Un grupo de hackers conocido como Trinity asegura haber robado millones de datos de la Agencia Tributaria Española (AEAT). Según lo publicado en su página de filtraciones y confirmado por servicios de monitoreo de ciberataques, han sustraído 560 GB de información, secuestrado parte de los sistemas de la AEAT, cifrado los datos y exigido un rescate, cuyo monto exacto aún no se conoce, pero que podría alcanzar varios millones de euros. Además, han amenazado con publicar toda la información el próximo 31 de diciembre si no reciben el dinero.

La AEAT, sin embargo, niega hasta el momento haber sido víctima de un ataque. Según fuentes del gobierno especializadas en cibercrimen, consultadas por El Confidencial, el robo anunciado por Trinity podría ser creíble debido a su historial en este tipo de operaciones.

La Respuesta de la Agencia Tributaria

Horas después de darse a conocer el supuesto ataque, la Agencia Tributaria aseguró que no tiene conocimiento de ningún incidente.
“En relación al supuesto caso de ciberataque, se han revisado todos los sistemas y, hasta el momento, todos los servicios funcionan sin problemas. No se ha detectado ningún indicio de equipos cifrados ni de fugas de datos. La Agencia Tributaria mantiene todos sus sistemas bajo vigilancia continua para su monitoreo,” declaró un portavoz de la AEAT.

No obstante, expertos en ciberseguridad consideran que la ausencia de incidentes visibles no garantiza que las bases de datos estén seguras. Algunos explican que, en estos casos, podría haberse comprometido una réplica de la base de datos.
“Esto permite que los sistemas sigan operando normalmente, pero la extracción de datos puede ser muy completa. Por ejemplo, si el ransomware afecta a un servidor de copias de seguridad, todo seguiría funcionando, pero los datos robados podrían ser altamente sensibles,” indicó un especialista, citando el caso del ataque masivo a Equifax en 2017, donde millones de datos fiscales de contribuyentes estadounidenses, británicos y canadienses fueron expuestos.

Cómo Funcionan los Ataques a través de la Red Sara

La red Sara es una infraestructura de comunicaciones gestionada por el Ministerio de Transformación Digital en España. Esta conecta a diversas administraciones públicas, permitiendo el intercambio de información y servicios. No es la primera vez que esta red se utiliza como vía de entrada para acceder ilegalmente a instituciones gubernamentales.

En 2022, el conocido hacker José Luis Huertas Rubio (Alcasec) robó información de más de 500,000 contribuyentes de la AEAT tras infiltrarse en la red Sara, desde donde accedió al sistema Judicial Neutral Point y, posteriormente, a los sistemas de la Agencia Tributaria.

Según un especialista consultado, “es probable que Trinity haya usado una ruta similar. Comienzan entrando en un Ayuntamiento o Diputación Provincial conectado a la red Sara, y de allí saltan hasta instituciones más grandes, como la AEAT.” Sin embargo, otras fuentes dudan de que la red Sara sea el punto de entrada en este caso, argumentando que la AEAT está aislada de esta red.

¿Un Ataque Interno?

Algunos expertos sugieren que este ciberataque podría ser obra de un insider. Es decir, alguien con acceso interno a los sistemas podría haber proporcionado vectores de acceso.
“Si el hackeo es real, parece más un trabajo interno, posiblemente facilitado por alguien con permisos dentro de la organización,” comentó una fuente conocedora de los sistemas de la Administración Pública.

¿Quiénes Son Trinity?

Trinity es un grupo de hackers relativamente nuevo, conocido por emplear ransomware del mismo nombre y una estrategia de doble extorsión. Su modus operandi incluye:

1. Exfiltración de datos: Roban los datos antes de comenzar el cifrado.
2. Cifrado de archivos: Utilizan el algoritmo ChaCha20 para bloquear los archivos, haciéndolos inutilizables sin una clave de descifrado.
3. Extorsión: Exigen un rescate monetario basado en el valor estimado de la organización atacada.

En su ataque a la AEAT, Trinity estimó el valor de la institución en 38 millones de dólares, utilizando esta cifra para calcular un rescate que podría alcanzar millones de euros.

Ataques Previos y Alerta Internacional

Trinity ha ganado notoriedad en los últimos meses tras ataques a hospitales en Estados Unidos y Reino Unido, lo que llevó al Departamento de Salud de EE.UU. a emitir un informe de alerta. Según el documento, el ransomware Trinity se detectó por primera vez en mayo de 2024 y se infiltra en sistemas mediante correos electrónicos de phishing, páginas web maliciosas y explotación de vulnerabilidades en software.

“El impacto de Trinity es devastador, ya que no existen herramientas públicas para descifrar los datos afectados,” advierte el informe.