El grupo de hackers conocido como Trinity ha sorprendido a España al reclamar un rescate de 38 millones de dólares tras supuestamente robar 560 GB de datos confidenciales de la Agencia Tributaria Española (AEAT). A pesar de esta alarmante noticia, la AEAT ha negado cualquier robo o brecha de seguridad en sus sistemas. Pero, ¿cómo es posible esta contradicción?

Examinemos las tres principales hipótesis en torno a este escándalo:

1. La Faroles de Trinity

La primera teoría sugiere que los hackers podrían estar tratando de engañar al público. No sería la primera vez que un grupo de ciberdelincuentes intenta sacar rédito sin tener información veraz. Sin embargo, dada la reputación de Trinity, esta opción parece poco probable.

2. Encubrimiento de la AEAT

La segunda hipótesis postula que, si realmente ocurrió el hackeo, la Agencia Tributaria podría estar minimizando la situación públicamente por razones de seguridad, intentando evaluar el daño antes de hacer un anuncio oficial sobre un problema serio.

3. El verdadero blanco: Subcontratistas

La tercera y más inquietante teoría, formulada por la experta en ciberseguridad Rosa Ortuño Melero, indica que el verdadero objetivo del hackeo podría no ser la AEAT, sino una empresa privada encargada de gestionar sus copias de seguridad. Este patrón se ha visto en ataques recientes a instituciones como universidades y bancos, donde el foco no era la entidad principal sino sus proveedores.

La dependencia de las administraciones públicas de terceros para la gestión de datos es alarmante. En 2016, la AEAT subcontrató servicios críticos, valorados en 7,86 millones de euros, a un consorcio de empresas tecnológicas. Esto plantea grandes riesgos sobre la seguridad de información sensible.

Ortuño afirma que “la AEAT debe verificar el estado de sus sistemas para asegurarse de que no están secuestrados”. Además, advierte que, si surge una brecha de seguridad, es crucial que la AEAT informe inmediatamente a la Agencia de Protección de Datos y al INCIBE, así como a la población afectada, para prevenir posibles delitos.

¡Alerta de estafas!

La preocupación por el uso indebido de datos es mayúscula. Después del hackeo de la DGT, miles de ciudadanos recibieron mensajes de texto fraudulentos que les informaban sobre multas inexistentes, utilizando sus datos personales para darles credibilidad. Si los datos de la AEAT terminan en la deep web, los delincuentes podrían tener acceso a información crítica como cuentas bancarias y patrimonio, complicando aún más la lucha contra el fraude.

La falta de control y conciencia en ciberseguridad en España ha dejado a las instituciones vulnerables. Como señala Ortuño, “es imperativo que ness empresariales y públicas hagan su tarea y fortalezcan sus defensas para proteger la información de los ciudadanos”. Esta situación es un recordatorio de que la seguridad en línea no es solo una responsabilidad individual, sino un deber colectivo.