Un experto en ciberseguridad revela las claves para protegerse tras el falso hackeo a Hacienda

La noticia de un supuesto ciberataque masivo al Ministerio de Hacienda ha hecho saltar todas las alarmas este miércoles. Un grupo de hackers, autodenominado 'Hacienda SEC', aseguraba haber robado los datos de 47 millones de españoles y amenazaba con publicarlos. Sin embargo, el Gobierno ha desmentido la intrusión, un alivio que, según los expertos, no debe llevarnos a bajar la guardia. Para analizar la situación y ofrecer consejos prácticos, el experto José María Fachado, director de ciberseguridad de I3e, ha explicado los riesgos reales a los que nos enfrentamos.

Fachado ha reconocido que, de haberse confirmado, la filtración de Hacienda podría haber sido 'la más grande a nivel mundial'. Ante una noticia de esta magnitud, el experto señala que lo primero es 'ver hasta qué punto llega la filtración', ya que no siempre la información inicial es precisa. La posibilidad de que un ataque así ocurra es 'baja, pero real', incluso en sistemas tan protegidos como los de la Agencia Tributaria, que cuentan con un doble sistema de cortafuegos. 'La seguridad 100 por 100 no existe', ha sentenciado.

El 'modus operandi' de los ciberdelincuentes

Lejos de la imagen del joven hacker en un sótano, los ciberdelincuentes actuales operan como auténticas empresas. 'Actualmente, son empresas, las tenemos que ver como empresas', ha afirmado Fachado. Describe su estructura como 'naves industriales' con decenas de personas trabajando para penetrar sistemas, robar información y chantajear. Estas organizaciones criminales operan desde lugares donde la legalidad española no puede alcanzarlos, utilizando la red para atacar a cualquier objetivo en el mundo.

Actualmente son empresas, las tenemos que ver como empresas"

José María Fachado, director de ciberseguridad de I3e 

Su principal fuente de ingresos no es tanto la venta de los datos, sino la 'extorsión' a las víctimas. 'Muchas empresas pagan para recuperar sus datos o para que no sean publicados', ha explicado el experto. No obstante, la venta en la 'dark web' también es una realidad. Fachado ha puesto como ejemplo el caso de Endesa, tras el cual 'mucha gente está recibiendo llamadas para intentar venderles algún producto o engañarles', usando los datos robados para intentar acceder a sus cuentas bancarias.

Los datos sanitarios también son un botín muy codiciado. Refiriéndose al hackeo del Hospital Clínic, Fachado ha aclarado que la información de los pacientes tiene un gran valor estadístico. 'Ayudan a farmacéuticas y ayudan a la venta de productos', ha indicado. Para una empresa farmacéutica, acceder ilegalmente a estos datos supone tener 'un estudio de mercado increíble'.

El bulo de Hacienda: un ataque que no fue

Afortunadamente, el caso de Hacienda ha tenido un 'final feliz'. El Ministerio de María Jesús Montero ha negado categóricamente el hackeo. Según Fachado, el incidente 'pintaba raro desde el principio'. El grupo de hackers 'no era conocido', su técnica de amenazar con vender los datos en lugar de extorsionar no seguía el 'modus operandi habitual' y, sobre todo, 'no han presentado pruebas' de la intrusión. Poco después, la información que habían publicado desapareció.

Aunque este episodio haya quedado en un susto, el experto ha insistido en que siempre 'hay que estar en alerta'. La estrategia de los grandes grupos de ciberdelincuentes se asemeja a la de la película 'Ocean's Eleven': 'No va a ir a robar a la tiendecita de la esquina, va a ir a un gran casino'. Su objetivo son las grandes corporaciones, donde el coste-beneficio es más rentable que atacar a un ciudadano particular con ahorros limitados.

Consejos para protegerse en el día a día

Para el ciudadano de a pie, la prevención es la mejor herramienta. Fachado ha ofrecido una serie de consejos clave para evitar ser víctima de estafas. El primero es desconfiar de los mensajes o correos electrónicos con enlaces sospechosos: 'Nunca pulsemos en enlaces en mensajes ni en correo electrónico'. La recomendación es acceder siempre a las webs de bancos o servicios directamente desde el navegador, nunca a través de un link recibido.

Otra barrera fundamental es el 'doble factor de autentificación', una herramienta que añade una capa extra de seguridad. El experto subraya la importancia de activarlo no solo en apps bancarias, sino especialmente en el correo electrónico, ya que es la puerta de entrada para resetear las contraseñas del resto de servicios. También aconseja estar atento a los 'movimientos bancarios inusuales' y desconfiar de cualquier llamada en la que se soliciten datos personales. 'Una compañía, un banco, nunca nos va a pedir nuestras contraseñas', ha recordado.

Una compañía, un banco, nunca nos va a pedir nuestras contraseñas"

José María Fachado, director de ciberseguridad de I3e 

La inteligencia artificial ha añadido una nueva capa de complejidad, facilitando la manipulación de imágenes y voz para crear engaños más sofisticados. Por ello, se recomienda colgar ante llamadas dudosas y no pronunciar más de doce palabras o un simple 'sí'. En este contexto, Fachado lamenta que en España predomine una cultura reactiva frente a la ciberseguridad. 'Todos ponemos contraseñas muy fáciles, no las cambiamos cada cierto tiempo, las empresas ven la ciberseguridad como un coste en vez de como una inversión', ha criticado.

Esta falta de proactividad se da a pesar de que 'una pyme normal cada día recibe una media de 2000 ataques'. Aunque la conciencia sobre estos peligros está aumentando ligeramente, Fachado ha observado que la mayoría de las empresas 'reaccionan cuando tienen un ataque o tienen una filtración de datos', en lugar de prepararse para evitarlo. El experto concluye con un llamamiento a la acción: 'Hay que ser proactivos' y ponerse la 'tirita antes de la herida', porque en el mundo digital, esa herida puede ser muy profunda.