El grupo de cibercriminales Trinity asegura haber perpetrado un ataque masivo contra la Agencia Tributaria (AEAT), sustrayendo 560 GB de información y cifrando parte de sus sistemas. Según sus amenazas, publicarán toda la información sustraída el próximo 31 de diciembre si no se paga el rescate exigido, cuyo monto exacto aún se desconoce pero podría ascender a varios millones de euros.
La AEAT, por su parte, ha negado haber sufrido un ciberataque. «Tras una revisión de nuestros sistemas, no se ha detectado ningún indicio de incidentes o fugas de datos. Todos los servicios están operativos», afirmó un portavoz. Sin embargo, fuentes gubernamentales especializadas en cibercrimen han dado credibilidad a las afirmaciones de Trinity, basándose en el historial de este grupo y en patrones previos de ataques similares.
¿Cómo pudo ocurrir?
Especialistas en ciberseguridad apuntan a que el acceso pudo haberse producido a través de la red Sara, un sistema de comunicaciones que conecta a las Administraciones Públicas españolas. Según estas fuentes, Trinity podría haber utilizado un punto débil en un ayuntamiento o diputación para infiltrarse y, desde ahí, acceder a la AEAT. Este modus operandi es similar al de otros ataques recientes en instituciones públicas.
«La red Sara ha sido vulnerada en varias ocasiones, como ocurrió con el ataque al Servicio Público de Empleo Estatal (SEPE) o a la Dirección General de Tráfico (DGT). Sin embargo, la AEAT es uno de los organismos más aislados de esta red, lo que sugiere que el ataque también podría haber involucrado a alguien interno que proporcionara acceso», comentó un experto consultado.
Por otro lado, el grupo Trinity emplea una estrategia conocida como doble extorsión. Esto implica extraer los datos antes de cifrarlos, utilizando un ransomware que inutiliza los archivos sin la clave de descifrado. El software malicioso utilizado, identificado como Trinitylock, es especialmente sofisticado y no tiene herramientas públicas para revertir sus efectos.
Precedentes alarmantes
La amenaza recuerda al caso de Equifax en 2017, cuando los datos fiscales de 150 millones de contribuyentes en Estados Unidos quedaron expuestos. En España, la AEAT también fue objetivo en 2022, cuando el hacker conocido como Alcasec accedió a más de 500.000 registros tras infiltrarse en la red Sara.
El grupo Trinity, relativamente nuevo, ya ha ganado notoriedad con ataques recientes a hospitales en Estados Unidos y Reino Unido, lo que llevó a las autoridades norteamericanas a emitir alertas sobre su peligrosidad. Este ransomware se infiltra mediante correos de phishing y la explotación de vulnerabilidades, dejando a las víctimas sin herramientas para recuperar sus datos.
Un rescate millonario en juego
En su comunicado, Trinity valora a la Agencia Tributaria en 38 millones de dólares, una cifra que podría ser la base para calcular el rescate exigido. Este tipo de ataques plantea un grave riesgo no solo para la seguridad de los sistemas gubernamentales, sino también para la privacidad de los ciudadanos cuyos datos podrían ser expuestos.
Por ahora, las autoridades continúan investigando la veracidad de las amenazas mientras se refuerzan los sistemas de seguridad. Sin embargo, si el ataque se confirma, podría convertirse en uno de los ciberataques más graves sufridos por una institución pública en España.
