Qilin afirma haber vulnerado la Agencia Tributaria: 60 GB exfiltrados, muestra publicada y alerta temprana (reclamación aún no verificada)

Por /
Compartir en Pinterest Compartir en WhatsApp

El grupo de ransomware Qilin ha publicado en su sitio de filtraciones una reclamación de intrusión contra la Agencia Estatal de Administración Tributaria (AEAT). Según los atacantes, habrían exfiltrado 60 GB (238.799 ficheros) y ya habrían mostrado muestras para presionar a la entidad. La alerta fue detectada el 15 de octubre de 2025 en un portal de leaks de la dark web y difundida por fuentes OSINT como Hackmanac; de momento, no existe confirmación oficial ni evidencias públicas independientes que permitan verificar la intrusión.

Otras piezas de monitorización de amenazas han recogido el listado de la Agencia Tributaria como víctima en el tracker de grupos de ransomware y en blogs de threat intel, si bien todos ellos repiten el carácter no verificado de la reclamación a la hora de cierre.

Qué se sabe y qué no (por ahora)

  • Qué hay: una entrada en el leak site de Qilin y referencias OSINT que citan “60 GB exfiltrados” y muestras. Estado: no verificado.
  • Qué falta:
    • Comunicado oficial de la AEAT y/o de organismos españoles (p. ej., CCN-CERT o INCIBE-CERT) que confirme o desmienta.
    • Análisis independiente que coteje las muestras con información auténtica y actual de la Agencia.
    • Indicadores técnicos (IoC) y vectores de acceso confirmados.

Mientras tanto, el cuadro de actividad de Qilin en 2025 —incluyendo reclamaciones recientes contra grandes empresas y administraciones— respalda que se trata de un actor real y activo, aunque no prueba este caso concreto.

Quién es Qilin y cómo opera

Qilin (también conocido por su etapa inicial como Agenda) es una operación RaaS (ransomware-como-servicio) activa desde 2022: practica doble extorsión (cifrado + difusión/venta de datos), usa un stack flexible y ha incrementado su actividad en 2025. Distintas fuentes apuntan a:

  • Origen como servicio afiliado (múltiples operadores).
  • Exfiltración previa de datos como palanca de presión.
  • Infraestructura resistente basada en bulletproof hosting.

Vectores típicos observados en operaciones RaaS comparables: phishing con robo de credenciales, abuso de RDP/VPN, explotación de vulnerabilidades perimetrales (Citrix, Ivanti, Fortinet, etc.) o terceros. Hasta que haya forense, no es posible atribuir un vector concreto en este incidente.

Riesgo potencial e impactos si la intrusión se confirma

  • Riesgo para ciudadanos y empresas: phishing y fraude tributario altamente creíbles usando datos filtrados (NIF, razón social, direcciones, cuentas, referencias de expediente o devolución).
  • Riesgo de suplantación: campañas que imitan comunicaciones de la AEAT para capturar credenciales o distribuir malware.
  • Riesgo operativo: si hubiera cifrado o borrado en sistemas críticos, podrían darse interrupciones en servicios o procedimientos (no hay indicios públicos de indisponibilidad a esta hora).
  • Exposición regulatoria: si hay datos personales, obligaciones de notificación a la AEPD y a los afectados (RGPD) y, en el ámbito público, aplicación del ENS.

Qué debería ocurrir ahora (verificación responsable)

  1. Comunicación oficial: nota de la AEAT/Hacienda y, en su caso, CCN-CERT/INCIBE-CERT, con el estatus (contención, alcance, servicios operativos).
  2. Forense y scoping: identificación de sistemas afectados, cronología y ámbito de datos exfiltrados.
  3. Preservación de pruebas: snapshots, logs, artefactos de red y endpoints.
  4. Notificación regulatoria (si procede): AEPD y afectados con medidas de mitigación.
  5. Coordinación TLP con organismos públicos y CCAA (si el alcance afecta a tributarias autonómicas u organismos conectados).

Recomendaciones inmediatas (para organismos públicos y proveedores)

Ámbito institucional (Gob/LE/Mil y proveedores TIC con integración AEAT)

  • Aumentar vigilancia de logs (proxy, VPN, M365/IdP, exfil HTTP/S3), reglas de DLP y alertas de descargas masivas o zips voluminosos fuera de patrón.
  • Reforzar autenticación: MFA real en accesos remotos, rotación de claves API y tokens de servicio vinculados a integraciones con AEAT.
  • Higiene de credenciales: rotación de cuentas con acceso a datos fiscales y buzones de notificación; revisar delegaciones y accesos compartidos.
  • Parcheo urgente de perímetro (Citrix/NetScaler, VPN, Ivanti, Fortinet, VMware) y cierre de servicios expuestos innecesarios.
  • Segmentación y bloqueo de east-west si hay indicios de movimiento lateral; comprobar persistencias (scheduled tasks, services, WMI, RDP shadowing).
  • Backups inmutables y pruebas de restauración (tabla de tiempos).
  • Plan de takedown de phishing: dominios look-alike de AEAT y plantillas maliciosas.

Para ciudadanos y empresas (en caso de confirmación o incluso ante la duda razonable)

  • Desconfíe de emails/SMS/llamadas que se hagan pasar por la Agencia Tributaria: la AEAT no pide claves ni datos bancarios por correo ni enlaza a pagos fuera de sede electrónica.
  • Compruebe siempre la URL (dominios .agenciatributaria.gob.es / sede.agenciatributaria.gob.es).
  • Active notificaciones electrónicas oficiales y Cl@ve para reducir superficie de fraude.
  • Si recibió comunicaciones sospechosas, no pulse enlaces ni adjuntos y denúncielo (Oficina de Seguridad del Internauta / INCIBE 017).

Señales públicas y contexto de amenaza

  • OSINT en X/monitores reportó la reclamación de Qilin para AEAT el 15 de octubre; a esta hora, sin verificación oficial.
  • Trackers y blogs de seguridad han recogido el caso en listados de víctimas, manteniendo la advertencia de “no verificado”.
  • Qilin ha intensificado su actividad durante 2025 y ha firmado otros ataques de alto perfil en Japón y EE. UU., según prensa y threat intel.

Cómo seguirlo

  • Sitio/Redes oficiales de la Agencia Tributaria y Ministerio de Hacienda para comunicados.
  • CCN-CERT e INCIBE-CERT para avisos técnicos en España.
  • Canales de Hackmanac y trackers reputados (ransomware.live) con la salvedad de que no sustituyen confirmación institucional.

Preguntas frecuentes

¿Está confirmada la brecha de la Agencia Tributaria?
No. A esta hora es una reclamación de Qilin reflejada por fuentes OSINT. Falta confirmación oficial y pruebas independientes.

¿Qué volumen de datos dicen haber robado?
Los atacantes afirman 60 GB (238.799 ficheros) y dicen haber publicado muestras. Es un dato no verificado.

¿Qué es Qilin y por qué preocupa?
Es una banda RaaS con doble extorsión (cifrado + filtración), muy activa en 2025. Mantiene una infraestructura de publicación y ha reclamado ataques recientes a grandes organizaciones.

¿Qué debo hacer si recibo un email/SMS de “la Agencia” pidiendo datos o pagos?
Desconfíe y verifique siempre en la sede electrónica oficial (sede.agenciatributaria.gob.es). La AEAT no solicita claves ni pagos por correo o enlaces acortados. Ante dudas, contacte con los canales oficiales o con INCIBE (017).

Nota: Esta pieza se publica como alerta temprana. No compartimos material filtrado ni enlazamos a leak sites. Actualizaremos si hay confirmación oficial o desmentido.

Compartir en Pinterest Compartir en WhatsApp

Entradas relacionadas

Scroll al inicio