Según datos de la Fiscalía, ha habido un aumento en la ciberdelincuencia en el año 2021, con las estafas online como acción más destacada, habiendo sido investigados un total de 1.774 casos por el Ministerio Público.
Tradicionalmente, los ciberataques sólo afectaban a grandes corporaciones, pero hoy son cada vez más frecuentes contra pequeñas empresas, particulares, e incluso, organismos públicos.
El último de estos preocupantes ataques contra nuestras instituciones es el que ha sufrido el Consejo General del Poder Judicial.
Según se publicaba hace unos días en la prensa, los ciberdelincuentes atacaron el Punto Neutro Judicial (PNJ) para así luego acceder a distintos organismos del Estado y robar información de cientos de miles de españoles.
Este extremo ha sido confirmado por el propio CGPJ, que detalló en una nota que el objetivo de los atacantes era “acceder a otras instituciones públicas” puesto que tras el hackeo “no se vieron comprometidos datos relativos a procedimientos judiciales u otra información en poder de Juzgados y Tribunales”.
Además, también confirmó que la entrada al PNJ se produjo desde el exterior y mediante una aplicación específica. Una vez se detectó el ataque, el CGPJ puso en conocimiento de lo ocurrido al Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos (COCOS), y así como al Centro Criptológico Nacional (perteneciente al CNI).
Las consecuencias de ello no pueden ser más graves.
Según la información que se está vertiendo sobre el caso, sólo la brecha de seguridad antes mencionada habría provocado que los delincuentes accedieran a la base de datos de la Agencia Tributaria y que hayan podido captar datos de cerca de medio millón de contribuyentes.
Asimismo, los Servicios de Información hablan de una fuga de datos sin precedentes que también incluye el nombre, DNI o domicilio de cerca de 50.000 miembros del Cuerpo Nacional de Policía.
La Audiencia Nacional ya ha abierto una investigación, que se mantendrá bajo secreto durante al menos un mes, para esclarecer el suceso, que podría ser constitutivo de un delito contra altos organismos de la nación y otro de descubrimiento y revelación de secretos.
Mientras tanto, el Gobierno niega los hechos y, si bien admite que en octubre el CGPJ sufrió un ataque, desmiente que haya habido fugas de información en la AEAT, ni que se haya accedido a datos sensibles de policías o altos cargos.
Esto es principalmente debido a que se quiere mantener el caso en secreto, continuar con las investigaciones y después tomar las medidas pertinentes, evitando la alarma social.
Sin perjuicio de ello, consideramos que en este tipo de casos es necesario informar a los ciudadanos. No sólo porque esto es una obligación impuesta por el RGPD, que en su Artículo 33 impone a los responsables de un tratamiento de datos personales la obligación de notificar a la autoridad de control las brechas de datos personales, y el deber de comunicar a las personas afectadas sobre este extremo (Artículo 34 del RGPD), sino porque consideramos que esto es un ejercicio de transparencia necesario para el buen funcionamiento de las instituciones.
Con esto no sólo se muestra un compromiso con los ciudadanos; también se les previene de que sus datos han podido ser captados por ciberdelincuentes, y en caso de que reciban comunicaciones haciéndose pasar por las instituciones hackeadas, sabrán que esto es una posible estafa, y no permitirán que los atacantes consigan perpetrar sus maliciosas intenciones.
De momento no disponemos de información adicional sobre el caso, pero, viendo que los atacantes buscaban datos concretos, sería cuanto menos interesante saber cuál ha sido el origen del mismo y sus verdaderas intenciones, y en particular, si esto ha sido orquestado por un gobierno extranjero, si se trata de ciberterrorismo, si se buscaba obtener información para luego perpetrar nuevos ataques personalizados con fines lucrativos, etc.
En nuestra opinión, va a ser difícil que esto acabe saliendo a la luz.
Marta Arroyo – abogada y responsable del área de Penal y Ciberseguridad
Rodrigo López Castro – abogado del área de Penal y Ciberseguridad