El ruido en redes y foros de ciberseguridad ha vuelto a girar en torno a un supuesto hackeo a la Agencia Tributaria. Un grupo llamado Qilin asegura haber obtenido 60 GB de información que, según su versión, pertenecerían a Hacienda y que ya circularían por espacios de la dark web.
La alerta partió de la cuenta especializada Hackmanac en X, que difundió la existencia del material y la autoría atribuida a Qilin, aunque no aportó detalles técnicos verificables sobre el alcance o el origen exacto de los datos. La publicación cita 238.799 archivos y la difusión de una pequeña muestra.
Qué se sabe del incidente
Según las capturas y mensajes difundidos en X, Qilin habría publicado en un foro de la dark web una oferta con “60 GB de información y 238.799 ficheros”, acompañada de 16 documentos de muestra para respaldar su anuncio. La dark web, accesible mediante software y redes específicas, facilita operar con anonimato y complica la trazabilidad de estos intercambios.
Un matiz relevante es que, a diferencia de otros episodios de ransomware, no se ha planteado un rescate dirigido al Gobierno de España o a la AEAT. La supuesta base de datos se habría puesto a la venta, lo que encaja con modelos de monetización donde los atacantes comercian con información para campañas de phishing, fraude o suplantación de identidad.
Respuesta institucional y señales que apuntan a un tercero
Fuentes de la Agencia Tributaria trasladaron al diario El Debate que, tras los análisis iniciales, el episodio se asemeja a lo ocurrido a finales de 2024 y que “habría afectado a una gestoría”, desvinculando el incidente de los sistemas de la AEAT. De confirmarse, estaríamos ante una brecha en un proveedor o intermediario que maneja datos tributarios de clientes y pymes.
En paralelo, varios analistas y usuarios en X han señalado que las muestras publicadas por Qilin parecen corresponder a una firma de contabilidad o consultoría. Uno de los mensajes virales apuntaba incluso a que el sitio web de esa empresa sólo responde por HTTP (sin cifrado), un indicador de malas prácticas que podría facilitar intrusiones o exfiltraciones si confluyen otros fallos.
Quién es Qilin y cómo operan
Qilin es un grupo con historial en el ecosistema del cibercrimen al que se le atribuyen campañas de extorsión y venta de datos. En este caso, el patrón descrito públicamente no incluye una negociación de rescate con la AEAT, sino la comercialización directa del supuesto botín en foros cerrados, una táctica cada vez más común cuando los atacantes buscan liquidez rápida o maximizar el valor con múltiples compradores.
Si la información procede de un tercero vinculado al ámbito fiscal y laboral, el vector de entrada podría estar en credenciales comprometidas, exposición de servicios sin cifrado, fallos de configuración o vulnerabilidades sin parchear. Sin peritaje independiente, no puede determinarse aún el punto exacto de compromiso.
Antecedente reciente: el caso Trinity
A finales de 2024 se denunció otro supuesto ataque masivo: el grupo Trinity aseguró haber sustraído 560 GB de datos confidenciales y reclamó 38 millones de dólares bajo amenaza de divulgación. La AEAT indicó entonces que sus servicios funcionaban con normalidad y, tras una investigación preliminar, se concluyó que el afectado era una entidad privada del ámbito de la asesoría fiscal y laboral, no la propia Agencia.
Ese precedente refuerza la hipótesis de que los intermediarios y proveedores que tramitan documentación tributaria se han convertido en objetivo de alto valor para los atacantes, al concentrar información sensible de múltiples clientes sin disponer siempre de los mismos estándares de seguridad que los organismos públicos.
Riesgos para los ciudadanos y recomendaciones
Si parte de la información filtrada fuese auténtica y reutilizable, el impacto más probable sería un repunte de intentos de phishing y fraude dirigidos a contribuyentes. Los delincuentes suelen suplantar comunicaciones de Hacienda para lograr que las víctimas faciliten credenciales, datos bancarios o realicen pagos no autorizados.
- Desconfía de SMS, correos o llamadas que pidan información urgente, pagos inmediatos o instalación de archivos.
- Comprueba remitentes y dominios; accede a la Sede Electrónica escribiendo la URL oficial en el navegador.
- No hagas clic en enlaces acortados o adjuntos inesperados; verifica los sellos de tiempo y firmas electrónicas.
- Activa doble factor donde esté disponible (Cl@ve, banca) y revisa periódicamente movimientos y notificaciones.
- Ante indicios de fraude, guarda evidencias y denuncia; consulta recursos de INCIBE y fuerzas de seguridad.
Qué falta por aclarar
Quedan por verificar extremos clave: el origen real de los archivos, la autenticidad de las muestras publicadas, el alcance sobre personas y empresas afectadas, la cronología del incidente y el vector de intrusión. También está pendiente conocer si la entidad señalada como posible fuente tomará medidas públicas y comunicará a los titulares de datos, como exige la normativa.
De momento, las piezas encajan más con una brecha en una gestoría o empresa de servicios que con un compromiso directo de los sistemas de la AEAT. En un contexto de alta exposición a intentos de estafa, conviene extremar la cautela con cualquier comunicación que use la marca Hacienda y seguir buenas prácticas digitales mientras las investigaciones avanzan.
