Cada vez son más frecuentes los ciberataques que tienen como objetivo las instituciones públicas y la Agencia Tributaria (AEAT) no es ajena a este problema de seguridad. La sensibilidad de la información que se encuentra en sus servidores, con millones de datos sobre contribuyentes -tanto empresas como particulares- ha obligado a la Agencia a extremar la vigilancia para evitar brechas.
Esta misma semana se conocía una de las últimas embestidas de los piratas informáticos contra los contribuyentes. La propia AEAT alertaba en sus portales que se están produciendo campañas de envío de mensajes por correo electrónico y SMS falsos que suplantan la identidad de la Agencia Tributaria. «El objetivo de los delincuentes es robar a la víctima datos personales o bancarios, ya sea remitiéndole a una página web falsa que suplanta a la de la Agencia Tributaria o haciéndole descargar ficheros con virus», señala la AEAT.
Ante esta nueva oleada de ciberdelincuencia, Hacienda no se ha quedado de brazos cruzados. El ministerio ha dispuesto la creación del Centro de Ciberseguridad y Protección de Datos de la Agencia Estatal de Administración Tributaria (AEAT) y de la Unidad Central de Sistemas de Atención al Contribuyente. La Agencia Tributaria asegura que cada vez son mayores los riesgos de sufrir ciberataques y amenazas a la seguridad de la información, haciéndose imperativas las acciones que ya lleva a cabo la Agencia para prevenir, evitar, detectar y corregir cualquier peligro, amenaza o agresión que puedan poner en riesgo su actividad digital.
Los sistemas de información de la Agencia son cada vez «más críticos», ya que de su buen funcionamiento depende directamente que la Agencia pueda cumplir satisfactoriamente con sus objetivos y con el creciente uso de la Administración electrónica por parte de los obligados tributarios, asegura el organismo.
Francisco Pérez Bes, socio de Derecho digital de Ecix Tech, constata el aumento de estos ciberataques. «Llama la atención que el plan estratégico de la AEAT incluya una referencia expresa a su condición de infraestructura crítica, ya que el artículo 4.3 del real decreto de aprobación del Reglamento de protección de este tipo de entidades, actualmente en fase de adecuación a la nueva Directiva, de diciembre de 2022, sobre la resiliencia de las entidades críticas, califica el catálogo de infraestructuras críticas como de información secreta», subraya. «En cualquier caso, un hackeo a la AEAT tendría consecuencias devastadoras para muchas personas, tal y como pudimos ver en el incidente que afectó al SEPE», añade Pérez Bes.
En cuanto al resto de referencias sobre la implementación de sistemas y medidas de ciberseguridad, el abogado destaca positivamente «las menciones hechas al Esquema Nacional de Seguridad, lo que exige que cualquier proveedor de la AEAT deba acreditar, por exigencias legales, la adopción de ese mismo esquema, o de medidas equivalentes».
«También cabe destacar el compromiso de Hacienda por la evolución del sistema de gestión de la seguridad, lo que resulta imprescindible durante el proceso de protección de la información, en particular cuando hablamos del organismo que mayor cantidad de datos posee de los ciudadanos españoles», apunta Pérez Bes. «Es importante recordar que la ciberseguridad de cualquier entidad, también las del sector público, es un proceso cíclico que nunca termina», apostilla.
El Plan Estratégico de la Agencia Tributaria 2024-2027 dedica un apartado específico a la ciberseguridad del organismo. La AEAT quiere así impulsar las medidas de seguridad y los controles orientados a la prevención, detección y exposición ante ciberataques para gestionar los riesgos internos y externos. En el plan de la AEAT está reforzar las capacidades de operación, monitorización y gestión de incidentes de su Centro de Operaciones de Seguridad.
En cuanto al proceso de protección del dato y gestión de la privacidad, algo fundamental para el contribuyente, la Agencia prevé reforzarlo y dotarlo de las garantías suficientes para que los nuevos tratamientos de datos que necesite realizar la Agencia Tributaria se lleven a cabo en las condiciones que permitan gestionar los riesgos en el marco de los límites que establezca la normativa vigente en cada momento.
Un problema global
Ninguna agencia tributaria del mundo escapa a la amenaza de los piratas informáticos. Además, la conexión de los servicios tributarios para la vigilancia de las multinacionales supone que, de conseguir acceder a los datos en una parte del mundo, pueda afectar a empresas radicadas en otra jurisdicción completamente diferente. Los servicios tributarios norteamericanos (IRS, por sus siglas en inglés) están en alerta máxima. Un test realizado por especialistas en ciberseguridad revela fallos en las defensas informáticas de los servidores del IRS. El informe concluye que el plan de ciberseguridad no es «plenamente efectivo» y aconseja una exahustiva revisión para evitar ciberataques que permitan robar datos de los contribuyentes. La Inspección General de Hacienda para la Administración Tributaria evaluó 20 métricas y determinó que solo tres eran efectivas. El IRS es El Dorado para cualquier pirata informático. Durante el último ejercicio, el servicio tributario recibió más de 250 millones de declaraciones de impuestos. Es mucha la información que recorre los servidores del IRS y, según el informe, no está todo lo segura que debería. «Hay que tomar medidas», concluye.
Fuente: Expansión