Hacienda niega los robos de datos por parte de “hackers”

El grupo de “hackers” Trinity se atribuyó un ciberataque dirigido a la Agencia Tributaria Española (AEAT) con el que, previsiblemente mediante un ataque de “ransomware” de doble extorsión, aseguran haber robado 560GB de datos con información de los contribuyentes y del propio organismo, por lo que piden un rescate antes del 31 de diciembre para evitar publicar la filtración. Trinity es una organización de ciberdelincuentes relativamente reciente, cuyos primeros ataques se identificaron en mayo de este año. En ellos, utiliza un tipo de “software” malicioso que infiltra en los sistemas informáticos de la víctima con el fin de robar información valiosa y extorsionar a las víctimas.

En este marco, aseguran en un comunicado que una de sus víctimas es la Agencia Tributaria Española, como consecuencia de un ataque malicioso que se produjo el pasado domingo 1 de diciembre, tal y como recogieron compañías de ciberseguridad como HackManac o Secure&IT. En él, los “hackers” dicen que se saldó con el robo de un total de 560GB de datos que contienen información sensible de los contribuyentes y del organismo. Asimismo, desde Trinity amenazaron con hacer públicos todos estos datos si no reciben un rescate de 38 millones de dólares (alrededor de 36 millones de euros al cambio) antes del martes 31 de diciembre de este año.

En concreto, el modus operandi habitual de este grupo de actores maliciosos es el uso de un “ransomware” capaz de secuestrar información sensible, tal y como se registró en operaciones anteriores del grupo Trinity, recogidas por un informe de la Oficina de Seguridad de la Información de Estados Unidos. Este “ransomware”, que también se llama Trinity, se difunde en ataques de “phishing” mediante correos electrónicos, sitios web maliciosos o al interceptar vulnerabilidades de software para introducirlo en el sistema. Una vez infectado el equipo, los ciberdelincuentes llevan a cabo una estafa de doble extorsión, en la que, primero identifican y roban la información confidencial, y después la cifran y la bloquean para que no se pueda utilizar.

Bloqueo de datos

Para ello, utilizan el algoritmo de cifrado llamado ChaCha20, que bloquea los datos dejándolos inaccesibles y los etiqueta con la extensión “trinitylock”. Así, al cifrar los datos impidiendo su uso, y amenazar posteriormente con filtrarlos, ejercen una doble presión sobre las víctimas para que paguen el rescate. De hecho, según el informe estadounidense, el grupo de “hackers” también gestiona un sitio de asistencia a las víctimas para ayudarlas a descifrar los datos, así como un sitio de filtraciones donde muestra los datos robados. Por su parte, la Agencia Tributaria confirmó que revisaron todos los sistemas y que, por el momento, no se detectó ningún indicio de posibles equipos cifrados o salidas de datos. Asimismo, el organismo también indicó que continúa vigilando todos sus sistemas.