Los ciberdelincuentes del grupo Trinity anunciaron este pasado domingo el robo de 560 GB de datos de la Agencia Tributaria (AEAT). Una cantidad ingente de información que fuentes cercanas a la investigación explican a Vozpópuli tuvo que producirse en un largo periodo de tiempo.
Desde la AEAT manifiestan no tener constancia del robo: "Revisados todos los sistemas no hemos detectado nada, no hemos recibido ningún mensaje. Seguimos monitorizando y analizando todo, como hacemos habitualmente".
Sin embargo, otras fuentes consultadas cercanas a la investigación aseguran que es muy posible que la AEAT no tenga evidencias del incidente. "En la actualidad, los ciberdelincuentes no buscan reventar sistemas, sino acceder a la mayor información sensible como sea posible, y hacerlo de manera extremadamente sigilosa. Que no hayan detectado robo de datos no significa que no se haya producido".
AEAT: infraestructura avanzada pero con fisuras
Otras fuentes del sector de la ciberseguridad colocan el foco del problema en términos de seguridad tanto en la Agencia Tributaria como en otros organismos de la Administración General del Estado (AGE), por la antigüedad de algunos de los equipos con los que trabajan los funcionarios.
Aunque la Agencia Tributaria anunció hace meses un moderno Centro de Ciberseguridad y Protección de Datos justo antes de la campaña de la Renta de este año y coincidiendo con el aumento de ciberataques provenientes de suelo ruso, el problema está en la vejez de los ordenadores con que trabajan muchos funcionarios de la administración pública.
"Hablamos en algunos casos de equipos con muchos años, que no admiten soluciones modernas para la detección temprana de intrusiones repetidas o de infecciones que pueden, por tanto, permanecer en los dispositivos durante meses o años", explican fuentes de una gran empresa de ciberseguridad a este diario, que concluyen que "estos son los peores hackers porque son difícilmente detectables. A menudo trabajan para otros gobiernos o están pagados por compañías u organizaciones con intereses concretos".
Soluciones EDR
Estas amenazas son denominadas como APT (amenazas persistentes avanzadas). La firma de antivirus Kaspersky las define como ataques sofisticados, insistentes y discretos cuyo fin es vulnerar sistemas informáticos. Las APT "suelen dirigirse a objetivos de alto valor", como estados y grandes empresas, con el objetivo de "robar información durante un largo período de tiempo", en lugar de simplemente entrar y salir a la mayor brevedad posible.
La instalación de soluciones de antivirus que sean capaces de detectar estos ciberataques requiere de equipos con un mínimo de especificaciones técnicas. "En ordenadores antigüos no pueden ser instaladas porque sencillamente no cumplen con las especificaciones técnicas para soportarlas", aseguran a Vozpópuli las fuentes sectoriales antes mencionadas.
Estos programas de ciberdefensa se encuadran en el acrónimo EDR (Endpoint Detect Response). Se caracterizan por utilizar tecnologías como la Inteligencia Artificial (IA) y el Big Data para programar la detección y detención de amenazas complejas de forma automática.
Todo esto, sumado a la ingente cantidad de datos sustraídos (560 GB), hacen pensar que el robo se espació en el tiempo y se hizo de forma extremadamente sigilosa.
