Unos piratas dicen haber robado datos a la Agencia Tributaria y esta responde que no ha detectado brecha alguna

La compañía de ciberseguridad Hackmanac, especializada en análisis de amenazas desde hace 13 años, ha publicado el supuesto secuestro (ransomware) de datos de la Agencia Tributaria de España (AEAT) mediante un programa de extorsión denominado Trinity. Según ha informado en la red X, los delincuentes reclaman 38 millones de dólares a cambio de datos que suman 560 GB, la capacidad de un disco duro medio. La fecha límite para evitar la publicación de la información supuestamente robada es el próximo 31 de diciembre. La entidad del Gobierno español ha negado el ataque e informado del funcionamiento habitual de todos los servicios. “No se ha detectado ningún indicio de posibles equipos cifrados o salidas de datos”, afirma.

Hackmanac no ha aportado más datos que la publicación en X de la captura de pantalla de la extorsión publicada en la dark web, la zona de internet a la que no se puede acceder por motores de búsqueda convencionales y que se caracteriza por el uso de redes anónimas para ocultar la identidad del usuario y la ubicación del sitio. A menudo se asocia con actividades ilegales.

La Agencia Tributaria ha asegurado que “evalúa la situación, que permanece bajo vigilancia”, pero que, hasta el momento, no han identificado brecha alguna.

Trinity es un programa de secuestro y extorsión dirigido especialmente contra infraestructuras críticas, como hospitales o centros de gestión económica y administrativa. Este programa utiliza varios métodos de ataque para infiltrarse y tomar el control de los sistemas o robar la información: correos electrónicos falsos con apariencia de ser corporativos (phishing), páginas maliciosas y explotación de vulnerabilidades de la programación.

Según el centro de seguridad estadounidense HC3, El ransomware Trinity es un actor de amenazas relativamente nuevo, similar a 2023Lock y Venus, que utiliza el algoritmo de cifrado ChaCha20. Los archivos cifrados se etiquetan con la extensión “.trinitylock”.

El ransomware Trinity se vio por primera vez en mayo de 2024 y ha sido detectado en al menos siete entidades de Estados Unidos, principalmente centros de salud. Tras la instalación, el programa comienza a recopilar detalles del sistema, como el número de procesadores, los subprocesos disponibles y las unidades conectadas para optimizar sus operaciones de cifrado multihilo. A continuación, intenta escalar sus privilegios suplantando las credenciales para un proceso legítimo. Esto le permite evadir los protocolos de seguridad y las protecciones. Además, realiza un escaneo de la red y un movimiento lateral, lo que indica su capacidad para propagarse y llevar a cabo ataques a través de múltiples sistemas en una red específica. Actualmente no hay herramientas de descifrado disponibles para el secuestro mediante Trinity, lo que deja a las víctimas con pocas opciones de recuperación.