El ‘hacker’ que atacó el portal de la Renta de Hacienda acepta dos años de cárcel
Es un lesakarra de 36 años que bloqueó el acceso a 50 usuarios y colapsó la web
PAMPLONA – Dice que le gusta trastear con ordenadores y, así, trasteando un día tras otro, consiguió dar con la diana de la brecha de seguridad de uno de los principales sistemas de identificación (el acceso a través del DNI+PIN) del contribuyente navarro. Este vecino de Lesaka, de 36 años, descubrió las fragilidades de seguridad del portal de Hacienda del Gobierno y tras lanzar un ataque masivo de solicitudes al portal de la declaración de la Renta, al realizar 1.000 solicitudes por minuto.
Dio una vez con la tecla, aunque se desconoce si pudo ver la declaración de ese contribuyente, y bloqueó igualmente el acceso a otros 50 usuarios. El Gobierno de Navarra, después de que se cayera dicho servidor, se vio obligado a cerrar el sistema debido a la quiebra de seguridad sufrida.
Este hacker aceptó ayer una condena de dos años de prisión en la Sección Primera de la Audiencia Provincial de Navarra después del bombardeo informático que realizó en el verano de 2019. El acusado, condenado por un delito de daños informáticos, no entrará en prisión al haber reconocido los hechos y realizará trabajos comunitarios. La Fiscal pedía de inicio para él seis años de cárcel.
El ataque se produjo entre los días 24 de agosto de 2019 y 27 de agosto de 2019 (precisamente ese día escribió un anónimo a la Policía Foral advirtiendo de las entradas irregulares en el sistema), así como el día 2 de septiembre de 2019 (dijo que volvió a entrar para comprobar si habían solucionado la grieta). En el sistema de acceso existe una limitación de 5 intentos de introducción del PIN correcto por cada DNI o NIE. Si los 5 intentos son erróneos, el DNI o NIE queda bloqueado y no puede accederse a ningún dato en relación con el mismo a través de internet.
El ciberataque generó una pérdida significativa del rendimiento de la plataforma (ralentizó su funcionamiento normal) y provocó que se cayera el servidor. “Finalmente, como consecuencia de haber utilizado 50 identificadores de usuario correctos (40 NIE y otros 10 usuarios distintos) y haber probado en 5 ocasiones un PIN erróneo en cada uno de ellos, provocó el bloqueo del acceso de estos 50 usuarios, que debieron ser contactados y facilitárseles nuevas credenciales”. El ataque provocó que se paralizara el proceso para la asignación telemática de plazas y afectó también en menor medida al servicio de bomberos, debido a que es el sistema de identificación previo a los servicios telemáticos del Gobierno foral. El acusado llevó a cabo el ataque desde 26 direcciones IP distintas y procedían todas ellas del domicilio en el que residía el acusado y su familia. ●