Alerta por brecha que filtró cuentas y contraseñas de usuarios de AFIP y MiArgentina
Se difundió una nueva brecha de seguridad, con información sensible extraída directamente de las bases de datos del varios gobiernos alrededor del mundo, incluyendo al argentino.
La empresa especializada en ciberseguridad DarkTracer confirmó la filtración 1.7 millones de accesos, entre los que se encuentran usuarios y contraseñas, de aproximadamente 47.000 dominios gubernamentales de países distintos.
Entre los dominios que fueron filtrados en la Argentina aparece el portal de la Administración Federal de Ingresos Públicos (AFIP) y la aplicación MiArgentina.
Stealer Malware Intelligence Report - Government1,753,658 credentials of 49K+ government sites have been leaked from users infected with Stealer malware.*The users may include government users or public users of gov public services*TOP 10,000 sites:https://t.co/6cBABpuzL4 pic.twitter.com/zmp5a0d92p — DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) March 2, 2022
Modus operandi y sitios vulnerados
Según la empresa de ciberseguridad se trata de un malware (un programa malicioso") al que llaman "Stealer", es decir, que roba información.
Se trata de un nombre genérico para cualquier programa que use técnicas para sustraer información (phishing, ransomware, suplantación de identidad, etc.)
La información fue publicada en su página web y subida a su cuenta de Twitter. DarkTracer vende reportes a otras empresas con información sobre lo que se llama en la jerga "data breaches", es decir, "huecos" en la seguridad informática de los sistemas.
La lista publicada por el grupo arroja varios sitios argentinos, entre ellos:
- Id.argentina.gob.ar (2.288 credenciales)
- Argentinabeca.educacion.gob.ar (57 credenciales)
- Alimentosargentinos.gob.ar (25 credenciales)
- Campusinap.argentina.gob.ar (17 credenciales)
- Mirecibo.trenesargentinos.gob.ar (15 credenciales)
- Recibodigital.corrientes.gob.ar (14 credenciales)
- Santafe.gob.ar (12 credenciales)
Uno de los primeros resultados de dominios vulnerados es el de la AFIP.
Datos afectados por la filtración
A partir de esta filtración, los ciberdelincuentes contarían con los nombres de usuarios y las contraseñas de las páginas mencionadas.
Esto incluye claves fiscales de AFIP, credenciales de acceso al correo electrónico de fuerzas de seguridad, credenciales de acceso al sistema del Poder Judicial de la Nación, diversos sistemas de gestión provinciales, entre otros.
En principio, no estarían vulnerados los sistemas en sí; solo determinados usuarios. Los expertos recomiendan que, ante hechos de este estilo, se cambien las claves de acceso de todos los servicios afectados; en este caso, los que aparecen en el listado.
El antecedente de la brecha en el Renaper
En octubre las fotos de los DNI de varias decenas de personalidades reconocidas en en el país fueron publicadas este fin de semana bajo una cuenta de Twitter con el nombre de "AníbalLeaks".
Se trata de un supuesto cibercriminal quien asegura que hackeó y robó datos personales de más de 45 millones de ciudadanos del Registro Nacional de las Personas (Renaper).
La cuenta @aniballeaks fue creada en Twitter el 25 de septiembre pasado. Si bien hoy está suspendida, en ese entonces había publicado la filtración de información de 1.200.000 de miembros de las Fuerzas Armadas y de Seguridad de la Argentina, sustraídas de una base de datos de una obra social.
"Todos los datos personales de Gendarmería, Ejercito, Prefectura Naval, Armada, Fuerza Aérea, Ministerio de defensa > 1.193.316 registros", fue el primer mensaje de dicho usuario.
Este fin de semana el perfil de Twitter "AníbalLeaks" se reactivó y difundió fotos de DNI de personalidades como Alberto Fernández, Marcelo Tinelli, Lionel Messi, Máximo y Florencia Kirchner, Elisa Carrió, Sandra Arroyo Salgado y Alberto Nisman, Jorge Lanata, Nelson Castro y Alfredo Leuco, entre otros. La persona detrás de esa cuenta adoptó el nombre Fr3d3r1c.
No tengo todas las capturas, pero entre los políticos figuraban Aníbal Fernández (con número de celular incluido), Máximo Kirchner, Pichetto, Wado De Pedro, Carrió, Santilli, Larreta, Vidal, Parrilli, Santiago Cafiero, Patricia Bullrich y varios más. pic.twitter.com/amIzy3w9VM — Javier Smaldone (@mis2centavos) October 10, 2021
Diferentes sitios especializados apuntaron a un usuario de un sitio que sirve como mercado clandestino, un foro en el que piratas informáticos ofrecen sus servicios y los datos que obtienen en sus ataques. El usuario usa el nickname "CFK", responsable también de la filtración de datos del Instituto de Obra Social de las Fuerzas Armadas y de Seguridad (IOSFA).
Denuncia penal del Renaper
El Renaper realizó una denuncia penal ante el Juzgado en lo Criminal y Correccional Federal N°11. Según el indica la dependencia estatal, "mediante el uso de claves otorgadas a organismos públicos, en este caso el Ministerio de Salud, se filtraron imágenes como pertenecientes a trámites personales realizados en el Renaper".
"Desde el organismo dependiente del Ministerio del Interior se confirmó que se trató de un uso indebido de usuario o robo de la clave del mismo y que la base de datos no sufrió vulneración o filtración alguna", se informó.
"El sábado 9 de octubre el Renaper tomó conocimiento de que un usuario de Twitter identificado con el nombre de @aniballeaks -cuenta que fue denunciada y que actualmente se encuentra suspendida- había publicado en dicha red social las imágenes de 44 individuos, entre los cuales se encontraban funcionarios y personajes públicos de conocimiento en general", señala el escrito.
Y añade: "El equipo de seguridad informática del Renaper realizó una consulta sobre las 44 personas involucradas a fin de relevar los últimos consumos realizados mediante el uso del Sistema de Identidad Digital (SID) sobre dichos perfiles, detectando que 19 imágenes habían sido consultadas en el exacto momento que eran publicadas en la red social Twitter desde una conexión autorizada de VPN (Virtual Private Network) entre el ReNaPer y el Ministerio de Salud de la Nación, y todas las imágenes habían sido consultadas recientemente desde esa misma conexión".
Hackeo sin precedente
Se trata de un hackeo sin precedentes ya que la base de datos del Renaper contiene los datos privados de todos los habitantes del país.
Es un evento aún de mayor magnitud que el protagonizado en 2020 por la Dirección Nacional de Migraciones, ya que en esa oportunidad se habían filtrado sólo los datos de quienes ingresaron o salieron del país.
En efecto, el "DNI Gate" afectaría a los 45 millones de habitantes del territorio que tengan un documento nacional de identidad, ya que se han filtrado:
- Nmeros de documento
- Domicilios
- Número de trámite (que sirve para gestiones como obtener un crédito online)
- Fechas de nacimiento
- Números de celular en algunos casos (en redes se afirma que fue difundido el teléfono del ministro de Seguridad, Aníbal Fernández)
Más allá del ataque a la privacidad de los usuarios, también se los deja indefensos ante robos de identidad, ya que el número de trámite del DNI se exige para la otorgación de créditos online. También es posible que se realicen secuestros virtuales.