Un hacker asegura haber robado a Hacienda los datos bancarios y personales de 47 millones de españoles: esto es lo que se sabe

Un actor malicioso en internet ha afirmado haber accedido a los sistemas del Ministerio de Hacienda y haber extraído datos personales y bancarios de millones de ciudadanos españoles, algo que ha sido desmentido por el Ministerio. 

te puede interesar

Alerta si tienes Android: un nuevo tipo de troyano infecta estos teléfonos

 ¿Qué habría ocurrido?  

La alerta se originó a raíz de la publicación de la plataforma de seguridad Hackmanack, que alertaba de un anuncio en la denominada dark web donde un usuario que se hace llamar “HaciendaSec” asegura haber conseguido una base de datos con la información de 47,3 millones de personas, que incluiría desde números de identidad hasta IBAN y datos fiscales.  

El supuesto ataque fue detectado por la plataforma de ciberseguridad el 31 de enero.  En esa publicación creada por el hacker en la dark web se detallaba que la base de datos ofrecida para venta contemplaba nombres completos, DNI o NIF, direcciones residenciales, números de teléfono, correos electrónicos y datos bancarios como los números de cuenta (IBAN), así como información relacionada con obligaciones fiscales. 

Pese a estas afirmaciones, el Ministerio de Hacienda ha negado que exista evidencia de un ciberataque que haya comprometido sus sistemas. Fuentes oficiales han asegurado que, tras revisar sus protocolos y procedimientos de seguridad internos, no se ha detectado ningún indicio de acceso no autorizado a su base de datos.

Un ataque no confirmado

 Los responsables de seguridad del departamento, bajo la dirección de la ministra María Jesús Montero, han desmentido el ataque. 

Han señalado que no figuran registros de que los datos se hayan extraído de forma ilícita ni de que se hayan visto comprometidos los sistemas de la Agencia Tributaria.

En este caso, Hacienda ha activado sus protocolos de respuesta ante incidentes cibernéticos para evaluar cualquier rastro de intrusión, pero por ahora ha insistido en que no hay datos concretos que prueben la existencia de una brecha, por lo que hay relativa tranquilidad.

Además, el gigantesco volumen de los datos hace que la idea del ataque sea inverosímil. La población del país es de 49 millones de personas, pero el número de contribuyentes de Hacienda el año pasado era tan solo de 30 millones. 

Naturalmente, no tiene sentido que tengan más datos de contribuyentes que contribuyentes mismos en Hacienda, de manera que hace que la veracidad del ataque quede en entredicho. 

Otro dato sospechoso es la muestra de datos supuestamente robados ofrecidos por el hacker en su anuncio. Algunos datos no cuadrarían, según fuentes policiales de La Razón, de manera que su veracidad quedaría en entredicho y, con ella, la de toda la amenaza. 

¿Qué significaría el ataque?

En un escenario hipotético, si un ataque de este tipo fuera real y esos datos efectivamente hubieran sido sustraídos, las implicaciones serían extremadamente graves para los ciudadanos y para la seguridad nacional. 

DNI/NIF, direcciones, números de teléfono, identificadores bancarios y correos electrónicos son precisamente los datos que los ciberdelincuentes utilizan para llevar a cabo fraudes de identidad, phishing dirigido, intentos de robo en cuentas bancarias o suplantación online. 

El IBAN, por ejemplo, no solo identifica una cuenta, sino que puede facilitar operaciones fraudulentas si se combina con otros datos sensibles. Y la información fiscal puede revelar detalles sobre ingresos y situación patrimonial que pueden ser explotados para engañar a víctimas a través de llamadas o correos aparentemente legítimos.

Aunque aún no haya confirmación oficial de una brecha, lo recomendable es desconfiar de mensajes o llamadas que soliciten información personal o financiera, y verificar siempre la autenticidad de cualquier comunicación que parezca provenir de Hacienda u otros organismos públicos.

A pesar de que , de momento, el Ministerio desmienta el ataque, la recomendación general es mantener la calma pero reforzar las buenas prácticas de seguridad digital, como cambiar contraseñas periódicamente, activar sistemas de autenticación fuertes y prestar atención a cualquier comunicación sospechosa relacionada con datos fiscales o financieros.