Panorama podcast / Pepe Contreras

Según me informo vía @Grok esto es lo que se sabe:

¡Buenos días! He investigado exhaustivamente el post que mencionas sobre la supuesta brecha de seguridad en la Agencia Estatal de Administración Tributaria (AEAT) de España por parte del grupo de ransomware Qilin.

A continuación, te detallo toda la información contrastada disponible hasta la fecha actual (16 de octubre de 2025), basada en fuentes fiables como monitoreos de la dark web, informes de ciberseguridad y búsquedas en web y X (anteriormente Twitter).

El incidente es muy reciente, por lo que la verificación oficial es limitada, pero he recopilado datos de múltiples ángulos para darte un panorama completo y objetivo.

Resumen del Claim

El post original, publicado por Hackmanac (@H4ckmanac en X), alerta sobre una reclamación del grupo de hackers Qilin, quien afirma haber vulnerado los sistemas de la AEAT. Según los atacantes:

• Datos exfiltrados: 60 GB de información, equivalentes a 238.799 archivos.
• Pruebas proporcionadas: Se han subido 16 capturas de pantalla (imágenes) como muestra en su sitio de filtraciones en la dark web. Estas muestras incluyen documentos internos borrosos, como formularios administrativos, correos electrónicos y archivos de sistemas que parecen relacionados con operaciones fiscales y aduaneras de la AEAT.
• Fecha de observación: 15 de octubre de 2025.
• Estado: Reclamo no verificado por fuentes independientes. Hackmanac lo clasifica como «unverified claim» y lo ubica en el sector gubernamental (Gobierno / Militar / LE).
• Contexto: La reclamación se detectó en un sitio de filtraciones monitoreado por Hackmanac, sin redistribución de material confidencial. Qilin amenaza con publicar los datos completos si no se paga un rescate (detalles no especificados públicamente aún).

Este claim forma parte de una oleada de anuncios de Qilin el mismo día, que incluyó otras víctimas en EE.UU., Francia y África.

Fuentes que Reportan el Incidente

Varias firmas de ciberseguridad y trackers de ransomware han corroborado la existencia del anuncio en la dark web:

• Security Affairs: Confirma que Qilin anunció a la AEAT como nueva víctima el 15 de octubre de 2025, describiéndola como la agencia recaudadora de impuestos del Reino de España, con más de 26.000 empleados y un presupuesto anual de 1.500 millones de dólares.
• Dark Web Informer: Publicó detalles adicionales, incluyendo las 16 muestras de imágenes y la descripción de la AEAT como responsable de la gestión de impuestos nacionales y aduanas. Clasifica el incidente como un breach en el sector público.
• Ransomware.live y Ransom-DB: Ambos trackers en tiempo real registraron la publicación de Qilin sobre la AEAT, con ubicación en Madrid (España) y énfasis en su rol en la recolección fiscal y antidopaje.
• Otras menciones en X: El post de Hackmanac ha sido compartido ampliamente (más de 1.400 likes y 174.000 vistas), con reposts en español de cuentas como @ElRadardeCesar, @Cryptoprofe_ y @venarixES, que destacan la gravedad para el sector público español. Algunos usuarios especulan sobre filtraciones iniciales, pero sin evidencia adicional.

No hay indicios de que los datos filtrados incluyan identificaciones personales masivas de ciudadanos (como DNI o datos bancarios), aunque las muestras sugieren documentos sensibles relacionados con operaciones internas.

Estado de Verificación y Respuesta Oficial

• Sin confirmación oficial de la AEAT: Hasta el momento, el sitio web oficial de la Agencia Tributaria (agenciatributaria.gob.es) no menciona ningún ciberataque, brecha o incidente relacionado con Qilin en octubre de 2025. Solo se refieren a campañas de phishing genéricas detectadas en el año, sin alertas específicas sobre este evento.
• Búsquedas de declaraciones: No se han encontrado comunicados oficiales del Ministerio de Hacienda, INCIBE (Instituto Nacional de Ciberseguridad) o la AEAT respondiendo al claim. Dado que el anuncio es de ayer, es común que las agencias gubernamentales tarden en emitir declaraciones para evitar pánico o confirmar detalles.
• Antecedentes similares: En diciembre de 2024, un claim similar con el ransomware Trinity contra la AEAT fue negado por la agencia, atribuyéndolo a un tercero externo (una gestoría). Esto sugiere que podrían seguir un patrón de minimización si no es grave.

El claim se considera «no verificado» porque, aunque las muestras parecen auténticas (documentos con logos y formatos de la AEAT), no hay corroboración independiente de la brecha real ni impacto operativo reportado (como interrupciones en servicios fiscales).

Sobre el Grupo Qilin

Qilin (también conocido como Agenda) es un grupo de ransomware de habla rusa, activo desde 2022, considerado uno de los más prolíficos en 2025 con más de 150 víctimas confirmadas.

• Modus operandi: Atacan sectores críticos como gobierno, salud y finanzas mediante phishing, exploits de vulnerabilidades (ej. en VPN) y extorsión doble (cifrado + filtración). En Q3 2025, lideraron con 227 ataques.
• Incidentes recientes: Reclamaron un ataque a Asahi Group (cervecera japonesa) el 8 de octubre de 2025, robando 27 GB de datos personales, y a escuelas en Mecklenburg (EE.UU.) el 7 de octubre, exponiendo registros médicos de niños.
• Riesgo para España: Este sería el tercer claim contra la AEAT en menos de un año, destacando vulnerabilidades en entidades gubernamentales.

Recomendaciones para España

Dado el potencial impacto (datos fiscales podrían usarse para fraudes o espionaje), te sugiero:

• Monitoreo oficial: Revisa diariamente el sitio de la AEAT y alertas de INCIBE (incibe.es) por actualizaciones.
• Medidas preventivas: Si manejas datos fiscales, actualiza contraseñas, habilita MFA y verifica phishing. Para empresas, considera backups offline y auditorías de seguridad.
• Reporte: Si detectas anomalías (ej. correos sospechosos), informa a INCIBE al 017.
• Más info: Para análisis detallados, consulta la plataforma de Hackmanac o Resecurity, que rastrean métricas como ESIX (índice de exposición a ciberamenazas).

Si necesitas profundizar en algún aspecto (ej. más sobre Qilin o chequeo de un sitio específico), ¡dímelo! Mantengámonos alerta. 😊