El Instituto para la Diversificación y Ahorro de Energía (IDAE) ha sufrido un ciberataque que ha robado la identidad en Google de su página oficial y la ha utilizado para redirigir a los usuarios a webs de venta de zapatillas deportivas. Según ha podido saber elDiario.es, el hackeo del portal oficial dura ya más de dos semanas, desde que el departamento informático de esta entidad pública —adscrita al Ministerio para la Transición Ecológica y dependiente de la Secretaría de Estado de Energía— recibió un aviso por parte de un hacker ético que se percató de la situación.
Fuentes del IDAE han explicado a este medio que el organismo ha puesto en marcha un proceso de “modernización de la plataforma web” para revertir el ciberataque, que ha incluido una actualización de su Sistema de Gestión de Contenidos (CMS). Sin embargo, al cierre de esta información la identidad en Google del IDAE continuaba siendo suplantada para dirigir su tráfico a las citadas webs. La ofensiva no ha afectado a otras áreas del IDAE, que “han permanecido plenamente activas y dando el servicio público habitual”, han asegurado las mismas fuentes.
Mediante este hackeo los atacantes han logrado aprovechar en su beneficio uno de los métodos que los algoritmos de Google utilizan para ordenar los resultados de sus búsquedas, que la compañía denomina “PageRank”. Este sistema analiza la autoridad de cada web calculando la cantidad de veces que ha sido enlazada por otras páginas y analizando qué credibilidad y confianza tienen esas webs que la enlazan. El ciberataque ha conseguido robar la identidad del IDAE en Google y simular que decenas de miles de ofertas de calzado deportivo forman parte de su página oficial, aprovechando así su buen “PageRank”.
De está forma, cuando un usuario realiza una búsqueda relacionada con un fabricante de calzado deportivo o con algún modelo concreto de zapatillas, las páginas de venta que se están beneficiando del hackeo aparecen más arriba en los resultados de búsqueda, chupando el tráfico de la entidad pública española. Según los datos de Google, la web del IDAE ha sido falsificada al menos 31.000 veces.
Contactado por este medio, fuentes del buscador explican que este dispone de métodos para detectar e impedir que este tipo de fraudes afecten a los resultados de búsqueda, tanto automáticos como manuales. No obstante, y a pesar de que los técnicos de Google reconocen que todas las pruebas apuntan a que el organismo ha sido ciberatacado, por el momento la multinacional tampoco ha revertido la situación.
Según ha podido comprobar elDiario.es, todas las páginas de venta de zapatillas que simulan ser el IDAE en Google tienen características de webs fraudulentas. Todas han sido creadas recientemente, no tiene presencia en redes sociales, ofrecen varios miles de modelos diferentes de zapatillas, usan protocolos web inseguros y no tienen una política de protección de datos adaptada a la legislación europea. elDiario.es ha contactado a algunas de estas páginas con preguntas sobre su relación con el ciberataque, pero no ha recibido respuesta.
Aunque el organismo no lo ha confirmado, lo más posible es que la infección se haya producido a través de código malicioso inoculado en su CMS, que sirve para publicar los textos de la página. La principal actividad del IDAE es el reparto y supervisión de las ayudas y subvenciones para programas de mejora de la eficiencia energética, promoción de las fuentes renovables y otras tecnologías bajas en carbono. Este 2021 le han asignado 50 millones de euros “para financiar actuaciones de apoyo a la movilidad energéticamente eficiente y sostenible” y otros 300 millones para “el impulso de la eficiencia energética y las energías renovables” mediante préstamos a largo plazo al sector público.
El ciberataque contra el IDAE es el segundo que recibe una entidad pública española en pocas semanas, después de que el Servicio Estatal de Empleo (SEPE) sufriera una infección de ransomware el 23 de marzo, de la que aún no se ha recuperado completamente. No obstante, la ofensiva contra el IDAE ha sido mucho menos compleja que la lanzada contra el SEPE y, según han explicado varias fuentes a elDiario.es, es posible incluso que se realizara de forma automática mediante un bot que rastrea las páginas webs en busca de vulnerabilidades y las falsifica automáticamente cuando encuentra uno de esos agujeros.