Delincuentes cibernéticos aseguran que tienen datos fiscales de la AEAT

Trinity Ransomware Group, un grupo de ciberdelincuentes especializado en el secuestro de información para cobrar un rescate, asegura que ha sustraído 560 GB de datos de la Agencia Española de la Administración Tributaria (AEAT).

El grupo es conocido en el mundo del cibercrimen y en octubre el Centro de Ciberseguridad del Sector Salud (HC3) del gobierno de Estados Unidos advirtió que estaba atacando instalaciones estratégicas y al menos un hospital del país había caído víctima de sus ataques.

La Agencia no confirma el ataque y asegura que “no ha detectado ningún indicio de posibles equipos cifrados o salidas de datos” y que mantiene “bajo observación todos sus sistemas”, que están funcionando con normalidad.

Las 25 páginas de Wikipedia más vistas de 2024

Los hackers han publicado el supuesto ataque en su página web, donde valoran los datos robados en 38 millones de dólares y dan de plazo hasta el 31 de diciembre a la Agencia para que pague ese precio para recuperar los datos.

Sin embargo, la banda esta vez parecería haber roto sus propias normas.

Especialistas en ciberseguridad explican que habitualmente Trinity encripta paquetes de datos en la web de sus víctimas y deja una nota como fondo de pantalla explicando el secuestro, que sus datos personales y bases de datos han sido extraídas y solicitando el pago del rescate con criptomonedas a cambio de dar al atacado una clave para desencriptar los archivos.

Así mismo, esta nota, señalan las mismas fuentes, incluye la url de la página web de la banda en Onion con instrucciones y una dirección de correo electrónico de contacto para negociar la recuperación.

Los ciberataques vuelven a crecer y afectaron a más de 22.000 empresas en España en 2023

Trinity da generalmente un plazo de 24 horas a sus víctimas para que le contacten, advirtiéndoles que si no lo hacen sus datos serán filtrados o vendidos en la “Dark web”, un mercado negro al que acceden cibercriminales que pueden usar esos datos para extorsionar a las personas que allí aparezcan.

En este caso, según portavoces de la Agencia, no hay archivos encriptados, ni tampoco nota de contacto. Por ello, algunos profesionales del sector aventuran que la web hackeada pueda ser la de otra agencia tributaria española, de alguna ciudad o comunidad autónoma, o bien de alguna institución con la que la Agencia comparte datos, como administraciones autonómicas o el Punto Neutro Judicial.

Portavoces de la AEAT, sin embargo, señalan que tampoco han encontrado indicios de actividad sospechosa en esas vías de acceso indirecto.

Conoce la nueva estafa que vacía las cuentas bancarias con solo hacer clic en un anuncio publicitario

Según la agencia federal americana HC3, hasta octubre estaban confirmadas 7 víctimas de Trinity, dos de ellas centros hospitalarios, uno en Estados Unidos y otro en Gran Bretaña.

La banda empezó a operar en mayo, y algunos expertos en ciberdelincuencia vinculan su origen en el desmantelamiento de LockBit, una banda experta en secuestro de datos o ransomware que llegó a atacar a 2.500 empresas en 120 países hasta ser desmantelada el pasado mes de febrero en una operación de la Europol.

La Agencia Nacional contra el Crimen (NCA) de Reino Unido identificó a su líder como el ruso Dmitry Khoroshev, y en octubre la Guardia Civil informó que había detenido en el aeropuerto de Barajas al administrador del proveedor de servicios de Internet que empleaba, un ciudadano bielorruso del que no facilitó el nombre. Khoroshev sigue en busca y captura, con una recompensa de 10 millones de dólares del Departamento de Justicia de Estados Unidos a quien aporte pistas que faciliten su detención.

“Después de las desarticulaciones de sus operaciones en la Operación Cronos algunos de los miembros de LockBit continuaron sus actividades bajo diferentes identidades y variantes de ransomware”, explican expertos en ciberdelincuencia, que advierten sin embargo que “no hay evidencias claras que vinculen directamente” los dos grupos. 

Las ciberestafas aumentan en España a través de vídeollamadas de WhatsApp

Ambos operan de la misma manera, que los expertos denominan como “ransomware-as-a-service (RaaS)”: venden el código malicioso que desarrollan a otros hackers, llamados “afiliados”, que luego lo utilizan para realizar sus propios ataques.

También ambos utilizan técnicas de doble extorsión: además de pedir un rescate por desencriptar los datos robados, los venden para que sean utilizados por otros ciberdelincuentes.

Una mina para campañas de phishing

Si la banda realmente hubiera accedido a datos de la AEAT y este organismo no se aviniera a pagar un rescate, el acceso a datos fiscales de centenares de contribuyentes sería un gancho muy goloso para otros ciberdelincuentes especializados en campañas de “ingeniería social”: que utilicen los datos de la Agencia para contactar con los ciudadanos haciéndose pasar por ella y anunciándoles por ejemplo que les han impuesto una sanción o que necesitan su autorización para pagar el segundo plazo.

“Si una persona recibe un SMS, con peticiones de este estilo y con sus datos fiscales correctos, pidiéndole que autorice la operación en un enlace adjunto, situado en una web que imita bien la de la AEAT, es fácil que convenza a su víctima y que consiga sacarle dinero”, señala un profesional del sector.

Estafadas por un falso Brad Pitt: detenidos cinco personas por quitar 325.000 euros a dos mujeres

Expertos en cibercrimen no descartan tampoco que el ataque de Trinity tenga objetivos políticos, y no solo económicos.

Tom Burt, vicepresidente de seguridad y confianza del cliente de Microsoft, advirtió recientemente que “estamos observando una tendencia hacia la combinación de las actividades de los estados y de los cibercriminales", de forma que algunos estados contratan hackers como “mercenarios cibernéticos privados” para desestabilizar políticamente a otro estados o influir en las elecciones, como han hecho Rusia, China e Irán en la elecciones de Estados Unidos. 

También Enisa, la Agencia de Ciberseguridad de la UE, advirtió, en su informe anual, que “a medida que aumentan las tensiones geopolíticas y económicas, la guerra cibernética se intensifica y las campañas de espionaje, sabotaje y desinformación se convierten en herramientas clave para que algunos países manipulen los acontecimientos y obtengan una ventaja estratégica”.

Así, un ataque informático que permitiera difundir datos fiscales de dirigentes políticos, empresariales o sindicales podría encajar en los objetivos de estas redes.

‘Ciberengaños’ en vacaciones: cómo reclamar si has ‘picado’ en el ‘phishing’

En algunos casos estas bandas anuncian ataques que finalmente se demuestran falsos. El propio LockBit lo hizo en mayo, cuando aseguró que había robado 33 TB de datos de la Reserva Federal, el banco central de Estados Unidos.

Una afirmación que se demostró falsa. “Los atacantes suelen filtrar algunos de los datos obtenidos, para probar que realmente su ataque ha sido un éxito y poner más presión en la víctima. Entonces no lo hicieron. Como Trinity tampoco lo ha hecho en este caso”, señalan. La confirmación de la veracidad del ataque, por tanto, habrá de esperar hasta el 31 de diciembre.

Con información de La Vanguardia