La "fuga" de la Agencia Tributaria: Cuando el pánico digital oculta el verdadero problema

El pasado 31 de enero nos despertamos con una noticia que, de ser cierta, helaría la sangre de cualquier responsable de cumplimiento; una supuesta filtración masiva de la Agencia Tributaria (AEAT) que comprometería 47 millones de registros de ciudadanos españoles. Según la alerta inicial difundida por consultoras de inteligencia como HackManac y recogida por medios como El País, un actor bajo el alias "HaciendaSec" estaría comercializando esta información, que incluiría desde NIFs y hasta datos bancarios. Sin embargo, antes de ceder al pánico colectivo, es nuestro deber como profesionales de la ciberseguridad detenernos, respirar y analizar los hechos con lupa técnica, porque en este rompecabezas hay piezas que, francamente, no encajan.

Lo primero que llama la atención es la identidad del atacante; en el ecosistema del cibercrimen, la reputación lo es todo, y el alias "HaciendaSec" carece de un historial reconocido en foros de la dark web que respalde una operación de este calibre. De acuerdo con lo señalado por diversas fuentes de inteligencia de amenazas, no estamos ante un grupo consolidado de ransomware con una infraestructura conocida, sino ante un perfil que surge de la nada reclamando la "joya de la corona" de la administración pública. Esto, por sí solo, ya debería encender nuestras luces de escepticismo sobre la veracidad o, al menos, la frescura de los datos.

A esto se suma la cuestión volumétrica y la capacidad de detección, ya que extraer 47 millones de registros de una infraestructura crítica como la de Hacienda sin hacer saltar ni una sola alarma es, con la tecnología actual, extremadamente improbable. Estamos hablando de un volumen de tráfico de datos (exfiltración) que generaría un "ruido" digital ensordecedor en cualquier SIEM (sistema de gestión de eventos de seguridad) moderno. El hecho de que la propia Agencia Tributaria haya declarado que, tras revisar sus sistemas, no ha encontrado evidencias de intrusión ni bloqueos de servicios, nos da cierta tranquilidad; si hubiera una backdoor (puerta trasera) activa drenando esa cantidad de información en tiempo real, los monitores de tráfico de red estarían en rojo incandescente.

Entonces, si asumimos que la muestra de datos presentada por los atacantes es real (aunque sea parcial), ¿de dónde sale? Aquí es donde debemos mirar más allá del hackeo de película; la teoría de un insider o empleado desleal que extraiga tal volumen es posible, pero logísticamente compleja sin dejar rastro forense inmediato. Personalmente, y basándome en casos similares que hemos analizado en el sector, me inclino hacia una hipótesis menos sofisticada pero más dolorosa: la mala gestión de activos tecnológicos obsoletos.

Es muy probable que no estemos ante una intrusión en los servidores actuales, sino ante la "resurrección" de información antigua alojada en hardware retirado; ocurre más a menudo de lo que creemos: servidores, cabinas de almacenamiento o copias de seguridad en cinta que son dadas de baja y salen de la organización sin pasar por un proceso certificado de borrado seguro o destrucción física. Si un disco duro con una base de datos de hace tres o cuatro años termina en el mercado de segunda mano sin haber sido debidamente sanitizado, un tercero puede recuperar esa información y presentarla hoy como un "hackeo reciente" para inflar su valor en el mercado negro.

La lección que esto nos deja a las empresas, y especialmente a las PYMES, es crítica: La ciberseguridad no termina cuando el firewall detiene un ataque o cuando el antivirus limpia un archivo; la seguridad abarca el ciclo de vida completo del dato, hasta su muerte. De nada sirve tener la fortaleza digital más inexpugnable si, al renovar los ordenadores de la oficina o cambiar el servidor, entregamos los viejos equipos a un tercero sin garantizar que la información que contenían ha sido destruida de forma irrecuperable.

En Ciberseguridad 720 siempre recordamos que el eslabón más débil a veces no es un usuario haciendo clic en un enlace, sino un disco duro olvidado en un cajón o vendido al peso. La gestión de activos y el borrado seguro no son solo trámites burocráticos, son la última línea de defensa de nuestra reputación.

Equipo de Ciberseguridad 720