Hacienda intensifica la vigilancia en la Renta frente a ciberataques rusos y suplantaciones de identidad
La Agencia Tributaria protege sus sistemas informáticos especialmente en la Campaña de la Renta para hacer frente a suplantaciones de identidad y posibles ciberataques rusos
El director general de la Agencia Tributaria, Jesús Gascón, durante la presentación de la Campaña de IRPF 2021. EFE / Miguel Osés
Los técnicos del Ministerio de Hacienda están intensificando la vigilancia con motivo de la Campaña de la Renta ante los habituales ciberataques sufridos todos los años a través de suplantaciones de identidad y este año especialmente ante el mayor riesgo de ciberataques procedentes de Rusia, que se han disparado a escala internacional desde el estallido de la guerra en Ucrania.
La invasión de Ucrania por Rusia el pasado 24 de febrero despertó las alertas en todos los países europeos ante el riesgo de ciberataques procedentes del gigante ruso y, en España, ya alertaron de ello el Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI) tras el estallido del conflicto bélico, que lanzaron alertas internas a distintas administraciones públicas instando a la adopción de medidas.
Administraciones como la Seguridad Social siguieron estas recomendaciones y han ordenado en las últimas semanas el apagado de ordenadores oficiales en los que haya conexiones en remoto a portátiles y ordenadores de sobremesa por el riesgo de lanzamiento de ciberataque masivo por parte de Rusia a administraciones y empresas europeas.
En el caso de la Agencia Tributaria, se reinician sistemáticamente los puestos de trabajo de los funcionarios todos los fines de semana para garantizar las actualizaciones y, además, desde el organismo apuntan a Economía Digital que los equipos no están expuestos a Internet. Ya se procedió también a la revisión periódica de los controles de seguridad informática para garantizar su adaptación a nuevas situaciones o escenarios de riesgo.
Con motivo de la Campaña de la Renta de este año, iniciada el pasado 6 de abril, fuentes de los técnicos del Ministerio de Hacienda confirman que se está protegiendo especialmente este año los sistemas informáticos y la seguridad e la información. El tratamiento de datos personales ha sido evaluado mediante un análisis de riesgos como habitualmente, y se protege mediante la encriptación y con el mejor software disponible frente a posibles ciberataques y la suplantación de identidad a contribuyentes.
En cualquier caso, desde la Agencia Tributaria aclaran que no se han adoptado medidas extra a las ya habituales. Cabe recordar que el organismo es probablemente una de las administraciones más protegidas ante ciberataques y casos de ese tipo al contat con una de las mayores protecciones informáticas. El director general de la AEAT, Jesús Gascón, rebajó la alarma ante posibles ciberataques al apuntar que el organismo cuenta ya con unos protocolos de seguridad en la información que responden a los mejores estándares.
En este sentido, aseguró que incluso las circunstancias y alertas tras el estallido de la guerra se viven en materia de ciberseguridad en el organismo con relativa tranquilidad porque “cuando una organización tiene una situación estratégica de seguridad muy estricta, no hace falta prepararse más para situaciones excepcionales». «Ya lo estamos”, sostuvo en su última comparecencia en el Congreso a preguntas de la oposición sobre el asunto.
Controles de seguridad informática
Respecto a los controles de seguridad informática que se vienen implementando en la AEAT, técnicos del organismo explican a Economía Digital que el tratamiento de datos personales ha sido evaluado mediante un análisis de riesgos que ha permitido obtener la relación de medidas técnicas y organizativas necesarias para evitar la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.
Las medidas adoptadas tienen en cuenta el estado de la tecnología, la naturaleza de los datos y los riesgos a los que están expuestos y se revisan periódicamente para garantizar su adaptación a nuevas situaciones o escenarios de riesgo. Dichas medidas han sido aplicadas de acuerdo al Plan de adecuación aprobado, y recogen su Política de Seguridad de la Información.
Medidas para evitar la destrucción o alteración ilícita de datos personales
La AEAT dispone de un Sistema de Gestión de la Seguridad de la Información (SGSI) conforme a las exigencias del Esquema Nacional de Seguridad (ENS) para los servicios y las infraestructuras físicas de sus centros de datos. En los Centros de Proceso de Datos (CPD) se garantiza el cumplimiento de requisitos de seguridad en materia de acceso físico y protección de las infraestructuras generales: suministro eléctrico, climatización o comunicaciones.
Asimismo, la AEAT cuenta con un proceso de gestión y de un equipo de respuesta ante incidentes, a través de los cuales cubre el ciclo completo de vida de los incidentes de seguridad, desde la detección y registro, hasta la resolución del mismo, incluyendo el análisis, tipificación, respuesta inmediata y notificación.
Medidas para blindar a la Administración
Ante el riesgo de ciberataques y las alertas de la Agencia de Ciberseguridad e Infraestructuras (CISA) de Estados Unidos para reforzar la protección, el Gobierno aprobó en Consejo de Ministros una serie de medidas con el fin de blindar a la Administración contra posibles ciberataques, a través del Plan de Ciberseguridad incluido en el Plan de choque contra el impacto de la guerra de Ucrania y otra norma para asegurar el despliegue seguro del 5G.
Se trata del real decreto-ley del pasado 29 de marzo con requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación (5G). Dicha norma se vincula con el también aprobado Plan Nacional de Ciberseguridad, con cerca de 150 iniciativas y dotado de más de 1.000 millones de euros, para intensificar la vigilancia y apuntalar las capacidades de planificación, preparación, detección y respuesta en el ciberespacio.
un real decreto del año 2010 ya reguló el Esquema Nacional de Seguridad de la Administración Electrónica para dar respuesta a las ciberamenazas y los ciberincidentes. En este sentido, la Sede Electrónica de la Agencia Tributaria fue analizada con los criterios establecidos en dicho Real decreto, y el 16 de febrero de 2011 se aprobó un Plan que adecuó los Sistemas de Información de la AEAT al Esquema Nacional de Seguridad antes de enero de 2014.
No obstante, la Agencia Tributaria protege sus sistemas informáticos y la seguridad de la información mediante la encriptación y con el mejor software disponible, especialmente en la Campaña de la Renta, que suele sufrir ciberataques todos los años, a través de suplantaciones de identidad, dirigidos contra los contribuyentes.
Evita colapsos en el inicio de la Renta: refuerzo habitual de plantilla
En lo relativo a los habituales colapsos que se produce en el arranque de la Campaña de la Renta, este año la AEAT ha conseguido por ahora evitarlo al reforzar la capacidad informática de la web pese a la afluencia masiva y descargando el borrador. Aunque la plantilla de la AEAT es de casi la mitad por debajo de la plantilla media de los países de nuestro entorno, esto afecta fundamentalmente a la lucha contra el fraude fiscal.
Sin embargo, para la Campaña de Renta la planificación se realiza en base a la previsión de un determinado número de citas a concertar, por lo que se adecúa el número de personal a estas necesidades, contratándose a trabajadores fijos discontinuos de refuerzo para completar la Campaña. Actualmente cientos de futuros trabajadores extra se encuentran en los procesos de formación antes de su incorporación de cara al resto de campaña, que concluye el próximo 30 de junio.
