Investigan un posible hackeo masivo a Hacienda con datos de 47,3 millones de ciudadanos en juego

  • Un actor llamado HaciendaSec afirma haber robado y puesto a la venta una base de datos de 47,3 millones de ciudadanos de Hacienda.
  • El Ministerio de Hacienda niega por ahora indicios de intrusiĆ³n, pero mantiene abierta una investigaciĆ³n con sus equipos de seguridad.
  • Los datos en venta incluirĆ­an DNI, direcciones, telĆ©fonos, IBAN e informaciĆ³n fiscal, lo que permitirĆ­a suplantaciones de identidad y fraudes.
  • El caso se enmarca en una ola creciente de ciberataques a administraciones y grandes empresas en EspaƱa y Europa.
Actualidad Gadget

11 minutos

posible hackeo a Hacienda

El Ministerio de Hacienda se ha visto sacudido por la alarma de un posible hackeo masivo de sus bases de datos, que habrĆ­a expuesto informaciĆ³n sensible de prĆ”cticamente toda la poblaciĆ³n espaƱola. La advertencia no procede de fuentes oficiales, sino de una comunidad de ciberseguridad que ha detectado en la dark web la oferta de una supuesta base de datos con informaciĆ³n de 47,3 millones de ciudadanos.

De momento, la postura oficial es prudente: Hacienda sostiene que no hay evidencias tĆ©cnicas claras de una intrusiĆ³n, pero mantiene un dispositivo de revisiĆ³n intensiva de sus sistemas junto a sus equipos de seguridad y otros organismos especializados. La investigaciĆ³n sigue abierta mientras se intenta aclarar si se estĆ” ante una brecha real o ante un intento mĆ”s de extorsiĆ³n y estafa en el mercado negro de datos.

QuƩ se sabe del supuesto ataque y quiƩn es HaciendaSec

investigaciĆ³n posible ciberataque a Hacienda

La primera seƱal llegĆ³ de la firma de ciberseguridad Hackmanac, una plataforma especializada en emitir avisos tempranos sobre ciberataques dirigidos a organismos pĆŗblicos y empresas. A travĆ©s de la red social X, sus analistas difundieron que un usuario que se hace llamar ā€˜HaciendaSecā€™ aseguraba haber vulnerado los sistemas del Ministerio de Hacienda.

SegĆŗn la informaciĆ³n recopilada por Hackmanac en foros de la dark web, este actor de amenazas estarĆ­a ofreciendo a la venta una base de datos supuestamente actualizada de 47,3 millones de personas. El anuncio se publicĆ³ en un foro especializado en compraventa de informaciĆ³n robada, bajo una cuenta reciĆ©n creada que apenas cuenta con actividad, lo que alimenta tanto la inquietud como el escepticismo entre los investigadores.

En el mensaje difundido en uno de estos foros, el usuario ā€˜HaciendaSecā€™ incluye una pequeƱa muestra de registros como prueba de que tendrĆ­a acceso legĆ­timo a la informaciĆ³n. El objetivo declarado serĆ­a comercializar el conjunto completo de la base de datos con otros ciberdelincuentes o grupos interesados en datos fiscales y bancarios de ciudadanos espaƱoles.

Las fuentes consultadas en el entorno de la ciberseguridad apuntan a que este tipo de anuncios no siempre implican una brecha real: es relativamente frecuente que se exagere o incluso se invente la procedencia de los datos para inflar su precio o engaƱar a compradores poco experimentados en estos mercados clandestinos.

Datos presuntamente expuestos: de la identidad completa a la informaciĆ³n fiscal

datos personales y fiscales en posible hackeo a Hacienda

Si se confirmara la autenticidad de la filtraciĆ³n, el alcance serĆ­a difĆ­cilmente comparable con otros incidentes recientes en EspaƱa. El paquete en venta incluirĆ­a, segĆŗn los anuncios analizados, DNI o NIF, nombres y apellidos, direcciones postales, nĆŗmeros de telĆ©fono, correos electrĆ³nicos, nĆŗmeros de cuenta bancaria (IBAN) e informaciĆ³n tributaria asociada a obligaciones fiscales.

En otras palabras, se tratarĆ­a de un conjunto de datos lo bastante detallado como para permitir la suplantaciĆ³n casi total de la identidad de los contribuyentes afectados. Con un perfil tan completo, un ciberdelincuente podrĆ­a registrar servicios a nombre de terceros, abrir cuentas, solicitar crĆ©ditos o ejecutar fraudes bancarios y fiscales con apariencia de plena legitimidad.

Expertos citados por distintas fuentes subrayan que un archivo con ese volumen ā€”47,3 millones de registrosā€” implicarĆ­a, en la prĆ”ctica, abarcar a casi toda la poblaciĆ³n residente en EspaƱa. Esta cifra levanta cejas en el sector: la poblaciĆ³n espaƱola ronda los 49 millones de habitantes, pero el nĆŗmero de contribuyentes activos es bastante menor, por lo que algunos analistas cuestionan la verosimilitud exacta del nĆŗmero manejado por el supuesto atacante.

  Indra abre oficina en DublĆ­n para liderar el ticketing del transporte pĆŗblico irlandĆ©s

Aun asĆ­, el hecho de que aparezca un anuncio tan especĆ­fico ā€”con menciĆ³n a datos bancarios e informaciĆ³n fiscal detalladaā€” ha obligado al Ministerio a activar todos los protocolos de anĆ”lisis. Pese a que no se ha detectado por ahora ni cifrado de equipos, ni exfiltraciĆ³n evidente de datos desde los sistemas de Hacienda, la mera posibilidad de que se haya accedido a su base de datos principal es considerada un escenario crĆ­tico por las autoridades.

ReacciĆ³n oficial: cautela, investigaciĆ³n interna y mensaje de calma

Desde el departamento que dirige MarĆ­a JesĆŗs Montero el mensaje es claro: no hay pruebas tĆ©cnicas concluyentes de que los sistemas hayan sido comprometidos. Fuentes del Ministerio han trasladado a varios medios, entre ellos Europa Press, que los equipos de seguridad continĆŗan revisando de forma exhaustiva los registros de actividad y los sistemas de monitorizaciĆ³n para descartar cualquier intrusiĆ³n.

En paralelo, Hacienda trabaja en colaboraciĆ³n con otros organismos especializados en ciberseguridad del Estado, como el Centro Nacional de Inteligencia (CNI) y la Agencia Tributaria (AEAT), que mantiene sus sistemas considerados como infraestructura crĆ­tica. Por el momento, el servicio a los contribuyentes funciona con normalidad, sin interrupciones ni incidencias aparentes ligadas a este incidente.

Fuentes del Ministerio recuerdan que el simple hecho de que un grupo de hackers anuncie la venta de una base de datos ā€œde Haciendaā€ no certifica que la haya obtenido realmente. En ocasiones anteriores, se han detectado intentos de estafa en los que se reutilizan bases de datos antiguas, combinaciones de filtraciones menores o incluso datos fabricados para intimidar y presionar a instituciones o empresas.

Aun asĆ­, el caso no se estĆ” tomando a la ligera. Tanto por el volumen de informaciĆ³n que se dice tener como por el carĆ”cter especialmente sensible de los datos tributarios y bancarios que gestiona la Agencia Tributaria, el posible incidente se considera de la mĆ”xima prioridad. El Ministerio insiste en que, si se confirmara alguna brecha, se comunicarĆ­a siguiendo los protocolos previstos por la normativa europea de protecciĆ³n de datos.

Contexto: otros intentos y amenazas previos contra Hacienda

El supuesto ataque atribuido a ā€˜HaciendaSecā€™ no serĆ­a el primer episodio en el que ciberdelincuentes aseguran haber irrumpido en los sistemas de Hacienda. En los Ćŗltimos aƱos se han sucedido varias amenazas pĆŗblicas que apuntaban a la Agencia Tributaria, algunas de ellas con gran repercusiĆ³n mediĆ”tica.

Entre los precedentes destaca el caso del grupo de ransomware Trinity, que afirmĆ³ haber robado alrededor de 560 gigabytes de informaciĆ³n sensible de la AEAT y exigiĆ³ un rescate millonario, cifrado en unos 38 millones de dĆ³lares, bajo la amenaza de publicar los datos si no se atendĆ­an sus condiciones. En aquel episodio, tras los anĆ”lisis internos, la Agencia Tributaria concluyĆ³ que no se habĆ­a producido una brecha en sus sistemas.

  Fallo del software del centro de control de Adif desata el caos en Rodalies

TambiĆ©n se han detectado supuestas filtraciones atribuidas al grupo Qilin, vinculado a otros ataques de gran envergadura en Europa, como la exfiltraciĆ³n de datos de hospitales del Servicio Nacional de Salud del Reino Unido. En octubre de 2025 se notificĆ³ que Qilin habrĆ­a robado decenas de gigabytes de informaciĆ³n ligada a Hacienda, aunque la investigaciĆ³n posterior apuntĆ³ a que los afectados reales eran entidades intermediarias, como gestorĆ­as, y no directamente las bases de datos de la Agencia Tributaria.

A estos incidentes se suma el ataque al Punto Neutro Judicial del Consejo General del Poder Judicial, utilizado en 2022 como ā€œpuerta traseraā€ para intentar acceder a informaciĆ³n de la AEAT. En ese caso sĆ­ se constatĆ³ un impacto, pero limitado a un nĆŗmero relativamente reducido de contribuyentes si se compara con la magnitud que ahora se atribuye a ā€˜HaciendaSecā€™.

PresiĆ³n creciente sobre las infraestructuras crĆ­ticas y grandes empresas

La oleada de amenazas contra Hacienda se enmarca en un escenario mĆ”s amplio de ciberataques continuos contra servicios esenciales y grandes corporaciones en EspaƱa y el resto de Europa. En los Ćŗltimos meses, se han conocido brechas de seguridad que han afectado a compaƱƭas energĆ©ticas, aerolĆ­neas, operadores de telecomunicaciones y grandes cadenas comerciales.

Uno de los ejemplos recientes mĆ”s sonados es el incidente sufrido por Endesa, donde un acceso no autorizado a la plataforma de su comercializadora regulada derivĆ³ en la exposiciĆ³n de datos personales y bancarios de millones de clientes. SegĆŗn las investigaciones iniciales, parte de esa informaciĆ³n habrĆ­a acabado tambiĆ©n en entornos de la dark web, donde es habitual que se revenda o reutilice en posteriores acciones delictivas.

Otros grandes grupos como TelefĆ³nica, Iberdrola, Santander, Repsol, DKV, El Corte InglĆ©s o Mango tambiĆ©n han aparecido en los Ćŗltimos aƱos en el radar de los ciberdelincuentes. Estos incidentes demuestran que, mĆ”s allĆ” del sector pĆŗblico, cualquier organizaciĆ³n con grandes volĆŗmenes de datos resulta atractiva para quienes buscan monetizar informaciĆ³n robada, ya sea a travĆ©s de extorsiones, venta de bases de datos o fraudes dirigidos.

De acuerdo con cifras manejadas por la Agencia EspaƱola de ProtecciĆ³n de Datos, solo en 2025 se notificaron mĆ”s de 2.700 brechas de datos personales en EspaƱa, con cientos de millones de usuarios potencialmente afectados si se suman todos los incidentes. El caso que ahora sacude a Hacienda encaja, por tanto, en una tendencia de fondo que muestra una presiĆ³n creciente sobre los sistemas crĆ­ticos, tanto pĆŗblicos como privados.

La amenaza cotidiana: phishing y fraudes que se hacen pasar por Hacienda

Mientras se investigan los posibles grandes robos de bases de datos, la realidad del dĆ­a a dĆ­a pasa por un goteo constante de correos electrĆ³nicos, SMS y llamadas fraudulentas que suplantan a la Agencia Tributaria. Desde hace aƱos, y especialmente en campaƱas clave como la de la renta, la AEAT advierte de oleadas de mensajes que imitan sus comunicaciones oficiales.

  Leer es uno de los propĆ³sitos mĆ”s habituales de aƱo nuevo

El objetivo de estos ataques es muy concreto: redirigir a los ciudadanos hacia pĆ”ginas web falsas que copian la apariencia de los portales oficiales para robar credenciales de banca online, claves de acceso o instalar malware en los dispositivos. A menudo, se juega con supuestos reembolsos de impuestos, devoluciones urgentes o avisos de deudas inminentes para provocar que la vĆ­ctima actĆŗe con prisa y sin sospechas.

En este contexto, una base de datos tan detallada como la que dice poseer ā€˜HaciendaSecā€™ permitirĆ­a lanzar campaƱas de phishing extremadamente creĆ­bles, personalizadas con los datos reales del contribuyente: su nombre completo, su direcciĆ³n o incluso referencias a sus trĆ”mites fiscales. Por eso los expertos recalcan que, mĆ”s allĆ” de si el hackeo se confirma o no, conviene extremar las precauciones con cualquier mensaje que aparente proceder de Hacienda.

Los organismos de ciberseguridad insisten en una serie de recomendaciones que ya se han vuelto casi mantras: no pulsar en enlaces sospechosos, comprobar siempre la direcciĆ³n real de la web a la que se accede, no facilitar claves bancarias por correo o SMS y, en caso de duda, acudir directamente a los canales oficiales de la Agencia Tributaria o de la entidad financiera.

Hacienda bajo el foco: refuerzo de la ciberseguridad y dudas abiertas

La Agencia Tributaria ha asumido desde hace aƱos que su actividad descansa sobre sistemas tecnolĆ³gicos que son, por definiciĆ³n, un objetivo prioritario. La creaciĆ³n del Centro de Ciberseguridad y ProtecciĆ³n de Datos de la AEAT y la inclusiĆ³n de medidas especĆ­ficas en su Plan EstratĆ©gico 2024-2027 reflejan esa preocupaciĆ³n por blindar tanto la recaudaciĆ³n como la informaciĆ³n de millones de contribuyentes.

Estos esfuerzos se enmarcan en el cumplimiento del Esquema Nacional de Seguridad, que marca las pautas que deben seguir las administraciones pĆŗblicas en EspaƱa para garantizar un nivel elevado de protecciĆ³n de sus sistemas. Sin embargo, los especialistas recuerdan que la ciberseguridad ā€œno es un estado, sino un proceso continuoā€, y que incluso las infraestructuras mĆ”s protegidas pueden ser puestas a prueba por atacantes cada vez mĆ”s sofisticados.

La investigaciĆ³n en curso sobre el caso ā€˜HaciendaSecā€™ pretende precisamente despejar si ese proceso de protecciĆ³n ha sido suficiente o si se ha producido alguna brecha, directa o a travĆ©s de terceros, que justifique la apariciĆ³n de esa enorme base de datos en los foros clandestinos. Hasta que no concluyan los anĆ”lisis forenses y de trazabilidad, no se podrĆ” descartar del todo que haya existido algĆŗn tipo de acceso indebido.

Mientras tanto, el episodio refuerza una sensaciĆ³n compartida por expertos y ciudadanos: la informaciĆ³n fiscal y bancaria que maneja Hacienda se ha convertido en uno de los ā€œbotinesā€ digitales mĆ”s codiciados por los ciberdelincuentes. Aunque por ahora el Ministerio niega signos claros de intrusiĆ³n, la sola sospecha de que alguien pueda tener en la dark web una copia de los datos de casi todo el paĆ­s basta para mantener las alarmas encendidas y obligar a redoblar tanto las defensas tĆ©cnicas como la prudencia de los propios contribuyentes.