Un vecino de Lesaka, de 36 años, ha aceptado esta mañana una condena de dos años de prisión en la Sección Primera de la Audiencia Provincial de Navarra después de haber 'hackeado' el verano de 2019 el servidor de Declaración de la Renta de la Hacienda Foral de Navarra, a través de un ataque masivo de peticiones al portal, lo que provocó la caída de dicho servidor. El acusado, condenado por un delito de daños informáticos, no entrará en prisión al haber reconocido los hechos y realizará trabajos comunitarios. La Fiscal pedía de inicio para él seis años de cárcel.

El propio procesado, que ya reconoció los accesos ilegítimos en la instrucción de la causa, fue quien, mientras estaba cometiendo los hechos, envió un aviso anónimo a la Policía Foral para informar de la brecha de seguridad que estaba sufriendo el sistema. Ya un año antes, el encausado había actuado con un modus operandi similar, e incluso en aquella ocasión llegó a acceder a declaraciones de la renta de particulares, extremo que en el presente escrito acusatorio de 2019 no se ha podido demostrar. Entonces no fue juzgado debido a la colaboración que ofreció a la Administración, puesto que alertó por teléfono al departamento de Seguridad de los errores y falta de garantías del sistema. El acusado tiene estudios en formación profesional básica y conocimientos autodidactas de informática.

El escrito de acusación refleja que este hombre lanzó un ataque de fuerza bruta sobre la Hacienda Foral de Navarra entre los días 24 de agosto de 2019 y 27 de agosto de 2019 (precisamente ese día escribió un anónimo a la Policía Foral advirtiendo de las entradas irregulares en el sistema), así como el día 2 de septiembre de 2019. Este ataque consistió en sobrecargar en el Componente de Autenticación y Representación corporativo (CAR) del Gobierno de Navarra el acceso mediante DNI+PIN a las reimpresiones de declaraciones anteriores del IRPF, realizando aproximadamente unas 1.000 solicitudes por minuto, llegando a cerca de las 3.000 solicitudes cada 5 minutos el día 2 de septiembre.

Este acceso permite a los contribuyentes acceder por internet y a través de una página web a las declaraciones presentadas con anterioridad ante la Hacienda Foral de Navarra mediante la introducción de un DNI o NIE, así como un PIN proporcionado por Hacienda Foral de Navarra personal e intransferiblemente a cada uno de los contribuyentes, existiendo una limitación de 5 intentos de introducción del PIN correcto por cada DNI o NIE. Si los 5 intentos son erróneos, el DNI o NIE queda bloqueado y no puede accederse a ningún dato en relación con el mismo a través de internet.

Este sistema de acceso al Componente de Autenticación y Representación corporativo (CAR), no sólo es utilizado por Hacienda Foral de Navarra, ya que éste software centraliza las labores de identificación y autenticación previa al acceso a los servicios telemáticos de todo el Gobierno de Navarra.

El Ministerio Público prosigue en su escrito que el acusado "sin autorización para ello, y con ánimo de alterar el correcto funcionamiento del sistema, procedió a realizar múltiples solicitudes de acceso desde internet utilizando NIEs y PINs secuenciales, provocando que entre las 17.00 horas del 24 de agosto de 2019 y las 07.20 horas del 25 de agosto de 2019 se produjera una pérdida significativa del rendimiento de la plataforma CAR (ralentizó su funcionamiento normal); así como que, entre las 17.08 horas del día 24 de agosto de 2019 y las 09.45 horas del día 26 de agosto de 2019, uno de los nodos de la plataforma CAR sufriera un error fatal que redujo la disponibilidad y rendimiento de CAR (en ocasiones la página web no se encontraba disponible y, cuando sí lo estaba funcionaba con mucha lentitud)".

"Finalmente, como consecuencia de haber utilizado 50 identificadores de usuario correctos (40 NIEs y otros 10 usuarios distintos) y haber probado en 5 ocasiones un PIN erróneo en cada uno de ellos, provocó el bloqueo del acceso de estos 50 usuarios, que debieron ser contactados y facilitárseles nuevas credenciales".

SE PARALIZÓ LA ATP DE MAESTROS Y AFECTÓ A BOMBEROS

A ello añade que el Gobierno de Navarra decidió desactivar el acceso al CAR mediante DNI+PIN para frenar el ataque sobre las 15.00 horas del día 26 de agosto de 2019, el Departamento de Educación, que se encontraba en pleno proceso de asignación de plazas para maestros interinos, hubo de paralizar dicho proceso, dado que los usuarios accedían a esta información utilizando CAR y la forma habitual de acceso era DNI+PIN, siendo necesario ampliar el plazo del proceso para cumplir con los requisitos legales y administrativos establecidos en la convocatoria.

En menor medida se vio también afectado por esta desactivación el Servicio de Bomberos de Navarra, que para acceder a la aplicación de Gestión de Intervenciones utilizaban CAR con la forma habitual de acceso DNI+PIN. Sin embargo, este servicio fue reactivado en menos de un día, puesto que el acceso a la aplicación no era por internet, sino que se realizaba desde la propia intranet del Gobierno de Navarra.

El acusado llevó a cabo el ataque desde 26 direcciones IP distintas, si bien todas ellas provenían de un cliente con domicilio en Lesaka. Los investigadores de la Policía Foral consultaron el padrón municipal y comprobaron que en dicho domicilio residía el acusado junto a su familia, siendo allí "desde donde se conectó a internet para llevar a cabo el ataque".

Según zanja el escrito, las medidas para detener el ataque y la monitorización posterior del sistema de acceso fue realizado por informáticos pertenecientes a la Dirección General de Informática, Telecomunicaciones e Innovación Pública del propio Gobierno de Navarra, no requiriendo la intervención de ningún servicio externo para parar el ataque, con lo que no se ha producido perjuicio económico valorable.