AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Condenado a ocho años de prisión el responsable del ciberataque a asesorías fiscales en EE. UU.**

admin

### Introducción

Un ciudadano nigeriano ha sido sentenciado a ocho años de prisión federal en Estados Unidos tras orquestar una campaña de hacking dirigida a varias empresas de preparación de impuestos en Massachusetts. El atacante, tras vulnerar los sistemas de seguridad de estas firmas, logró acceder a información fiscal sensible de miles de contribuyentes, utilizando posteriormente estos datos para presentar declaraciones de impuestos fraudulentas por un importe superior a 8,1 millones de dólares. Este caso pone de manifiesto la creciente sofisticación de las amenazas dirigidas contra el sector financiero y fiscal, así como la urgencia de reforzar las medidas de seguridad y cumplimiento normativo en estos entornos críticos.

### Contexto del Incidente

Durante los años 2017 y 2019, el acusado, operando desde Nigeria y otros países, coordinó una ofensiva cibernética dirigida específicamente a despachos de asesoría fiscal en el estado de Massachusetts, un blanco habitual durante la temporada de declaración de la renta en Estados Unidos. El objetivo principal era el robo masivo de credenciales, datos personales y fiscales de los clientes de estas empresas, aprovechando la falta de segmentación de redes, la protección deficiente de accesos remotos y la ausencia de doble factor de autenticación en muchos casos.

Las campañas de ataque se intensificaron durante los meses previos a la temporada tributaria, periodo en el que la presión operativa sobre las asesorías fiscales incrementa y se multiplican los accesos remotos y solicitudes de clientes, facilitando la labor de los atacantes.

### Detalles Técnicos

La investigación judicial permitió identificar diversas técnicas de ataque empleadas por el condenado y sus cómplices, muchas de las cuales se alinean con los frameworks MITRE ATT&CK en las fases iniciales de Reconocimiento (T1595) y Acceso Inicial (T1190, Explotación de aplicaciones públicas).

#### Principales vectores de ataque:

– **Phishing dirigido (Spear Phishing – T1566):** Se enviaron correos electrónicos personalizados a empleados de las asesorías fiscales, suplantando a clientes o proveedores habituales para obtener credenciales de acceso a los sistemas internos.
– **Compromiso de RDP y VPN (T1078):** Aprovechando configuraciones inseguras y la ausencia de MFA, los atacantes accedieron a escritorios remotos y portales VPN.
– **Uso de herramientas y exploits conocidos:** Si bien no se ha confirmado el uso de frameworks como Metasploit o Cobalt Strike, la automatización de ataques mediante scripts y herramientas de fuerza bruta fue clave para el éxito de la campaña.
– **Exfiltración de datos (T1041):** Una vez dentro, se procedió a la extracción masiva de archivos fiscales y PII (información personal identificable), la mayoría en formatos estándar (PDF, CSV, bases de datos SQL).

#### Indicadores de compromiso (IoC):

– Conexiones inusuales desde direcciones IP asociadas a Nigeria y Europa del Este.
– Accesos a cuentas fuera del horario habitual y desde dispositivos sin registro previo.
– Incremento súbito en el tráfico de salida hacia servicios en la nube no corporativos.

Las versiones de software afectadas correspondían principalmente a aplicaciones de gestión fiscal sin actualizaciones recientes y sistemas operativos Windows Server 2012/2016 sin parches críticos aplicados.

### Impacto y Riesgos

El impacto económico directo de la operación criminal superó los 8,1 millones de dólares en solicitudes fraudulentas de reembolsos fiscales. Si bien el Servicio de Impuestos Internos (IRS) logró detener la mayor parte de los pagos, el coste en horas de remediación, notificación a víctimas y refuerzo de controles internos ha sido considerable, estimándose en más de 1,5 millones de dólares adicionales.

A nivel de privacidad, resultaron comprometidos los datos fiscales, bancarios y personales de más de 9.000 contribuyentes, lo que acarrea riesgos de suplantación de identidad y fraudes posteriores. Además, las empresas afectadas se enfrentan a posibles sanciones administrativas en materia de protección de datos (GDPR para ciudadanos europeos y legislación estatal/federal en EE. UU.), así como a demandas colectivas por negligencia en la protección de la información.

### Medidas de Mitigación y Recomendaciones

Tras el incidente, las empresas afectadas han reforzado sus políticas de seguridad y adoptado medidas como:

– Implementación obligatoria de autenticación multifactor (MFA) para todos los accesos remotos.
– Segmentación de redes y aplicación de políticas Zero Trust.
– Monitorización avanzada de logs y alertas de comportamiento anómalo (UEBA).
– Formación recurrente en ciberseguridad y simulacros de phishing para empleados.
– Actualización y parcheo regular de aplicaciones críticas y sistemas operativos.

Se recomienda a todas las empresas del sector fiscal, especialmente durante la campaña tributaria, realizar auditorías externas de seguridad y pruebas de intrusión periódicas, así como revisar planes de respuesta a incidentes conforme a las exigencias de la directiva NIS2 y normativas locales.

### Opinión de Expertos

Expertos en ciberseguridad como Jake Williams (ex-NSA y fundador de Rendition Infosec) destacan que “los servicios profesionales, como las asesorías fiscales, siguen infraestimando su exposición real frente a amenazas internacionales, sobre todo cuando el beneficio económico para el atacante es inmediato y elevado”.

Por su parte, la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) ha advertido en múltiples ocasiones sobre el incremento de ataques dirigidos a pymes y despachos profesionales, instando a la adopción de controles básicos como MFA, cifrado y monitorización continua de accesos.

### Implicaciones para Empresas y Usuarios

Este caso ilustra la necesidad urgente de elevar el nivel de madurez en ciberseguridad dentro del sector de servicios fiscales y contables, tradicionalmente menos protegido que la banca o las grandes tecnológicas.

Para las empresas, el incumplimiento de estándares de seguridad puede acarrear sanciones económicas severas, pérdida de confianza y daño reputacional irreversible. Los usuarios, por su parte, deben extremar las precauciones al compartir información fiscal y exigir garantías sobre la protección de sus datos.

### Conclusiones

La sentencia ejemplarizante contra el responsable de estos ataques subraya la gravedad de las amenazas a la ciberseguridad en el sector de servicios fiscales. El episodio refuerza la necesidad de una defensa proactiva, inversiones sostenidas en formación y tecnología, y la colaboración internacional para la persecución de ciberdelincuentes.

(Fuente: www.bleepingcomputer.com)