Unos piratas dicen haber robado datos a la Agencia Tributaria y esta responde que no ha detectado brecha alguna
Los ¡®hackers¡¯ aseguran que han tenido acceso al organismo con el programa de secuestro Trinity y exigen 38 millones de d¨®lares antes del 31 de diciembre
La compa?¨ªa de ciberseguridad Hackmanac, especializada en an¨¢lisis de amenazas desde hace 13 a?os, ha publicado el supuesto secuestro (ransomware) de datos de la Agencia Tributaria de Espa?a (AEAT) mediante un programa de extorsi¨®n denominado Trinity. Seg¨²n ha informado en la red X, los delincuentes reclaman 38 millones de d¨®lares a cambio de datos que suman 560 GB, la capacidad de un disco duro medio. La fecha l¨ªmite para evitar la publicaci¨®n de la informaci¨®n supuestamente robada es el pr¨®ximo 31 de diciembre. La entidad del Gobierno espa?ol ha negado el ataque e informado del funcionamiento habitual de todos los servicios. ¡°No se ha detectado ning¨²n indicio de posibles equipos cifrados o salidas de datos¡±, afirma.
Hackmanac no ha aportado m¨¢s datos que la publicaci¨®n en X de la captura de pantalla de la extorsi¨®n publicada en la dark web, la zona de internet a la que no se puede acceder por motores de b¨²squeda convencionales y que se caracteriza por el uso de redes an¨®nimas para ocultar la identidad del usuario y la ubicaci¨®n del sitio. A menudo se asocia con actividades ilegales.
La Agencia Tributaria ha asegurado que ¡°eval¨²a la situaci¨®n, que permanece bajo vigilancia¡±, pero que, hasta el momento, no han identificado brecha alguna.
Trinity es un programa de secuestro y extorsi¨®n dirigido especialmente contra infraestructuras cr¨ªticas, como hospitales o centros de gesti¨®n econ¨®mica y administrativa. Este programa utiliza varios m¨¦todos de ataque para infiltrarse y tomar el control de los sistemas o robar la informaci¨®n: correos electr¨®nicos falsos con apariencia de ser corporativos (phishing), p¨¢ginas maliciosas y explotaci¨®n de vulnerabilidades de la programaci¨®n.
Seg¨²n el centro de seguridad estadounidense HC3, El ransomware Trinity es un actor de amenazas relativamente nuevo, similar a 2023Lock y Venus, que utiliza el algoritmo de cifrado ChaCha20. Los archivos cifrados se etiquetan con la extensi¨®n ¡°.trinitylock¡±.
El ransomware Trinity se vio por primera vez en mayo de 2024 y ha sido detectado en al menos siete entidades de Estados Unidos, principalmente centros de salud. Tras la instalaci¨®n, el programa comienza a recopilar detalles del sistema, como el n¨²mero de procesadores, los subprocesos disponibles y las unidades conectadas para optimizar sus operaciones de cifrado multihilo. A continuaci¨®n, intenta escalar sus privilegios suplantando las credenciales para un proceso leg¨ªtimo. Esto le permite evadir los protocolos de seguridad y las protecciones. Adem¨¢s, realiza un escaneo de la red y un movimiento lateral, lo que indica su capacidad para propagarse y llevar a cabo ataques a trav¨¦s de m¨²ltiples sistemas en una red espec¨ªfica. Actualmente no hay herramientas de descifrado disponibles para el secuestro mediante Trinity, lo que deja a las v¨ªctimas con pocas opciones de recuperaci¨®n.