· Jonathan Izquierdo · Noticias seguridad ·
Hacienda investiga un posible ciberataque IDOR que habría expuesto datos de 47,3 millones de españoles
Análisis forense del presunto ciberataque a la Agencia Tributaria mediante vulnerabilidad IDOR. Por qué es tan difícil verificar si hubo filtración real.
El 2 de febrero de 2026, la Agencia Estatal de Administración Tributaria (AEAT) anunció que está investigando una alerta de seguridad reportada por el grupo de ciberseguridad Hackmanac. Según esta alerta, un actor malicioso identificado como “HaciendaSec” habría accedido a servidores centrales de Hacienda explotando una vulnerabilidad IDOR (Insecure Direct Object Reference) y credenciales filtradas, comprometiendo información personal, bancaria y fiscal de aproximadamente 47,3 millones de ciudadanos españoles.
Al día siguiente, el 3 de febrero, Hacienda descartó oficialmente el ataque, afirmando que “no se ha producido ninguna brecha de seguridad”. Sin embargo, la investigación continúa.
Como perito informático forense, analizo en este artículo la plausibilidad técnica del ataque, por qué es tan difícil verificar si hubo filtración real, y qué implicaciones tiene para la ciudadanía.
¿Qué pasó? Cronología de la alerta y el desmentido
2 de febrero: La alerta de Hackmanac
El grupo de ciberseguridad Hackmanac reportó que un actor conocido como “HaciendaSec” afirmaba haber comprometido los sistemas de la Agencia Tributaria. Según el reporte:
| Aspecto | Detalle |
|---|---|
| Vector de ataque | Vulnerabilidad IDOR + credenciales filtradas |
| Datos comprometidos | 47,3 millones de registros |
| Tipo de información | Personal, bancaria, fiscal |
| Método de extracción | Enumeración secuencial de DNI/NIE |
| Fuente | Supuestos servidores centrales de Hacienda |
3 de febrero: El desmentido oficial
Hacienda emitió un comunicado descartando el ciberataque, tal como reportó Escudo Digital:
“Tras la investigación preliminar, no se ha detectado evidencia de acceso no autorizado a los sistemas centrales ni extracción masiva de datos.”
Sin embargo, el comunicado también confirma que la investigación continúa con la participación del CCN-CERT (Centro Criptológico Nacional).
Precedente reciente
Este no es el primer susto. En octubre de 2025, el grupo de ransomware Qilin afirmó haber comprometido sistemas de Hacienda, alegación que también fue desmentida oficialmente. El patrón se repite.
¿Qué es IDOR y cómo funciona?
IDOR (Insecure Direct Object Reference) es una vulnerabilidad de control de acceso catalogada como A01:2021 – Broken Access Control en el OWASP Top 10 2021.
Concepto técnico
Una vulnerabilidad IDOR ocurre cuando una aplicación web expone referencias directas a objetos internos (archivos, registros de base de datos, claves) sin validar adecuadamente si el usuario tiene permiso para acceder a ellos.
Ejemplo simplificado:
Sistema vulnerable:
https://hacienda.gov/api/declaracion?id=12345678A
↑
Tu DNI en la URLSi el sistema no valida que el usuario autenticado es realmente el titular del DNI 12345678A, un atacante puede cambiar manualmente el parámetro:
https://hacienda.gov/api/declaracion?id=12345679B ← Otro DNI
https://hacienda.gov/api/declaracion?id=12345680C ← Enumeración
https://hacienda.gov/api/declaracion?id=12345681D ← AutomatizadaAtaque de enumeración secuencial
Según la alerta de Hackmanac, el actor habría utilizado enumeración secuencial de DNI/NIE. Esto significa:
Identificar el endpoint vulnerable: Encontrar una URL o API que use DNI/NIE como identificador directo
Confirmar ausencia de validación: Verificar que el sistema no comprueba si el usuario autenticado es el propietario del DNI
Automatizar la enumeración: Crear un script que itere secuencialmente por todos los DNI posibles (00000001A-99999999Z)
Extraer los datos: Descargar la información personal, bancaria y fiscal de cada DNI válido
Evadir rate limiting: Si existe control de velocidad, distribuir las peticiones en el tiempo o desde múltiples IPs
Por qué IDOR es tan peligroso
| Característica | Impacto |
|---|---|
| Fácil de explotar | No requiere conocimientos avanzados, solo cambiar un parámetro en la URL |
| Difícil de detectar | Los logs muestran peticiones “legítimas” de usuarios autenticados |
| Escalable | Con automatización, se puede extraer toda una base de datos |
| Silencioso | El sistema no genera alertas porque las peticiones parecen normales |
Prevención de IDOR según OWASP
La OWASP Cheat Sheet sobre IDOR recomienda:
- Validación de autorización: Verificar que el usuario tiene permiso para el recurso específico
- Referencias indirectas: Usar identificadores opacos (UUIDs) en lugar de DNIs
- Control de acceso por sesión: Mapear objetos accesibles en la sesión del usuario
- Auditoría de accesos: Registrar quién accede a qué datos y cuándo
Perspectiva del perito forense: Cómo se investiga esto
Como perito informático, ante una alegación de este tipo, mi metodología forense incluiría:
1. Análisis de logs del servidor
Qué buscaría:
- Patrones de peticiones secuenciales desde la misma IP o sesión
- Picos anómalos de tráfico en endpoints sensibles
- Peticiones de recursos que no corresponden al usuario autenticado
- Intentos de acceso a datos de múltiples DNI/NIE en corto periodo
Indicador forense clave:
[2026-02-01 23:15:42] GET /api/declaracion?id=12345678A - User: juan.perez - IP: 203.0.113.45
[2026-02-01 23:15:43] GET /api/declaracion?id=12345679B - User: juan.perez - IP: 203.0.113.45
[2026-02-01 23:15:44] GET /api/declaracion?id=12345680C - User: juan.perez - IP: 203.0.113.45
↑
Usuario accediendo a DNIs que no son el suyo2. Revisión de controles de acceso
Realizaría una auditoría técnica del código:
// ❌ Código VULNERABLE a IDOR
app.get('/api/declaracion', isAuthenticated, (req, res) => {
const dni = req.query.id;
const data = database.getDeclaracion(dni);
res.json(data); // ¡No valida si el usuario puede ver este DNI!
});
// ✅ Código SEGURO con validación
app.get('/api/declaracion', isAuthenticated, (req, res) => {
const dni = req.query.id;
const userDNI = req.session.userDNI;
if (dni !== userDNI) {
return res.status(403).json({ error: 'Acceso no autorizado' });
}
const data = database.getDeclaracion(dni);
res.json(data);
});3. Análisis de bases de datos
Evidencias a buscar:
- Registros de auditoría de consultas SQL
- Usuarios que han accedido a registros no autorizados
- Exportaciones masivas de datos
- Conexiones inusuales a bases de datos
4. Forense de red
- Captura de tráfico: Si existe PCAP de los días sospechosos, analizar patrones de peticiones HTTP/HTTPS
- Exfiltración de datos: Buscar transferencias masivas salientes inusuales
- Conexiones externas: Identificar IPs que realizaron peticiones anómalas
Documentación forense crítica
En un peritaje real, documentaría:
- Línea temporal: Cuándo ocurrieron las peticiones sospechosas
- Identidad del atacante: IPs, sesiones, credenciales usadas
- Volumen de datos: Cantidad de registros accedidos
- Prueba de concepto: Demostración técnica de la vulnerabilidad
- Impacto: Qué datos fueron expuestos y cuántos usuarios afectados
Precedentes: El caso Qilin (octubre 2025)
Este no es el primer susto de Hacienda en los últimos meses.
Alegación de Qilin Ransomware
En octubre de 2025, el grupo de ransomware Qilin afirmó haber:
- Comprometido sistemas de Hacienda
- Extraído datos sensibles de millones de contribuyentes
- Amenazado con publicar la información si no se pagaba un rescate
Desmentido oficial
Al igual que ahora, Hacienda negó rotundamente el ataque tras una investigación interna.
Lo que esto significa
Dos escenarios posibles:
- Falsos positivos: Grupos criminales hacen afirmaciones falsas para ganar notoriedad o manipular mercados
- Detección tardía: Los sistemas fueron comprometidos pero las investigaciones internas no detectaron evidencias concluyentes
Como perito, debo reconocer que detectar un ataque IDOR después de meses es extremadamente difícil si:
- Los logs se rotan periódicamente (borrado de evidencias)
- El atacante usó credenciales legítimas robadas
- Las peticiones parecían actividad normal de usuarios
Por qué es difícil verificar si hubo filtración real
1. Los logs se pierden
La mayoría de organizaciones rotan logs cada 30-90 días por razones de almacenamiento. Si el ataque ocurrió hace meses:
[octubre 2025] ← Logs borrados
[noviembre 2025] ← Logs borrados
[diciembre 2025] ← Logs disponibles
[febrero 2026] ← Investigación iniciaResultado: No hay evidencia forense del ataque original.
2. Tráfico cifrado (HTTPS)
Si las peticiones usaban HTTPS, el contenido está cifrado. Los sistemas de monitoreo de red solo ven:
IP origen → hacienda.gov (puerto 443)
↑ ↑
Visible Contenido cifrado (no visible sin certificados)3. Credenciales legítimas
Si el atacante usó credenciales robadas de usuarios reales, las peticiones parecen completamente legítimas:
Usuario: [email protected]
Sesión válida: Sí
Autenticado: Sí
Permisos: Funcionario con acceso a datos
↓
¿Cómo distinguir entre uso legítimo y malicioso?4. Falta de alertas proactivas
Muchas organizaciones no tienen sistemas de detección de anomalías que alerten sobre:
- Un usuario accediendo a 1.000 registros en 1 hora
- Peticiones secuenciales de DNIs consecutivos
- Accesos fuera del horario laboral habitual
- Descargas masivas de datos
Brecha de detección
La industria de ciberseguridad estima que el tiempo medio de detección de una brecha de datos (dwell time) es de 207 días según el IBM Cost of a Data Breach Report 2025.
Si el ataque fue en octubre 2025 y se descubrió en febrero 2026, estamos hablando de 120 días - dentro del rango habitual.
Implicaciones para los ciudadanos
Si la filtración fue real (aunque Hacienda lo descarta), las implicaciones son graves:
Datos potencialmente expuestos
Según Hackmanac, la información comprometida incluiría:
| Tipo de dato | Riesgo asociado |
|---|---|
| Datos personales | Nombre, DNI/NIE, dirección, teléfono → Suplantación de identidad |
| Datos bancarios | IBAN, cuentas → Fraude financiero, phishing dirigido |
| Datos fiscales | Declaraciones, rentas → Chantaje, extorsión |
| Datos patrimoniales | Bienes inmuebles, inversiones → Targeting criminal |
Riesgos inmediatos
Phishing ultra-dirigido: Con datos fiscales reales, los estafadores pueden crear correos/SMS extremadamente convincentes
"Sr. Juan Pérez, DNI 12345678A: Detectamos una discrepancia en su declaración 2025 (Base imponible: 45.320€, Retenciones: 8.245€). Debe verificar sus datos en el siguiente enlace..."Suplantación de identidad: Solicitar créditos, contratos o servicios a tu nombre
Extorsión: “Sabemos que tienes bienes no declarados… paga X o lo publicamos”
Fraudes financieros: Intentos de transferencias con tus datos bancarios completos
Qué hacer como ciudadano afectado
Aunque Hacienda descarta el ataque, toda la población española debe considerarse potencialmente afectada:
Medidas inmediatas
Activar alertas bancarias: Configura notificaciones instantáneas de movimientos en tus cuentas
Vigilar comunicaciones de Hacienda:
- Hacienda nunca pide datos sensibles por email o SMS
- Verifica cualquier comunicación en la sede electrónica oficial
- Llama al 91 535 73 26 (teléfono oficial) ante dudas
Monitorizar tu identidad:
- Solicita un informe de ASNEF para detectar créditos no autorizados
- Revisa tu historial crediticio periódicamente
Desconfiar de phishing fiscal:
- Si recibes un email “de Hacienda” con datos específicos tuyos, no hagas clic en enlaces
- Accede siempre directamente a la sede electrónica escribiendo la URL manualmente
Considerar inscripción en fichero de AEPD: Si sospechas que tus datos fueron filtrados, puedes presentar una reclamación ante la Agencia Española de Protección de Datos
Derechos legales
En caso de confirmarse la filtración, los ciudadanos afectados tendrían derecho a:
- Notificación oficial: Hacienda debería notificar individualmente (Art. 33 RGPD)
- Medidas de protección: Servicios gratuitos de monitoreo de identidad
- Compensación: Posible indemnización por daños y perjuicios
- Acciones colectivas: Demandas de clase por negligencia en protección de datos
Marco legal aplicable
- RGPD: Artículos 33 (notificación de brechas) y 82 (derecho a indemnización)
- LOPDGDD: Artículo 73 (infracciones graves por falta de medidas de seguridad)
- Código Penal: Artículo 197 (descubrimiento y revelación de secretos)
Conclusiones desde la perspectiva forense
Como perito informático forense, extraigo las siguientes conclusiones de este caso:
1. Las vulnerabilidades IDOR son reales y peligrosas
No es una vulnerabilidad “teórica”. Organismos públicos y empresas siguen desplegando sistemas con estos fallos críticos de control de acceso.
2. La detección post-mortem es muy difícil
Si un ataque IDOR ocurrió hace meses:
- Los logs pueden haberse borrado
- Las evidencias digitales se degradan
- Distinguir entre acceso legítimo y malicioso es complejo
3. Los desmentidos no son concluyentes
Un “no se ha detectado evidencia” no equivale a “no ocurrió”. Solo significa que la investigación con los datos disponibles no encontró pruebas concluyentes.
4. La prevención debe ser proactiva
Organizaciones que manejan datos sensibles deben implementar:
- Validación de autorización en cada acceso a recursos
- Referencias indirectas (UUIDs, tokens) en lugar de identificadores predecibles
- Sistemas de detección de anomalías en tiempo real
- Auditoría continua de logs de acceso
- Retención de logs extendida (mínimo 1 año)
5. Todos somos potenciales víctimas
Hasta que no haya una auditoría externa independiente con metodología forense rigurosa, debemos actuar como si nuestros datos fiscales hubieran sido expuestos.
¿Necesitas un peritaje forense de ciberseguridad?
Ofrezco análisis forense de incidentes de seguridad, auditorías de vulnerabilidades IDOR y peritajes judiciales sobre brechas de datos. Metodología acreditada y admisible en tribunales.
Solicitar consulta gratuitaFuentes consultadas:
- Infobae - Hacienda investiga un posible ciberataque
- Escudo Digital - Hacienda descarta el ciberataque
- OWASP - IDOR Prevention Cheat Sheet
- OWASP Top 10 2021 - A01:2021 Broken Access Control
Sobre el autor: Jonathan Izquierdo es perito informático forense con experiencia en análisis de brechas de seguridad, auditorías de vulnerabilidades y peritajes judiciales sobre protección de datos.
Última actualización: 4 Febrero 2026
