La Agencia Tributaria crea un Centro de Ciberseguridad tras los ataques rusos y las fugas de datos

La Agencia Tributaria (AEAT) ha creado un Centro de Ciberseguridad y Protección de Datos en un momento en el que se han recrudecido los ciberataques de hackers vinculados con Rusia contra corporaciones e infraestructuras públicas críticas españolas y después de que haya sufrido fugas de datos relevantes en abril y octubre.

Este nuevo organismo va a ser el responsable de Seguridad de la AEAT según el Esquema Nacional de Seguridad, el sistema de seguridad del sector público que depende del CNI y del Centro Criptológico Nacional.

El BOE recoge la creación de este Centro cuando quedan menos de dos meses para que empiece la Campaña de la Renta, a las que están llamados más de 21 millones de españoles desde el próximo 1 de abril, la mayor movilización tributaria de las muchas que realiza la Agencia, y desde 2018, ya completamente digital. 

La Agencia Tributaria está a la vanguardia digital de la Administración española y protege sus sistemas con los más altos estándares y cortafuegos. Sin embargo, la Campaña de la Renta, su joya de la corona, sufre todos los años ciberataques, que suelen dirigirse contra los contribuyentes a través de suplantaciones de identidad.

En este sentido, según ha avanzado Vozpópuli, desde el pasado 29 de enero se ha detectado un incremento de ciberataques desde actores vinculados a Rusia. Son de tipo DDoS, lanzados por el grupo hacktivista 'Noname057'. Estos ataques, ya sufridos durante la campaña electoral del pasado mes de julio, tratan de dejar inoperativos servicios esenciales. Un ataque detectado especialmente significativo ha sido la suplantación de identidad de la web de la AEAT para el robo de credenciales de los usuarios.

Según explica la Resolución de la Presidencia de la AEAT que crea el Centro de Ciberataques que ha publicado el BOE este jueves, "cada vez son mayores los riesgos de sufrir ciberataques y amenazas a la seguridad de la información, haciéndose imperativas las acciones que viene llevando a cabo la Agencia para prevenir, evitar, detectar y corregir cualquier peligro, amenaza o agresión que puedan poner en riesgo su actividad digital".

"Los sistemas de información de la AEAT, aquellos sistemas informáticos destinados a la obtención, almacenamiento, proceso y transmisión de la información, y por extensión el propio Departamento de Informática Tributaria, son cada vez más críticos, pues de su buen funcionamiento depende directamente que la Agencia pueda cumplir satisfactoriamente con sus objetivos y con el creciente uso de la Administración electrónica por parte de los obligados tributarios, aún más desde que la AEAT fue designada en su día como Operador Crítico y sus dos centros de proceso de datos como Infraestructuras Críticas", añade la Resolución.

La creación del Centro de Ciberseguridad, explica la disposición de Hacienda, supone dotar a la AEAT "de órganos específicos que aglutinen las labores que actualmente se desarrollan en este ámbito en la Agencia para seguir reforzando la capacidad de respuesta del Departamento de Informática Tributaria a los nuevos desafíos que se plantean y, en particular, potenciar la seguridad de la información tributaria, facilitando el cumplimiento de la normativa relativa a la protección de datos de carácter personal, ciberseguridad e infraestructuras críticas, así como impulsar nuevos sistemas para la información y asistencia a los contribuyentes, la prestación de servicios homogéneos y de calidad a través de los diversos canales que la tecnología ofrezca en cada momento, y la mejora de la calidad y usabilidad de los sistemas de información".

Fuentes de la AEAT apuntan que este movimiento obedece a "cambios organizativos y de estructura interna" para centralizar esta labor. Admiten "sensibilidad y preocupación" con los riesgos de ciberataques rusos y subrayan la calidad de sus sistemas y controles.

Funciones y competencias

El Centro de Ciberseguridad y Protección de Datos va a depender directamente del Departamento de Informática Tributaria (DIT), que dirige José Borja Tomé.
Entre las funciones y competencias que se le atribuyen al nuevo Centro, destacan la definición e implantación de los planes de actuación que garanticen la seguridad y mantenimiento de los servicios informáticos en tiempo real, asegurando la continuidad de los servicios tributarios, y su recuperación, dentro de los plazos establecidos, en caso de fallo total o parcial.
El mantenimiento actualizado del registro de funcionarios de la Agencia habilitados para la identificación y autenticación de los ciudadanos para la realización de operaciones por medios electrónicos, así como la gestión de la identidad y las autorizaciones de los empleados públicos y la gestión de las credenciales utilizadas por el personal al servicio de la Agencia para su identificación y autenticación electrónica.
La certificación de los trámites electrónicos realizados en la Sede Electrónica de la Agencia Tributaria para asegurar su validez y legalidad.
La colaboración y compartición de información de amenazas de ciberseguridad, incidentes y mejores prácticas de seguridad, colaborando con las autoridades de referencia en materia de ciberseguridad, protección de datos e infraestructuras críticas, así como con el resto de organismos de las Administraciones Públicas.

Todo esto se suma a la colaboración con el resto de Administraciones y con la Unión Europea, además de apoyar al Delegado de Protección de Datos en la AEAT en la tramitación de las reclamaciones y requerimientos relacionados con los derechos digitales de los ciudadanos.

Algunas de estas competencias amplían las que venía reuniendo el Departamento de Informática Tributaria, que distribuye y certifica datos y claves utilizados por el personal al servicio de la Agencia para su identificación y autenticación electrónica y la organización y custodia de los archivos electrónicos corporativos de documentos electrónicos que formen parte de expedientes administrativos.

En su ámbito de competencias y funciones, vela por la integridad, veracidad y actualización de la información y los servicios a los que puede accederse a través de la sede electrónica de la Agencia.

Aumentan los ataques desde la invasión de Ucrania

Los ciberataques rusos empezaron a conocerse en España con el procés. Durante el referéndum ilegal del 1-O de 2017 había granjas de bots rusos difundiendo imágenes falsas de gran violencia.

En los días previos y posteriores a la invasión de Ucrania el 24 de febrero de 2022, se multiplicaron los ciberataques rusos a la Administración y empresas españolas y se han venido repitiendo desde entonces, con incidencia especial en las pasadas elecciones generales.

En la primavera de 2022, el Gobierno aprobó una serie de normas para reforzar la protección. Dio luz verde a un blindaje de la Administración contra ciberataques en el Plan de Choque contra los efectos de la guerra de Ucrania, y validó un Real Decreto-ley sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas.

En este escenario, el Real Decreto del Plan de Choque contra la guerra modificó la Ley 39/2015 del Procedimiento Administrativo Común de las Administraciones Públicas y amplió los plazos de los procedimientos administrativos en caso de un ciberataque. Ello supone para las Administraciones Públicas "un elemento de refuerzo de adicional" en caso de ciberataque grave.

A su vez, el Real Decreto-ley 7/2022 sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación advertía de "elevado riesgo de ciberataques". "El conflicto está provocando importantes implicaciones para la Unión Europea, entre las que se encuentra el incremento considerable del riesgo de ciberataques por motivos geoestratégicos", avisaba.