que no habían detectado ninguna brecha de seguridad ni fuga de información.

Mientras que otra opción es que la empresa víctima del hakeo sea una tercera empresa relacionada con la AEAT. Esto es posible viendo casos similares como el del Banco Santander o la DGT. Esto es debido a que las administraciones públicas suelen subcontratar a empresas externas de tecnología para encargarse de la gestión de la información de este tipo, como las copias de seguridad.

En 2016, la AEAT licitó servicios de gestión y administración de sistemas y bases de datos, desarrollo de aplicaciones y de procesos de extracción y transformación de cargas. Adjudicándolo a (Open, Babel, Connectis y Alalza).

La importancia de proteger los datos personales

El Reglamento General de Protección de Datos (RGPD) establece que todas las organizaciones, incluidas las administraciones públicas, deben garantizar la seguridad de los datos personales mediante medidas técnicas y organizativas adecuadas. La pérdida o el acceso no autorizado a información confidencial, como la gestionada por la AEAT, podría exponer a millones de ciudadanos a riesgos como suplantación de identidad o fraude financiero.

En caso de confirmar una brecha, la normativa exige informar de inmediato a la Agencia Española de Protección de Datos (AEPD) y al INCIBE, así como comunicar a los ciudadanos afectados los riesgos y acciones a tomar. La gestión adecuada de incidentes de seguridad es clave para evitar sanciones y restaurar la confianza pública.