Economía

El Gobierno se blinda ante la amenaza de ciberataques rusos en la Campaña de la Renta

La Agencia Tributaria extrema los controles ante el inicio de la Campaña de la Renta, en la que suele sufrir ciberataques en los que se suplanta su identidad, este año en plena alerta por el asalto de hackers rusos a organismos públicos

  • Oficina de la Agencia Tributaria. -

Más de 21 millones de españoles están llamados a realizar la Campaña de la Renta desde este miércoles 6 de abril, la mayor movilización tributaria de las muchas que realiza la Agencia Tributaria (AEAT) y desde 2018, ya completamente digital. A las 00.00 horas del 6 de abril ya puede presentarse la declaración y solicitar la devolución, a la que tienen derecho más de 14 millones de contribuyentes, este año, además, a las puertas de las vacaciones de la Semana Santa. Las devoluciones suelen producirse a las 48 horas de iniciada la Campaña, es decir, el viernes 8 de abril.

La Agencia Tributaria está a la vanguardia digital de la Administración española y protege sus sistemas con los más altos estándares y cortafuegos. Sin embargo, la Campaña de la Renta, su joya de la corona, sufre todos los años ciberataques, que suelen dirigirse contra los contribuyentes a través de suplantaciones de identidad.

Este año, en que se vienen produciendo ciberataques rusos desde antes de la invasión de Ucrania y que se han incrementado desde que empezó la guerra el 24 de febrero, según han alertado el Centro Criptológico Nacional (CCN) y el CNI, preocupan especialmente estos ataques.

También los que se puedan dirigir contra la propia AEAT, que maneja datos fiscales y patrimoniales extremadamente sensibles, y contra sus sistemas. En los primeros días de Campañas pasadas, estos se caían en ocasiones por la saturación, con interrupciones rápidamente subsanadas.

Además de extremar la alerta y los controles, el Gobierno ha tomado dos medidas en el último Consejo de Ministros: ha aprobado un blindaje de la Administración contra ciberataques en el Plan de Choque contra los efectos de la guerra de Ucrania, y ha validado un Real Decreto-ley sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas, ambos en vigor desde el jueves.

Todo esto coincide además en un momento de máxima tensión para la AEAT, ya que es la encargada de gestionar las ayudas directas para carburantes de las que pueden beneficiarse todos los españoles, y para el gasóleo profesional que se dirigen al transporte, en pleno caos de solicitudes de anticipos por parte de las gasolineras. También le tocan en suerte al Fisco las ayudas directas a distintos sectores afectados por la crisis, catarata de nuevas bonificaciones que han entrado en vigor cuando cerraba los últimos detalles de la Campaña de la Renta.

En este escenario, el Real Decreto del Plan de Choque contra la guerra modifica la Ley 39/2015 del Procedimiento Administrativo Común de las Administraciones Públicas y amplía los plazos de los procedimientos administrativos en caso de un ciberataque. Ello supone para las Administraciones Públicas "un elemento de refuerzo de adicional" en caso de ciberataque grave y porque se plantea ahora una ampliación general, apunta el Decreto.

A su vez, el Real Decreto-ley 7/2022 sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación advierte de "elevado riesgo de ciberataques". "El conflicto está provocando importantes implicaciones para la Unión Europea, entre las que se encuentra el incremento considerable del riesgo de ciberataques por motivos geoestratégicos", avisa.

Los días 14 de enero, 15 de febrero y 23 de febrero de 2022, se han constatado ciberataques que han afectado gravemente a servicios gubernamentales y bancarios de Ucrania, constata esta norma. Asimismo, en las últimas semanas, se han recibido diversas alertas de la Agencia de Ciberseguridad e Infraestructuras (CISA) de Estados Unidos, "que destacan la necesidad de reforzar la protección de los países europeos frente a posibles ciberamenazas", añade.

Respecto a los controles de seguridad informática que se vienen implementando en la AEAT, entre las medidas de seguridad, desde el Sindicato de Técnicos de Hacienda (Gestha) trasladan que el tratamiento de datos personales ha sido evaluado mediante un análisis de riesgos que ha permitido obtener la relación de medidas técnicas y organizativas necesarias para evitar la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.

Las medidas adoptadas tienen en cuenta el estado de la tecnología, la naturaleza de los datos y los riesgos a los que están expuestos y se revisan periódicamente para garantizar su adaptación a nuevas situaciones o escenarios de riesgo. Dichas medidas han sido aplicadas de acuerdo al Plan de adecuación aprobado, y recogen su Política de Seguridad de la Información.

La AEAT dispone de un Sistema de Gestión de la Seguridad de la Información (SGSI) conforme a las exigencias del Esquema Nacional de Seguridad (ENS) para los servicios y las infraestructuras físicas de sus centros de datos. En los Centros de Proceso de Datos (CPD) se garantiza el cumplimiento de requisitos de seguridad en materia de acceso físico y protección de las infraestructuras generales: suministro eléctrico, climatización, comunicaciones, etc.

Asimismo, la AEAT cuenta con un proceso de gestión y de un equipo de respuesta ante incidentes, a través de los cuales cubre el ciclo completo de vida de los incidentes de seguridad, desde la detección y registro, hasta la resolución del mismo, incluyendo el análisis, tipificación, respuesta inmediata y notificación.

Las empresas de ciberseguridad ven riesgo por la guerra

La invasión de Ucrania por parte de Rusia ha añadido una derivada más: la presión sobre el ciberespacio. Vozpópuli publicó en exclusiva la semana pasada un ciberataque al Congreso del tipo más común cuando hablamos de incidentes provenientes de suelo ruso -también se produjo otro a Iberdrola-. No tienen por qué provenir de organismos o redes de ciberdelincuencia rusas, pero sí de servidores ubicados en el país. Con la declaración de la Renta en ciernes y el conflicto bélico sin visos de detenerse en el corto plazo, los vectores de riesgo aumentan.

"Dada la situación actual, todo hace pensar que, efectivamente, este año nos enfrentaremos a un incremento en el número y la peligrosidad de los ataques que utilizan la Renta como excusa para extenderse", asegura Miguel López, Country Manager de la empresa de ciberseguridad Barracuda Networks.

Las empresas de ciberseguridad son conscientes de que las Campañas de la Renta son momentos especialmente delicados para la ciberseguridad. Aprovechando que prácticamente todas las personas que trabajan están obligadas a hacerla, los ciberdelincuentes utilizan técnicas de suplantación de identidad (phishing) para hacerse pasar por entidades bancarias u organismos públicos.

En la mayoría de los casos, los ciberdelincuentes reclaman, en el nombre del banco u organismo estatal, sus contraseñas o la realización de pagos que, de no hacerse cuanto antes, supondrán un recargo adicional. Ni que decir tiene que nunca hay que facilitar claves ni realizar abono alguno. No es la forma en que actúan bancos y organizaciones públicas. Son prácticas con las que los ciberdelincuentes buscan hacer su agosto.

"Todos los años se detecta un incremento de los ciberataques que utilizan la compaña de Renta como excusa para intentar acceder a credenciales de los usuarios, robar datos confidenciales, realizar diversas estafas económicas. Entre los ataques más habituales, cabe destacar los que se basan en phishing y tratan de suplantar notificaciones de la Agencia Tributaria solicitando al usuario información confidencial, credenciales de acceso, datos financieros o directamente la ejecución de un pago económico debido a una supuesta multa o similar", explica López.

El phishing no es el único riesgo al que está sujeto el ciudadano durante esas fechas. "También es habitual la realización de campañas masivas de diseminación de malware o incluso de ransomware utilizando como excusa la instalación de supuestos programas de ayuda para la realización de la declaración, aplicaciones móviles fraudulentas (a veces incluso en los markets oficiales) y falsos programas PADRE" declara López.

Apoya TU periodismo independiente y crítico

Ayúdanos a contribuir a la Defensa del Estado de Derecho Haz tu aportación Vozpópuli