¿Qué pasaría si hackean a Hacienda? Entrevista a Andrés Soriano, experto en ciberseguridad

A principios de diciembre un grupo de hackers rusos llamado "Trinity" aseguró tener 560 GB datos robados de Hacienda. La Agencia Tributaria negó la brecha, y es que parece que el hackeo es a una empresa externa, pero el escenario donde un organismo público de tal importancia es hackeado nunca resulta descabellado; de hecho, algo parecido pasó recientemente con el CSIC.

Por ello hemos entrevistado a Andrés Soriano, CISO de la institución de educación superior UNIVERSAE y experto en ciberseguridad, para que nos revele qué pasaría si se hackease la Agencia Tributaria, qué métodos son los más utilizados por los ciberdelincuentes o que buscan con hackeos públicos, entre otras claves.

Andro4all (A4A): En el caso de que se hackease la Agencia Tributaria, ¿cómo afectaría a los ciudadanos? Si, por ejemplo, los delincuentes obtuviesen los datos o los llegasen a utilizar para cometer actividades delictivas, ¿cómo se responsabilizaría la Agencia?

Andrés Soriano (AS): Si bien la Agencia Tributaria (AEAT) ha negado en los últimos días haber sufrido una brecha de seguridad, y todo apunta a que los datos filtrados provienen de una gestoría privada especializada en asesoría fiscal, resulta pertinente reflexionar sobre las implicaciones de un hipotético ciberataque en el que algún grupo cibercriminal logre exfiltrar datos sensibles de la AEAT. Ya que, en un escenario de este tipo, las repercusiones serían significativas tanto para los ciudadanos como para la propia institución, ya que la información manejada por la Agencia Tributaria incluye datos personales, financieros y otros especialmente sensibles de todas las personas físicas y jurídicas que deben atender los requerimientos de fiscalidad del Gobierno español.

En primer lugar, los ciudadanos enfrentarían riesgos directos asociados a la exposición de sus datos sensibles. Información como nombres, direcciones, números de identificación fiscal, ingresos, cuentas bancarias y tarjetas asociadas, propiedades, subvenciones y ayudas a las que están acogidos, grados de minusvalía, etc. podrían ser utilizados para cometer robo de identidad, fraudes financieros o extorsión. Los atacantes podrían también emplear esta información para desarrollar campañas de phishing altamente personalizadas, simulando comunicaciones legítimas de la AEAT o de otras instituciones, con el objetivo de obtener más datos o dinero de las víctimas. Esta situación no solo comprometería la seguridad individual de los afectados, sino que generaría desconfianza generalizada hacia las instituciones públicas encargadas de proteger los datos de los ciudadanos.

Por otro lado, la AEAT tendría que enfrentar importantes responsabilidades legales y operativas. En el marco del Reglamento General de Protección de Datos (RGPD), la Agencia estaría obligada a notificar tanto a las autoridades competentes como a los ciudadanos afectados sobre el incidente, proporcionando detalles sobre el alcance de la brecha y las medidas tomadas para mitigar los riesgos. Si se identificaran fallos en las medidas de seguridad implementadas, la AEAT podría enfrentarse a sanciones administrativas significativas, además de daños reputacionales que podrían comprometer la percepción de su capacidad para gestionar información crítica.

Este hipotético escenario subraya la importancia de que las instituciones públicas y gubernamentales, especialmente aquellas que manejan datos sensibles de todos los ciudadanos, adopten más si cabe, un enfoque proactivo en ciberseguridad. Esto implica no solo implementar tecnologías avanzadas, sino también contar con el personal necesario y cualificado para combatir estas amenazas. Que deberá acompasarse con el establecimiento de protocolos claros y estructurados de respuesta a incidentes. Además de la necesaria colaboración internacional que debe realizarse entre otras administraciones gubernamentales y Fuerzas y Cuerpos de Seguridad de la Comunidad Internacional con los que fortalecer el ecosistema de seguridad, pues nos enfrentamos a un entorno de amenazas transnacionales cada vez más sofisticadas y en constante evolución.

A4A: ¿Cómo es posible que administraciones públicas o empresas que gastan millones de euros en seguridad sean hackeadas? Muchas veces son hackeadas por una sola persona, ni siquiera grupos organizados. Recientemente vimos el ejemplo del CSIC, que lleva varias semanas con problemas tras un ataque, ¿por qué sucede esto?

AS: El hecho de que administraciones públicas o empresas que destinan millones de euros a ciberseguridad sean vulneradas, como ocurrió recientemente con el CSIC, donde un ataque de ransomware paralizó operaciones clave y dejó sin acceso a la red a más de 600 empleados, demuestra que la inversión económica no siempre garantiza la invulnerabilidad. En el caso del CSIC, los atacantes explotaron vulnerabilidades en sistemas heredados y aprovecharon la complejidad de la red para cifrar múltiples archivos, obligando a desconectar sistemas críticos como medida de contención. Este ataque pone de manifiesto cómo incluso organizaciones con amplios recursos pueden ser víctimas de fallos en la gestión de riesgos o en la actualización y modernización de infraestructuras.

Un factor clave que facilita este tipo de incidentes es el error humano, especialmente a través del phishing y la ingeniería social, vectores de ataque ampliamente utilizados por los ciberdelincuentes. Estas técnicas se basan en el engaño y manipulación del personal laboral, logrando que empleados proporcionen acceso involuntario a los sistemas mediante correos electrónicos fraudulentos, enlaces maliciosos o la entrega de credenciales confidenciales. A pesar de las inversiones en tecnología, una única interacción descuidada por parte de un empleado puede comprometer la seguridad de toda la organización. Estas tácticas son efectivas porque no atacan directamente a la infraestructura tecnológica, sino al eslabón más vulnerable: las personas.

Además, las amenazas internas o insiders agravan la situación. Los empleados malintencionados o aquellos que, por desconocimiento, desactivan controles de seguridad o acceden indebidamente a información crítica, pueden proporcionar a los atacantes vías de entrada inesperadas. La combinación de estos factores hace que el error humano, ya sea por manipulación externa o acciones internas, sea un desafío significativo para las estrategias de ciberseguridad.

La coexistencia de sistemas obsoletos, el uso de técnicas de ingeniería social y la complejidad de las infraestructuras convierten a las grandes organizaciones en objetivos atractivos. Los atacantes, incluso actuando de forma individual, emplean tácticas ágiles y precisas para explotar estas debilidades, mientras que las instituciones, muchas veces limitadas por procesos burocráticos, pueden tardar en implementar las medidas necesarias. Asimismo, los riesgos asociados a la cadena de suministro amplifican las vulnerabilidades, ya que los proveedores externos suelen ser utilizados como puntos de entrada indirectos.

Mitigar estos riesgos requiere un enfoque integral que combine tecnología, procesos claros, fuerza laboral especializada, formación continua y fomento de la cultura de seguridad en todos los eslabones del tejido productivo.

A4A: ¿Qué métodos son más utilizados por los ciberdelincuentes para efectuar los hackeos?

AS: Los ciberdelincuentes emplean una amplia variedad de métodos para llevar a efecto sus actividades delictivas, combinando metodologías técnicas y humanas que les permiten penetrar las defensas de casi cualquier organización. Entre los métodos más utilizados, el phishing sigue siendo uno de los principales vectores de entrada. Esta técnica utiliza correos electrónicos, mensajes o llamadas fraudulentas que simulan provenir de fuentes legítimas para engañar a los usuarios y obtener credenciales de acceso o instalar malware en los sistemas. En combinación, la ingeniería social manipula psicológicamente a los empleados para que realicen acciones perjudiciales, como compartir información sensible o desactivar controles de seguridad.

Otro método común es la explotación de vulnerabilidades. Los atacantes realizan escaneos automatizados para identificar fallos de seguridad en sistemas o aplicaciones que no han sido parcheados. Estas vulnerabilidades permiten comprometer servicios, inyectar código malicioso o escalar privilegios dentro de la red. En entornos con sistemas heredados (legacy), estas brechas son especialmente críticas, ya que suelen carecer de soporte o actualizaciones regulares.

El uso de malware, particularmente el ransomware, ha ganado relevancia en los últimos años. Este tipo de software malicioso cifra los datos de la víctima y exige un rescate para liberarlos. A menudo, el ransomware se combina con la exfiltración de datos sensibles para aumentar la presión sobre la organización afectada, junto a otros tipos de extorsión. Otros tipos de malware, como troyanos y keyloggers, son empleados para obtener acceso persistente a los sistemas o registrar información sensible, como contraseñas y actividad de los usuarios.

Una tendencia creciente es la acción de los Initial Access Brokers, ciberdelincuentes especializados en comprometer redes y vender accesos iniciales a otras organizaciones criminales. Estos accesos incluyen credenciales válidas, conexiones VPN comprometidas o puertas traseras en servidores, facilitando ataques más sofisticados como ransomware o espionaje.

Los ataques a la cadena de suministro son otro vector crítico. Los atacantes comprometen proveedores externos o desarrolladores de software que interactúan con la organización objetivo, infiltrando malware o alterando actualizaciones legítimas para obtener acceso a los sistemas internos de la víctima.

Por último, los insiders representan una amenaza significativa. Estos pueden ser empleados descontentos que actúan de forma malintencionada o personal que, por descuido, facilita sin querer el acceso a los atacantes. Los insiders son difíciles de detectar, ya que operan desde dentro de la red y pueden tener acceso privilegiado a los datos críticos.

A4A: ¿Qué suelen buscar los hackers con ataques a organismos públicos?

AS: Los ataques a organismos públicos suelen estar motivados por diversos objetivos estratégicos, económicos o geopolíticos primordialmente. Los ciberdelincuentes que dirigen sus esfuerzos hacia estas entidades lo hacen aprovechando su relevancia institucional, el volumen y la sensibilidad de los datos que manejan, y la posibilidad de causar un impacto significativo en la sociedad. Entre los principales objetivos de estos ataques destacan:

Acceso a datos sensibles:

Los organismos públicos gestionan grandes cantidades de información confidencial, como datos personales, financieros y de seguridad nacional. Los atacantes buscan esta información para venderla en mercados clandestinos, utilizarla en extorsiones o para otros fines delictivos como el robo de identidad o el fraude masivo.

Ejemplo: Datos tributarios, registros sanitarios, expedientes judiciales o padrones poblacionales.

Espionaje y obtención de inteligencia:

Los actores patrocinados por Estados buscan información estratégica que pueda otorgar ventajas tácticas, políticas o económicas. Este tipo de espionaje incluye obtener datos sobre políticas gubernamentales, contratos sensibles, relaciones diplomáticas o tecnologías en desarrollo.

Ejemplo: Amenazas avanzados persistentes (APT) que explotan vulnerabilidades para infiltrarse en redes críticas y socavar unas elecciones presidenciales.

Desestabilización y disrupción operativa:

Algunos ataques buscan paralizar servicios esenciales como sistemas bancarios, de salud pública o infraestructura crítica (agua, energía, transporte), generando caos, desconfianza y afectando la continuidad de las operaciones gubernamentales.

Ejemplo: Ataques de ransomware que cifran sistemas e infraestructuras, o ataques de denegación de servicio distribuida (DDoS) dirigidos a infraestructuras críticas.

Motivaciones económicas:

Muchos ataques tienen como objetivo principal la extorsión mediante ransomware, donde los atacantes cifran datos o bloquean sistemas, exigiendo un rescate para restaurar el acceso. Los organismos públicos, al manejar servicios esenciales, son percibidos como propensos a pagar debido a las consecuencias de una interrupción prolongada.

Ejemplo: Exigencia de rescates multimillonarios tras un ciberataque dirigido a un sistema público de salud o tributario.

Propaganda y reivindicaciones ideológicas:

Algunos ataques están motivados por la ideología del atacante, ya sea para exponer supuestas fallas del gobierno, promover agendas políticas, o protestar contra políticas específicas. Estos ataques suelen ser realizados por hacktivistas y buscan visibilidad mediática.

Ejemplo: Defacement de sitios web gubernamentales o publicación masiva de documentos internos para desacreditar a las instituciones.

Ataques a la cadena de suministro gubernamental:

Los ciberdelincuentes también se enfocan en proveedores o contratistas que trabajan con organismos públicos. Esto les permite acceder indirectamente a los sistemas gubernamentales, evitando medidas de seguridad más estrictas.

Ejemplo: Compromiso de software o hardware suministrado a una entidad gubernamental.

Creación de incertidumbre y desconfianza pública:

Socavar la confianza de los ciudadanos en la capacidad del gobierno para proteger sus datos y garantizar servicios esenciales. Esto puede tener repercusiones políticas y sociales a largo plazo.

A4A: ¿De qué manera afecta un hackeo a los usuarios o clientes de un servicio? (público y privado) ¿Hay aseguradoras que se dedican a costear los daños para los usuarios o algún tipo de protocolo universal, o depende de cada ente?

AS: Un ciberincidente de este calibre, ya sea en una entidad pública o privada, afecta a los usuarios a través de la exposición de datos sensibles, interrupción de servicios y pérdida de confianza en la institución, entre otras cuestiones. En ataques como phishing, ransomware o explotación de vulnerabilidades, los ciberdelincuentes acceden a información confidencial, como datos personales o financieros, que puede ser utilizada para robo de identidad, extorsión o fraudes dirigidos. Además, los usuarios pueden enfrentar problemas operativos, como la paralización de servicios críticos, con impactos económicos o sociales.

En el ámbito privado, muchas empresas cuentan con seguros de ciberseguridad, los cuales cubren gastos derivados de un ciberataque, como los costes de recuperación, indemnizaciones a usuarios afectados y servicios de protección como la monitorización de identidad. Estas aseguradoras ayudan a mitigar las consecuencias financieras y de reputación, aunque la disponibilidad y cobertura específica dependen de cada póliza y empresa.

En el ámbito público, no suele haber seguros específicos para este tipo de incidentes. Sin embargo, normativas como el Reglamento General de Protección de Datos (RGPD) obligan a las organizaciones a notificar a los afectados, implementar medidas para reducir el impacto y, en caso de negligencia, asumir sanciones económicas. No existe un protocolo universal para gestionar estas situaciones; la respuesta depende del marco regulador de cada país y de las políticas internas del ente afectado.

A4A: ¿Hay algo que pueda hacer el usuario para mantenerse a salvo tras un hackeo? O, simplemente, ¿solo puede esperar a que el organismo lo solucione?

AS: Cuando se confirma que una administración o empresa ha sido víctima de un incidente de seguridad, los usuarios no están limitados a esperar que el organismo afectado gestione el incidente; existen medidas proactivas que pueden tomar para protegerse y minimizar los riesgos.

Lo primero es cambiar inmediatamente las contraseñas de las cuentas relacionadas con los servicios comprometidos, asegurándose de crear claves únicas y robustas que no hayan sido utilizadas anteriormente. Además, es fundamental monitorear de cerca las cuentas bancarias y financieras para detectar cualquier actividad sospechosa, notificando de inmediato a la entidad financiera si se observan movimientos irregulares.

Los usuarios deben estar especialmente alerta ante intentos de phishing, ya que los atacantes podrían utilizar los datos robados para enviar mensajes personalizados que simulen ser legítimos. Es crucial evitar hacer clic en enlaces o descargar archivos de comunicaciones no verificadas.

Es importante también seguir las recomendaciones oficiales emitidas por el organismo afectado, ya que suelen incluir medidas específicas para mitigar los efectos del incidente. En paralelo, se debe evitar proporcionar información adicional a través de canales no verificados, ya que los atacantes podrían intentar aprovechar la confusión para engañar a los usuarios y obtener más datos sensibles.

Para reforzar la seguridad, se recomienda activar medidas adicionales que ya deberían tener implantadas todos los usuarios, como la autenticación multifactor (MFA) en todos los servicios que lo permitan, lo que añade una capa extra de protección frente al uso indebido de credenciales. En estas situaciones, la rapidez y la cautela son esenciales, y adoptar estas medidas puede marcar la diferencia para minimizar las consecuencias de un ciberataque y proteger la información personal de futuros riesgos.