ABC (Toledo / Castilla-La Mancha)
El ciberataque al CGPJ robó los datos de todos los contribuyentes
La Policía cree que detrás del ataque está una organización criminal o un país extranjero
Los investigadores hablan de un cibertaque sin precedentes en la historia de nuestro país. Es el más grande registrado y ha comprometido los datos personales de millones de españoles. Ocurrió en la segunda quincena del pasado mes
de octubre, a través del Punto Neutro Judicial (PNJ), un sistema gestionado desde el Consejo General del Poder Judicial (CGPJ) que conecta las redes de distintas Administraciones Públicas. Desde entonces los atacantes disponen de una ingente cantidad de información: desde DNI, declaraciones de la renta, cuentas bancarias y direcciones, hasta las vidas laborales o relaciones empresariales de todos y cada uno de los ciudadanos que figuren en las bases de datos conectadas. Incluidos políticos, empresarios o personajes de relevancia pública. Pues los ‘ hackers’ accedieron al sistema y consigo, se lo llevaron todo. Entre otras, las bases de datos íntegras de los servicios de la Agencia Tributaria, la Seguridad Social o el Servicio Público de Empleo. Pero no sólo. También las de la Dirección General de la Policía, Extranjería o la Dirección General de Tráfico.
La Audiencia Nacional ya investiga esta fuga de datos en secreto como un posible delito contra los altos organismos de la nación, y la Comisaría General de Información trabaja contra el reloj para lograr, en la mayor brevedad, recuperarlos todos y ponerlos a buen recaudo. «Nadie es consciente de la gravedad del asunto», asegura una fuente policial a ABC.
La hipótesis que se maneja es que detrás del ataque pueda estar una organización criminal dedicada a la venta de datos masivos. La otra opción–también
contemplada– es
que en la sombra se encuentre un Gobierno extranjero. En estos momentos los esfuerzos de los investigadores se centran en dar con los responsables de este ataque que ha dejado al desnudo la ciberseguridad del país.
Tráfico anormal
Fue un aumento anormal del tráfico en la red del Consejo General del Poder Judicial lo que hizo saltar las alarmas, según las fuentes del órgano de gobierno de los jueces consultadas por este diario. Las averiguaciones realizadas hasta el momento por parte de los investigadores permiten, no obstante, descartar un fallo en el sistema del Punto Neutro Judicial. Fueron los ‘ hackers’ quienes consiguieron las credenciales de acceso de un empleado, valiéndose de la técnica del ‘phishing’ –un mecanismo utilizado por piratas informáticos que engaña a las víctimas con correos electrónicos o enlaces trampa con apariencia fiable, para que compartan información confidencial como contraseñas–. Cientos de miles de funcionarios son sometidos a ‘phishing’ a diario.
Con estas credenciales de acceso oficiales, los atacantes pudieron bucear por el Punto Neutro Judicial, la red que permite centralizar y trasladar peticiones de información entre los órganos judiciales y organismos o instituciones del Estado y que sirve de ventana a sus bases de datos.
Según explican fuentes de la inves
Políticos, empresarios y personas de relevancia pública, entre las víctimas del hackeo tigación, una vez dentro de la red los piratas informáticos utilizaron lo que se denomina un ‘script’, una secuencia de comandos del sistema que los ordenadores interpretan de manera directa y permiten dar una orden de consulta masiva para sacar datos en poco tiempo.
De acuerdo a las indagaciones realizadas hasta la fecha, en el ataque no se han visto comprometidos datos relativos a procedimientos judiciales u otra información en poder de los juzgados y tribunales. El objetivo, se sospecha, era otro: utilizar el PNJ como puerta de entrada a los ficheros de otras instituciones públicas.
Por el momento se desconoce si el fin último de los ‘hackers’ era hacerse con información de personas concretas, políticos, empresarios o individuos de relevancia pública que figuran en los ficheros. Sí está claro que sus datos se han robado, pero al igual que los datos del resto de españoles. Todos estamos expuestos.
Los expertos consultados dan la siguiente explicación: una vez que los ‘hackers’ acceden a la red es más rápido llevárselo todo que pararse a hacer búsquedas precisas. De esta manera los atacantes también reducen los riesgos de ser descubiertos en plena faena.
Preocupación
Especial preocupación despierta el robo a la Agencia Tributaria, cuyo banco de datos contiene información muy completa de todos los contribuyentes españoles, desde sus ingresos y deudas, hasta sus propiedades. De hecho uno de los primeros movimientos del juez que ha asumido el caso, el titular del Juzgado Central de Instrucción número 4 de la Audiencia Nacional, José Luis Calama, ha sido solicitar sendos informes a la Agencia Tributaria y al Centro Criptológico Nacional para poder valorar el alcance del ‘hackeo’ denunciado por el CGPJ.
Preocupa también el uso que se le pueda dar a estos datos. Lo más habitual, avisan los expertos, es que este tipo de robos se cometan para la posterior venta de información a otras organizaciones delincuenciales. Pero hay más opciones. Se podrían usar para extorsionar a las víctimas en caso de informaciones sensibles.
No hay que perder de vista tampoco que con los datos sustraídos podrían usurpar identidades, acceder a cuentas bancarias, usar los números de tarjeta de las víctimas o incluso pedir un préstamo a su nombre. La información podría ser utilizada asimismo para perjudicar a empresas y en caso de que llegara a manos de un Gobierno extranjero, las consecuencias podrían tener un impacto directo en la seguridad nacional.