El acusado de lanzar un ataque cibernético contra la web de la Hacienda Foral de Navarra en verano de 2019, obligando al Gobierno a cerrar este sistema en la web, ha sido condenado este martes a dos años de prisión. El hackeo no solo impidió los accesos a la información fiscal mediante el sistema de DNI+PIN, sino que también paralizó los procesos para asignación de plazas para maestros y afectó al servicio de bomberos, ya que este software centraliza la identificación previa a todos los servicios telemáticos del Gobierno foral.

El condenado, vecino de Lesaka, iba a ser juzgado este martes pero se ha alcanzado un acuerdo entre fiscal, Gobierno de Navarra y defensa. en la Audiencia Provincial. Según el escrito de acusación, que el hombre ha reconocido, llevó a cabo sus ataques entre el 24 y 27 de agosto de 2019, y el 2 de septiembre del mismo año. Lo hizo sobrecargando el Componente de Autenticidad y Representación corporativo (CAR) del Gobierno foral, el apartado de su página web mediante el cual los ciudadanos pueden acceder a determinada información, entre ellas sus declaraciones fiscales, a través de su DNI y un pin.

El hombre realizó esos días unas 1.000 solicitudes por minuto en este tipo de acceso, alcanzando las 3.000 solicitudes cada 5 minutos el 2 de septiembre, según la acusación. Para ello empleó números de DNIs/NIEs y pins obtenidos e manera secuencial, causando con sus entradas masivas “una pérdida en el rendimiento” de la plataforma y “un error fatal” que redujo su disponibilidad y rendimiento. También provocó el bloqueo de 50 usuarios reales por haber utilizado su identificación correcta, debido a que el sistema bloquea a los usuarios tras cinco intentos fallidos.

Como consecuencia del ataque, el Gobierno tuvo que desactivar este acceso el 26 de agosto, así que otros servicios que utilizaban estos accesos también se vieron bloqueados: la asignación de plazas para maestros interinos se paralizó y hubo que ampliar el plazo, mientras que los bomberos no pudieron entrar a la aplicación de gestión de intervenciones durante un día. Y a pesar de que en el ataque se emplearon 26 direcciones IP distintas, todas llevaban al domicilio del acusado.