La Agencia Tributaria ha negado este jueves que se haya producido ningún robo o filtración de información tras la aparición de un mensaje del grupo cibercriminal Qilin en el que aseguraban haber accedido a sus sistemas. Fuentes del organismo han explicado a elDiario.es que, tras la revisión de los documentos que la banda ha publicado como prueba, este puede “descartar por completo” que provengan de sus sistemas internos.

Las mismas fuentes indican que esos archivos pueden provenir de una “entidad privada” que maneje documentación fiscal de sus clientes, como una gestoría, lo que habría inducido a error a Qilin. En su publicación en la dark web , el grupo cibercriminal afirma haber sustraído a 60 gigas de información confidencial de la Agencia Tributaria, con un total de 238.799 documentos.

Como prueba del robo, la banda cuelga algunas capturas de los documentos. Entre ellas, se puede apreciar que algunos de esos archivos corresponden a correos electrónicos privados entre clientes de una gestoría castellanoleonesa y sus trabajadores, según ha podido comprobar elDiario.es.

Publicación de Qilin en su portal de la 'dark web' en la que asegura haber atacado a la Agencia Tributaria

Un caso de este estilo sucedió a principios de este año e involucró también a la Agencia Tributaria. Entonces, otro grupo cibercriminal aseguró haber ciberatacado el organismo, una reivindicación que fue dada por buena por algunos medios de comunicación. Días después, la Agencia pudo confirmar también que los datos provenían de otra gestoría y no de sus sistemas internos.

Qilin, un grupo especializado en el secuestro y robo de información confidencial surgido en 2022, se ha atribuido en los últimos meses varios ataques contra entidades públicas y privadas, entre ellas la administración de Melilla y la japonesa Asahi Group Holdings.

Está especializado en la extorsión doble —el cifrado de sistemas y la amenaza de divulgar la información robada— y destaca por su agresividad y por el uso de tácticas mediáticas para reforzar su imagen criminal. Expertos en ciberseguridad advierten de que este tipo de anuncios falsos se han convertido en una práctica frecuente para sembrar alarma y atraer nuevos afiliados al negocio del ransomware.