- Hacienda analiza una alerta sobre un supuesto robo masivo de datos fiscales y bancarios de 47,3 millones de personas
- El presunto ataque se atribuye al actor ‘HaciendaSec’, detectado por la firma de ciberseguridad Hackmanac
- El Ministerio afirma que no hay pruebas de intrusión, pero mantiene activos los protocolos de verificación
- También se investiga un posible incidente paralelo en el Ministerio de Ciencia e Innovación
El Ministerio de Hacienda ha activado una investigación interna por un posible ciberataque a sus sistemas, tras la aparición de mensajes en redes sociales y foros especializados que señalan un supuesto robo masivo de información fiscal y bancaria de prácticamente toda la población española. De confirmarse, estaríamos ante un incidente de enorme calado, con potencial impacto en la privacidad y la seguridad financiera de millones de contribuyentes.
Por ahora, Hacienda sostiene que no existen pruebas concluyentes de que se haya producido una intrusión real en sus bases de datos. Aun así, el departamento que dirige María Jesús Montero mantiene a sus equipos técnicos revisando registros y sistemas de manera exhaustiva, en un contexto de máxima cautela por la sensibilidad de los datos que podrían haberse visto comprometidos.
Alerta de Hackmanac y la aparición del actor ‘HaciendaSec’
La investigación se pone en marcha después de que Hackmanac, una firma especializada en monitorizar amenazas digitales, hiciera pública una alerta en la red social X (antes Twitter) y en su propia web. En ese aviso, la compañía asegura haber detectado a un supuesto atacante que afirma haber accedido de forma ilícita a las bases de datos del Ministerio de Hacienda.
Según la información difundida por Hackmanac, el presunto responsable se identifica con el alias ‘HaciendaSec’. Este actor habría anunciado en foros de la web oscura la venta de una base de datos “actualizada” que contendría información detallada de unos 47,3 millones de ciudadanos, prácticamente la totalidad de la población residente en España.
La alerta señala que el anuncio del propio ‘HaciendaSec’ incluye supuestas pruebas parciales de los datos obtenidos, como muestra para posibles compradores. El mensaje se habría publicado en un foro especializado en brechas de seguridad y filtraciones, desde una cuenta de reciente creación que apenas cuenta con actividad, un detalle que los expertos tienen en cuenta a la hora de valorar la credibilidad del aviso.
De acuerdo con Hackmanac, el incidente se habría originado en torno al 31 de enero y, a la espera de verificaciones oficiales, se mantiene con el estatus de “pendiente de confirmación”. Esto significa que, por el momento, no se ha podido acreditar de manera independiente que el supuesto intruso haya logrado realmente penetrar en los sistemas de Hacienda y extraer la información que dice tener.
Qué datos estarían en juego y por qué preocupa tanto
Si el ataque se confirmara en los términos descritos por Hackmanac, la magnitud de la filtración sería inédita en la Administración pública española. El conjunto de información que el supuesto atacante afirma haber sustraído no se limitaría a datos superficiales, sino que incluiría elementos suficientes para construir perfiles muy completos de cada afectado.
Entre los datos que, según el aviso, habrían quedado expuestos figuran números de DNI y NIF, nombres y apellidos completos, direcciones postales, teléfonos, correos electrónicos y datos bancarios como códigos IBAN. A ello se sumarían detalles financieros relacionados con obligaciones tributarias, es decir, información fiscal con un alto grado de sensibilidad.
Para los especialistas en ciberseguridad, un conjunto de datos tan amplio permitiría desde suplantaciones de identidad hasta fraudes financieros complejos. Con el DNI, la dirección y los datos bancarios de un contribuyente, se podrían articular desde aperturas de cuentas fraudulentas hasta intentos de acceder a servicios financieros en su nombre, pasando por operaciones de crédito o compras no autorizadas.
Además, la posible combinación de datos fiscales y de contacto facilitaría campañas de phishing altamente personalizadas. Los atacantes podrían enviar correos, SMS o incluso realizar llamadas que aparenten provenir de la propia Hacienda o de entidades financieras, utilizando información real de la víctima para ganar credibilidad y obtener nuevas claves o autorizaciones.
Fuentes del sector recuerdan que las bases de datos con información fiscal ocupan un lugar privilegiado en los mercados ilegales de datos
Para los especialistas en ciberseguridad, un conjunto de datos tan amplio permitiría desde suplantaciones de identidad hasta fraudes financieros complejos. Con el DNI, la dirección y los datos bancarios de un contribuyente, se podrían articular desde aperturas de cuentas fraudulentas hasta intentos de acceder a servicios financieros en su nombre, pasando por operaciones de crédito o compras no autorizadas.
La posición de Hacienda: cautela máxima y ausencia de indicios claros
Desde el Ministerio de Hacienda, las fuentes consultadas insisten en que, a día de hoy, no se ha identificado ningún rastro de acceso no autorizado a los sistemas que gestionan la información tributaria. El Departamento recalca que las primeras comprobaciones internas no han detectado evidencias de intrusión, aunque subraya que el análisis continúa abierto.
El equipo de seguridad del Ministerio ha puesto en marcha protocolos internos de verificación y análisis forense, revisando tanto los sistemas críticos como los registros de actividad y los mecanismos de control de accesos. El objetivo es doble: descartar una posible brecha y, en caso de que finalmente se detecte algún indicio, determinar con precisión su alcance.
Fuentes oficiales señalan que la gravedad potencial del escenario descrito por Hackmanac obliga a actuar con prudencia. Aunque el Ministerio no confirma la autenticidad de la supuesta filtración, tampoco la descarta hasta concluir las verificaciones técnicas. De momento se evita fijar plazos cerrados para esta revisión, por tratarse de un proceso complejo que requiere tiempo.
En declaraciones a medios como Europa Press y El Periódico, Hacienda repite que “se está revisando para comprobarlo” y que cualquier comunicación adicional se realizará una vez se disponga de conclusiones sólidas. La consigna es no alimentar rumores ni certidumbres infundadas mientras la investigación sigue en marcha.
Al mismo tiempo, la Agencia Tributaria mantiene sus sistemas operativos con normalidad, sin haber informado por ahora de interrupciones de servicio ni incidentes asociados a este posible ataque. Tampoco se han notificado, hasta el momento, fallos generalizados que afecten al acceso de los contribuyentes a sus expedientes o trámites habituales.
Foros de la web oscura y venta de bases de datos robadas
El aviso difundido por Hackmanac se apoya en la detección de mensajes publicados en foros de la web oscura, espacios donde es relativamente habitual encontrar ofertas de bases de datos robadas que se comercializan entre ciberdelincuentes. En este caso, el anuncio atribuido a ‘HaciendaSec’ iría acompañado de una muestra reducida de registros para demostrar, en teoría, la autenticidad del material.
Según la descripción de esos mensajes, el supuesto atacante asegura que la base de datos está actualizada a finales de enero, lo que implicaría que contiene información reciente de contribuyentes, no solo registros antiguos o parciales. El vendedor afirma que solo entregaría el conjunto completo de datos al mejor postor, dentro de circuitos cerrados de compraventa.
Los analistas recuerdan que este tipo de anuncios pueden exagerar o incluso falsear la información para inflar el valor del producto o ganar notoriedad dentro de la comunidad. Por eso, la mera publicación de un mensaje en un foro no basta para dar por buena una brecha, y se requieren comprobaciones independientes por parte de las autoridades competentes.
En este contexto, la propia Hackmanac califica el incidente como “pendiente de confirmación”, dejando claro que se trata de una alerta temprana más que de una constatación definitiva de intrusión. La firma de ciberseguridad cumple así su papel de vigilancia, pero son los equipos técnicos de la Administración los que deben confirmar o desmentir la realidad del ataque.
Mientras tanto, no se han difundido públicamente ejemplos verificables de contribuyentes afectados, ni se han detectado campañas masivas que usen de forma explícita datos con origen demostrado en Hacienda. Este elemento es relevante a la hora de dimensionar el riesgo inmediato para la ciudadanía.
Coincidencia con campañas de estafa que suplantan a Hacienda
En paralelo a la alerta sobre el posible ciberataque, las autoridades tributarias han advertido de una campaña activa de estafas que utiliza la imagen de Hacienda para engañar a los ciudadanos. En estos fraudes, los delincuentes envían correos electrónicos o SMS en los que instan a los contribuyentes a “actualizar sus datos” o “regularizar el IVA” mediante enlaces que conducen a páginas falsas.
Estos mensajes falsos suelen pedir información personal o bancaria, o incluso claves de acceso, bajo el pretexto de trámites urgentes con la Agencia Tributaria. Una vez la víctima introduce los datos, los atacantes los utilizan para operar en su nombre o para realizar cargos y transferencias no autorizadas.
Desde Hacienda se recuerda de forma tajante que la Administración no solicita datos bancarios confidenciales por correo electrónico o SMS, y que cualquier gestión sensible se canaliza a través de la sede electrónica oficial, certificados digitales o sistemas contrastados de identificación. La recomendación general es desconfiar de enlaces recibidos por canales no verificados y revisar siempre la dirección web antes de introducir credenciales.
Expertos consultados apuntan que los ciberdelincuentes suelen aprovechar la notoriedad de noticias sobre filtraciones para dar más verosimilitud a sus campañas de phishing. El ruido generado por una posible brecha en Hacienda podría ser utilizado como coartada para convencer a las víctimas de que deben “revisar” o “asegurar” sus datos, cuando en realidad se trata de una trampa.
Por ello, aunque el presunto robo de la base de datos aún no esté confirmado, la ciudadanía debe extremar la precaución ante cualquier comunicación inesperada que se haga pasar por Hacienda, especialmente si implica pulsar enlaces, descargar archivos adjuntos o facilitar información sensible.
Otro frente abierto: el Ministerio de Ciencia bajo sospecha
La alerta de Hackmanac no se limita a Hacienda. La plataforma también ha señalado un posible ataque al Ministerio de Ciencia e Innovación, que igualmente se encuentra en fase de análisis y sin validación oficial. En este caso, el supuesto responsable operaría bajo el seudónimo ‘GordonFreeman’.
Según la información difundida, el atacante habría aprovechado una vulnerabilidad de tipo IDOR (referencia directa a objetos insegura), una falla que permite acceder a recursos modificando identificadores en las peticiones web, como números de DNI o NIE. Combinando esa vulnerabilidad con credenciales que ya habrían sido filtradas previamente, el intruso podría haber escalado privilegios y accedido a información sin autorización.
En este escenario, se habla de la posible exposición de datos personales y académicos de personas vinculadas con el ámbito científico, aunque, de nuevo, todo el incidente se mantiene bajo la etiqueta de “pendiente de verificación”. No se han publicado hasta ahora detalles suficientes para confirmar o descartar la veracidad del ataque.
Las autoridades competentes del Ministerio de Ciencia, al igual que sucede con Hacienda, estarían llevando a cabo comprobaciones técnicas sobre sus sistemas, revisando registros de acceso y potenciales vectores de intrusión. De momento, no se han hecho públicos resultados concluyentes ni se ha informado de interrupciones de servicio significativas.
Este posible segundo incidente subraya la presión constante que soportan los sistemas de la Administración pública, convertidos en un objetivo prioritario para grupos de ciberdelincuentes, tanto por el valor de la información que custodian como por el impacto que tendría cualquier ataque exitoso.
Con todas las piezas todavía sobre la mesa, el escenario que se dibuja es el de una administración española sometida a un escrutinio intenso en materia de ciberseguridad, con Hacienda y Ciencia bajo la lupa por posibles brechas aún no confirmadas, una comunidad de expertos pendiente de cada movimiento y millones de ciudadanos observando con preocupación cualquier novedad sobre la protección de sus datos personales, fiscales y bancarios.
