ATAQUE INFORMÁTICO

Hacienda cambiará el sistema DNI+PIN por otros más seguros

Saiz lo confirma en una respuesta a Sánchez de Muniáin (NA+) sobre el ataque que el sistema sufrió en verano

Hacienda cambiará el sistema DNI+PIN por otros más seguros
AmpliarAmpliar
Hacienda cambiará el sistema DNI+PIN por otros más segurosDN
Hacienda cambiará el sistema DNI+PIN por otros más seguros

CerrarCerrar

Beatriz Arnedo

Publicado el 24/10/2019 a las 08:21

El departamento de Hacienda ha impulsado los trabajos para reducir progresivamente el uso de la credencial DNI+PIN para trámites online y su sustitución por otros sistemas más seguros. Es una de las medidas aplicadas tras los ataques informáticos que el sistema sufrió el pasado verano y que detalla la consejera de Economía, Elma Saiz, en respuesta a una pregunta del parlamentario de Navarra Suma Juan Luis Sánchez de Muniáin.


El DNI+PIN permite acceder a determinados servicios telemáticos del Gobierno foral, sobre todo los de Hacienda. Son 7 dígitos, de los que se utilizan 4 para verificar la identidad de la persona que accede. Tras 5 intentos incorrectos de introducir la clave, la credencial queda bloqueada. El ataque que sufrió en verano el sistema consistió en realizar unos 1.000 intentos de acceso al minuto al servicio de reimpresión del IRPF, “con el objetivo presumible de robar las credenciales” y poder así acceder a información confidencial de personas o entidades, detalla Saiz.


La consejera de Hacienda recalca en su respuesta a Navarra Suma que “no existe constancia de que, como consecuencia del ataque, se haya accedido ni descargado ilegítimamente información confidencial”.

El ataque informático se desarrolló entre los días 24 y 27 de agosto y se reactivó “durante diversas horas” los días 2 y 6 de septiembre.


Consecuencias del ataque


El ataque ocasionó el bloqueo de las credenciales DNI+PIN de 50 usuarios y un total de 7.346 autorregistros de usuario fraudulentos en la plataforma CAR, que es la que centraliza las labores de identificación y autentificación previa al acceso a los servicios telemáticos de todo el Gobierno de Navarra. Esos autorregistros no suponen el acceso a ningún servicio o información, matiza Hacienda, pero pueden ocasionar que los legítimos usuarios no consigan acceder.


La plataforma CAR llegó a sufrir “un error fatal” que redujo su rendimiento y por tanto el acceso a los servicios telemáticos del Gobierno de Navarra, se indica.


Para garantizar la seguridad de la información objeto del ataque, el Gobierno de Navarra tuvo que deshabilitar esos días la posibilidad de utilizar las credenciales DNI+PIN en todos sus servicios. Eso afectó, por ejemplo, a Educación, inmerso en una campaña de asignación de plazas para maestros interinos para el curso 2019-2020, cuya convocatoria tuvo que ampliar.


La consejera detalla además en su respuesta las medidas técnicas de contención y correctoras que tuvieron que adoptar ante este ataque por el que también presentaron una denuncia en la Policía Foral.


“Nivel de peligrosidad alto”


Elma Saiz detalla que no hubo durante el ataque “ninguna vulneración de los derechos y libertades de las personas físicas”, por lo que consideraron que no se debía aplicar la obligación de notificar lo sucedido a la Agencia Española de Protección de Datos.


Aunque encontraron identificaciones correctas para dos NIF desde las direcciones IP relacionadas con el ataque, comprobaron que no se materializó ni el acceso ni la descarga de información confidencial, señala. Además, con sus medidas garantizaron “la imposibilidad de accesos ilegítimos a información confidencial”, también en esos dos casos citados.


Sin embargo, en la medida en que este ataque informático “ha podido suponer un compromiso de servicios, se considera que el nivel de peligrosidad del incidente podría calificarse de alto”, reconoce la consejera. Por ese motivo, detalla que lo tuvieron que comunicar al Centro Criptológico Nacional.

 

CLAVES

1 Fechas: Se produjo entre el 24 y 27 de agosto y en los días 2 y 6 de septiembre.


2 Consecuencias: Afectó al rendimiento de la plataforma que centraliza las labores de identificación previa al acceso a los servicios telemáticos del Gobierno. Sin embargo, Hacienda recalca que no se logró acceder a información confidencial.


3 Nivel de peligrosidad: Aunque el o los atacantes no pudieron acceder a información confidencial, en la medida en que lo ocurrido ha podido comprometer los servicios, se considera que “el nivel de peligrosidad del incidente podría calificarse de alto”, por lo que fue notificado al CERT del Centro Criptológico Nacional.

Etiquetas:

    Continuar

    Gracias por elegir Diario de Navarra

    Parece que en el navegador.

    Con el fin de fomentar un periodismo de calidad e independiente, para poder seguir disfrutando del mejor contenido y asegurar que la página funciona correctamente.

    Si quieres ver reducido el impacto de la publicidad puedes suscribirte a la edición digital con acceso a todas las ventajas exclusivas de los suscriptores.

    Suscríbete ahora