El Ministerio de Hacienda se ha visto sacudido por la alarma de un posible hackeo masivo de sus bases de datos, que habría expuesto información sensible de prácticamente toda la población española. La advertencia no procede de fuentes oficiales, sino de una comunidad de ciberseguridad que ha detectado en la dark web la oferta de una supuesta base de datos con información de 47,3 millones de ciudadanos.
De momento, la postura oficial es prudente: Hacienda sostiene que no hay evidencias técnicas claras de una intrusión, pero mantiene un dispositivo de revisión intensiva de sus sistemas junto a sus equipos de seguridad y otros organismos especializados. La investigación sigue abierta mientras se intenta aclarar si se está ante una brecha real o ante un intento más de extorsión y estafa en el mercado negro de datos.
Qué se sabe del supuesto ataque y quién es HaciendaSec
La primera señal llegó de la firma de ciberseguridad Hackmanac, una plataforma especializada en emitir avisos tempranos sobre ciberataques dirigidos a organismos públicos y empresas. A través de la red social X, sus analistas difundieron que un usuario que se hace llamar ‘HaciendaSec’ aseguraba haber vulnerado los sistemas del Ministerio de Hacienda.
Según la información recopilada por Hackmanac en foros de la dark web, este actor de amenazas estaría ofreciendo a la venta una base de datos supuestamente actualizada de 47,3 millones de personas. El anuncio se publicó en un foro especializado en compraventa de información robada, bajo una cuenta recién creada que apenas cuenta con actividad, lo que alimenta tanto la inquietud como el escepticismo entre los investigadores.
En el mensaje difundido en uno de estos foros, el usuario ‘HaciendaSec’ incluye una pequeña muestra de registros como prueba de que tendría acceso legítimo a la información. El objetivo declarado sería comercializar el conjunto completo de la base de datos con otros ciberdelincuentes o grupos interesados en datos fiscales y bancarios de ciudadanos españoles.
Las fuentes consultadas en el entorno de la ciberseguridad apuntan a que este tipo de anuncios no siempre implican una brecha real: es relativamente frecuente que se exagere o incluso se invente la procedencia de los datos para inflar su precio o engañar a compradores poco experimentados en estos mercados clandestinos.
Datos presuntamente expuestos: de la identidad completa a la información fiscal
Si se confirmara la autenticidad de la filtración, el alcance sería difícilmente comparable con otros incidentes recientes en España. El paquete en venta incluiría, según los anuncios analizados, DNI o NIF, nombres y apellidos, direcciones postales, números de teléfono, correos electrónicos, números de cuenta bancaria (IBAN) e información tributaria asociada a obligaciones fiscales.
En otras palabras, se trataría de un conjunto de datos lo bastante detallado como para permitir la suplantación casi total de la identidad de los contribuyentes afectados. Con un perfil tan completo, un ciberdelincuente podría registrar servicios a nombre de terceros, abrir cuentas, solicitar créditos o ejecutar fraudes bancarios y fiscales con apariencia de plena legitimidad.
Expertos citados por distintas fuentes subrayan que un archivo con ese volumen —47,3 millones de registros— implicaría, en la práctica, abarcar a casi toda la población residente en España. Esta cifra levanta cejas en el sector: la población española ronda los 49 millones de habitantes, pero el número de contribuyentes activos es bastante menor, por lo que algunos analistas cuestionan la verosimilitud exacta del número manejado por el supuesto atacante.
Aun así, el hecho de que aparezca un anuncio tan específico —con mención a datos bancarios e información fiscal detallada— ha obligado al Ministerio a activar todos los protocolos de análisis. Pese a que no se ha detectado por ahora ni cifrado de equipos, ni exfiltración evidente de datos desde los sistemas de Hacienda, la mera posibilidad de que se haya accedido a su base de datos principal es considerada un escenario crítico por las autoridades.
Reacción oficial: cautela, investigación interna y mensaje de calma
Desde el departamento que dirige María Jesús Montero el mensaje es claro: no hay pruebas técnicas concluyentes de que los sistemas hayan sido comprometidos. Fuentes del Ministerio han trasladado a varios medios, entre ellos Europa Press, que los equipos de seguridad continúan revisando de forma exhaustiva los registros de actividad y los sistemas de monitorización para descartar cualquier intrusión.
En paralelo, Hacienda trabaja en colaboración con otros organismos especializados en ciberseguridad del Estado, como el Centro Nacional de Inteligencia (CNI) y la Agencia Tributaria (AEAT), que mantiene sus sistemas considerados como infraestructura crítica. Por el momento, el servicio a los contribuyentes funciona con normalidad, sin interrupciones ni incidencias aparentes ligadas a este incidente.
Fuentes del Ministerio recuerdan que el simple hecho de que un grupo de hackers anuncie la venta de una base de datos “de Hacienda” no certifica que la haya obtenido realmente. En ocasiones anteriores, se han detectado intentos de estafa en los que se reutilizan bases de datos antiguas, combinaciones de filtraciones menores o incluso datos fabricados para intimidar y presionar a instituciones o empresas.
Aun así, el caso no se está tomando a la ligera. Tanto por el volumen de información que se dice tener como por el carácter especialmente sensible de los datos tributarios y bancarios que gestiona la Agencia Tributaria, el posible incidente se considera de la máxima prioridad. El Ministerio insiste en que, si se confirmara alguna brecha, se comunicaría siguiendo los protocolos previstos por la normativa europea de protección de datos.
Contexto: otros intentos y amenazas previos contra Hacienda
El supuesto ataque atribuido a ‘HaciendaSec’ no sería el primer episodio en el que ciberdelincuentes aseguran haber irrumpido en los sistemas de Hacienda. En los últimos años se han sucedido varias amenazas públicas que apuntaban a la Agencia Tributaria, algunas de ellas con gran repercusión mediática.
Entre los precedentes destaca el caso del grupo de ransomware Trinity, que afirmó haber robado alrededor de 560 gigabytes de información sensible de la AEAT y exigió un rescate millonario, cifrado en unos 38 millones de dólares, bajo la amenaza de publicar los datos si no se atendían sus condiciones. En aquel episodio, tras los análisis internos, la Agencia Tributaria concluyó que no se había producido una brecha en sus sistemas.
También se han detectado supuestas filtraciones atribuidas al grupo Qilin, vinculado a otros ataques de gran envergadura en Europa, como la exfiltración de datos de hospitales del Servicio Nacional de Salud del Reino Unido. En octubre de 2025 se notificó que Qilin habría robado decenas de gigabytes de información ligada a Hacienda, aunque la investigación posterior apuntó a que los afectados reales eran entidades intermediarias, como gestorías, y no directamente las bases de datos de la Agencia Tributaria.
A estos incidentes se suma el ataque al Punto Neutro Judicial del Consejo General del Poder Judicial, utilizado en 2022 como “puerta trasera” para intentar acceder a información de la AEAT. En ese caso sí se constató un impacto, pero limitado a un número relativamente reducido de contribuyentes si se compara con la magnitud que ahora se atribuye a ‘HaciendaSec’.
Presión creciente sobre las infraestructuras críticas y grandes empresas
La oleada de amenazas contra Hacienda se enmarca en un escenario más amplio de ciberataques continuos contra servicios esenciales y grandes corporaciones en España y el resto de Europa. En los últimos meses, se han conocido brechas de seguridad que han afectado a compañías energéticas, aerolíneas, operadores de telecomunicaciones y grandes cadenas comerciales.
Uno de los ejemplos recientes más sonados es el incidente sufrido por Endesa, donde un acceso no autorizado a la plataforma de su comercializadora regulada derivó en la exposición de datos personales y bancarios de millones de clientes. Según las investigaciones iniciales, parte de esa información habría acabado también en entornos de la dark web, donde es habitual que se revenda o reutilice en posteriores acciones delictivas.
Otros grandes grupos como Telefónica, Iberdrola, Santander, Repsol, DKV, El Corte Inglés o Mango también han aparecido en los últimos años en el radar de los ciberdelincuentes. Estos incidentes demuestran que, más allá del sector público, cualquier organización con grandes volúmenes de datos resulta atractiva para quienes buscan monetizar información robada, ya sea a través de extorsiones, venta de bases de datos o fraudes dirigidos.
De acuerdo con cifras manejadas por la Agencia Española de Protección de Datos, solo en 2025 se notificaron más de 2.700 brechas de datos personales en España, con cientos de millones de usuarios potencialmente afectados si se suman todos los incidentes. El caso que ahora sacude a Hacienda encaja, por tanto, en una tendencia de fondo que muestra una presión creciente sobre los sistemas críticos, tanto públicos como privados.
La amenaza cotidiana: phishing y fraudes que se hacen pasar por Hacienda
Mientras se investigan los posibles grandes robos de bases de datos, la realidad del día a día pasa por un goteo constante de correos electrónicos, SMS y llamadas fraudulentas que suplantan a la Agencia Tributaria. Desde hace años, y especialmente en campañas clave como la de la renta, la AEAT advierte de oleadas de mensajes que imitan sus comunicaciones oficiales.
El objetivo de estos ataques es muy concreto: redirigir a los ciudadanos hacia páginas web falsas que copian la apariencia de los portales oficiales para robar credenciales de banca online, claves de acceso o instalar malware en los dispositivos. A menudo, se juega con supuestos reembolsos de impuestos, devoluciones urgentes o avisos de deudas inminentes para provocar que la víctima actúe con prisa y sin sospechas.
En este contexto, una base de datos tan detallada como la que dice poseer ‘HaciendaSec’ permitiría lanzar campañas de phishing extremadamente creíbles, personalizadas con los datos reales del contribuyente: su nombre completo, su dirección o incluso referencias a sus trámites fiscales. Por eso los expertos recalcan que, más allá de si el hackeo se confirma o no, conviene extremar las precauciones con cualquier mensaje que aparente proceder de Hacienda.
Los organismos de ciberseguridad insisten en una serie de recomendaciones que ya se han vuelto casi mantras: no pulsar en enlaces sospechosos, comprobar siempre la dirección real de la web a la que se accede, no facilitar claves bancarias por correo o SMS y, en caso de duda, acudir directamente a los canales oficiales de la Agencia Tributaria o de la entidad financiera.
Hacienda bajo el foco: refuerzo de la ciberseguridad y dudas abiertas
La Agencia Tributaria ha asumido desde hace años que su actividad descansa sobre sistemas tecnológicos que son, por definición, un objetivo prioritario. La creación del Centro de Ciberseguridad y Protección de Datos de la AEAT y la inclusión de medidas específicas en su Plan Estratégico 2024-2027 reflejan esa preocupación por blindar tanto la recaudación como la información de millones de contribuyentes.
Estos esfuerzos se enmarcan en el cumplimiento del Esquema Nacional de Seguridad, que marca las pautas que deben seguir las administraciones públicas en España para garantizar un nivel elevado de protección de sus sistemas. Sin embargo, los especialistas recuerdan que la ciberseguridad “no es un estado, sino un proceso continuo”, y que incluso las infraestructuras más protegidas pueden ser puestas a prueba por atacantes cada vez más sofisticados.
La investigación en curso sobre el caso ‘HaciendaSec’ pretende precisamente despejar si ese proceso de protección ha sido suficiente o si se ha producido alguna brecha, directa o a través de terceros, que justifique la aparición de esa enorme base de datos en los foros clandestinos. Hasta que no concluyan los análisis forenses y de trazabilidad, no se podrá descartar del todo que haya existido algún tipo de acceso indebido.
Mientras tanto, el episodio refuerza una sensación compartida por expertos y ciudadanos: la información fiscal y bancaria que maneja Hacienda se ha convertido en uno de los “botines” digitales más codiciados por los ciberdelincuentes. Aunque por ahora el Ministerio niega signos claros de intrusión, la sola sospecha de que alguien pueda tener en la dark web una copia de los datos de casi todo el país basta para mantener las alarmas encendidas y obligar a redoblar tanto las defensas técnicas como la prudencia de los propios contribuyentes.
from Actualidad Gadget https://ift.tt/dY65t0g
via IFTTT
No hay comentarios:
Publicar un comentario