El CNI investiga la venta en internet de una lista con supuestos datos de 2.000 de sus trabajadores

Este 2024 está siendo un año especialmente intenso para quienes se dedican a investigar los ciberataques y hackeos de gran magnitud ocurridos en España. A la oleada de incidentes y robos de información a empresas del Ibex e incluso hasta a la Dirección General de Tráfico se le une ahora la sospecha de que incluso el Centro Nacional de Inteligencia (CNI), concretamente su Centro Criptológico Nacional (CCN), pueda haber sido víctima de uno de estos ciberataques. Hace unos días apareció en la deep web a la venta un listado de 2.000 usuarios con todo tipo de datos personales y profesionales, acompañado del logo del propio CCN. Se está investigando la veracidad de este anuncio.

La alerta la lanzó la organización HackRisk, especializada en monitorizar todo tipo de ciberataques y alertar sobre la aparición de supuestas bases de datos robadas en los principales foros de hackers.

En esa página web, no disponible para el gran público y que requiere de una serie de herramientas concretas para poder acceder, apareció el pasado 16 de julio cerca de la medianoche un aviso que decía «CCN CERT db Spain». Una base de datos («db») a la venta supuestamente procedente de un ataque al Centro Criptológico Nacional, el departamento de la inteligencia española que precisamente actúa como vanguardia en la lucha contra la ciberdelincuencia.

En la descripción, el usuario que subió la lista asegura que vende «una base de datos de 2.000 usuarios del CCN-CERT, un departamento del servicio de inteligencia de España CNI». Según detalla el usuario, la base de datos incluye «nombre de usuario, nombre, apellido, email, cargo, puesto de trabajo, dirección y código postal». El precio es negociable y el vendedor (un tal dogetoast) insta a contactar por privado para establecer el valor del paquete de datos confidencial.

Esto mismo fue lo que ocurrió con los datos de la DGT que unos piratas informáticos extrajeron de los servidores de Tráfico, con información sobre 34 millones de conductores, y que terminaron a la venta en este mismo portal. Por ello, según ha sabido OKDIARIO, el propio CNI no ha descartado de primeras que pueda tratarse de un ciberataque real y que los datos a la venta sean realmente de 2.000 de sus empleados o agentes. Y como a la DGT, también le ha ocurrido algo similar a grandes empresas españolas.

Fuentes vinculadas con el CCN explican que «pese a que no hay constancia de ningún incidente o intromisión en los sistemas» del organismo, «nunca se puede descartar que se haya producido sin encender las alarmas».

Un ataque en 2016

De confirmarse, no sería este el primer ataque serio contra el CNI o alguna de sus estructuras (como el Centro Criptológico Nacional). Uno de los que más se recuerda tuvo lugar en 2016, cuando  un grupo de hackers conocido como Gaben Security se infiltró en la web del Centro Nacional de Inteligencia (CNI), accediendo al servidor que alojaba todos los datos de la página.

Este grupo había lanzado un ataque de denegación de servicio (DDoS) el día anterior, causando interrupciones intermitentes en la web del CNI durante varias horas. Sin embargo, esta segunda acción resultó ser mucho más grave, ya que evidenció una vulnerabilidad en la web que los hackers aprovecharon para ingresar. Aunque no lograron obtener información interna sensible de la agencia, los datos a los que tuvieron acceso podrían ser utilizados para futuros ciberataques.

Esta acción de Gaben Security formaba parte de la llamada OpCatalunya, una serie de ciberataques realizados por diferentes grupos, incluido Anonymous, contra webs del Gobierno español en apoyo a Cataluña. Los hackers encontraron una vulnerabilidad en el buscador de la web del CNI mediante una «inyección de código SQL», lo que les permitió identificar dicha vulnerabilidad y acceder al servidor web que almacenaba todos los archivos y contenidos de la página.

Un 2024 preocupante

Mientras todavía se desconoce la autoría y las posibles implicaciones de este ciberataque actual, lo que sí se ha puesto de manifiesto en este 2024 es que los hackers rusos han puesto en el punto de mira a las empresas de España, según el informe Threat Landscape Report realizado por S21sec, un proveedor de ciberseguridad.

El documento muestra como los ciberdelincuentes de Rusia tienen a las mercantiles españolas entre sus principales objetivos. Así, los casos de Telefónica, Iberdrola, Banco Santander o la DGT de los últimos días sólo son la guinda del pastel, pues, tan sólo en 2023, 89 compañías nacionales han sufrido ciberataques.

El último caso conocido fue el de la Dirección General de Tráfico (DGT). La entidad sufrió un robo masivo de datos que afecta a 34 millones de conductores en todo el país. Los ciberdelincuentes lograron penetrar en los ficheros y han extraído matrículas, marcas, modelos de vehículos, nombres, domicilios, población del titular y hasta los datos del seguro en vigor. Esos datos aparecieron posteriormente a la venta en internet.

Por su parte, Iberdrola también se ha visto afectada. Los datos de 850.000 clientes españoles de luz y gas fueron expuestos el pasado 29 de mayo. En concreto, 600.000 clientes de electricidad y otros 250.000 de gas se encuentran entre las víctimas. Sin embargo, los datos bancarios de los afectados no se han filtrado y se han mantenido a salvo, según fuentes de la energética. En términos generales, la compañía fue capaz de controlar y neutralizar el asalto cibernético.

Además, en junio salió a la luz que Telefónica está investigando el robo de datos y su puesta en venta por parte de un hacker con información de unos 120.000 clientes y empleados de la operadora. En este caso, la base de datos obtenida por los ciberdelincuentes contendría nombres, direcciones, números de teléfono y correos electrónicos, aunque tampoco contaría con información referida a datos económicos ni a cuentas bancarias.