Alerta: potente ciberataque filtró cuentas y contraseñas de miles de dominios de AFIP y MiArgentina

La firma especializada en brechas de seguridad DarkTracer confirmó que se filtraron 1.7 millones de accesos de cerca de 47.000 páginas en distintos países.

Los ciberdelincuentes supieron aprovecharse de la situación pandémica de COVID-19 de los últimos dos años para fomentar nuevos ataques contra usuarios de peso pesado como los gobiernos, donde ya existen múltiples formas de llevar a cabo engaños que cada vez presentan formatos más sofisticados.
Fresco aún el caso de la filtración de datos del Registro Nacional de las Personas (Renaper), el gobierno argentino no es ajeno a esta creciente tendencia, ni mucho menos.

Ahora, se difundió una nueva brecha de seguridad, con información sensible extraída directamente de las bases de datos del varios gobiernos alrededor del mundo, incluyendo al argentino.
La empresa especializada en ciberseguridad DarkTracer, confirmó la filtración 1.7 millones de accesos, entre los que se encuentran usuarios y contraseñas, de aproximadamente 47.000 dominios gubernamentales de múltiples países.

Entre los dominios que fueron filtrados en la Argentina aparece el portal de la Administración Federal de Ingresos Públicos (AFIP) y la aplicación MiArgentina.

Algunas cifras a tener en cuenta

En total, existirían, al menos unas 256 páginas argentinas involucradas en la filtración, según datos preliminares citados por el sitio InfoTechnology.

Modus operandi y sitios vulnerados

DarkTracer aclaró que aún se desconoce el origen de los datos, pero si sabe que fueron adquiridos de forma «OSINT».

El acrónimo anglosajon OSINT se refiere Open Source Intelligence o Inteligencia de fuentes abiertas, y significa que estos se dieron a conocer cuando ya estaban disponibles para la compra o la descarga en los sitios de la dark web.

La lista publicada por el grupo arroja varios sitios argentinos, entre ellos:

Id.argentina.gob.ar (2.288 credenciales)

Argentinabeca.educacion.gob.ar (57 credenciales)

Alimentosargentinos.gob.ar (25 credenciales)

Campusinap.argentina.gob.ar (17 credenciales)

Mirecibo.trenesargentinos.gob.ar (15 credenciales)

Recibodigital.corrientes.gob.ar (14 credenciales)

Santafe.gob.ar (12 credenciales)

Preocupa que uno de los primeros resultados de dominios vulnerados sea también el de la AFIP.

A partir de esta filtración, los ciberdelincuentes contarían con los nombres de usuarios y las contraseñas de las páginas mencionadas.

Esto incluye claves fiscales de AFIP, credenciales de acceso al correo electrónico de fuerzas de seguridad, credenciales de acceso al sistema del Poder Judicial de la Nación, diversos sistemas de gestión provinciales, entre otros.

En principio, no estarían vulnerados los sistemas en sí; solo determinados usuarios.

Los expertos recomiendan que, ante hechos de este estilo, se cambien las claves de acceso de todos los servicios afectados; en este caso, los que aparecen en el listado.

La seguridad, expuesta

Miguel Rodríguez, director de Seguridad Informática en Megatech, explicó a iProUP que el robo de datos ocurre cada vez con más frecuencia, tanto en organismos públicos como empresas privadas.

«Los motivos por los que lo hacen pueden ser políticos, pero en gran parte de los casos son para obtener un rédito económico», remarca.

Esto suele hacerse mediante la venta en la Dark Web, una zona de Internet que existe fuera del radar de las autoridades y cuyas páginas ni siquiera aparecen en Google.

Por lo general, antes se extorsiona a la víctima pidiendo un pago en criptomonedas –más difícil de rastrear– bajo la amenaza de difundir información.

«El robo de información a las organizaciones es cada vez mayor ya que ya existe una industria muy desarrollada que se dedica a este tipo de actividad», advierte el experto.

Estado de vulnerabilidad

El abogado Víctor Castillejo presentó una denuncia para conocer el estado de vulnerabilidad de la base de datos del Renaper y hasta se comunicó de manera directa con el hacker implicado para solicitarle las pruebas.

Según el letrado Castillejo a iProUP, el usuario denominado Tango11 tenía datos actualizados, no solo del domicilio o número del DNI del letrado, sino que hasta contaba con una foto reciente.

«Lo grave es que así como tiene mis datos, tiene también los de cualquier ciudadano argentino. La base de datos se está vendiendo y el Renaper no hacer nada», alerta el abogado.

Castillejo remarca que hay tres causas dando vueltas: la del Renaper, otra es la que hizo la Policía Federal y la tercera la presentó el Ministerio de Salud.

En este momento, se están tratando de unificar los procesos. «En esta etapa de instrucción se está haciendo la investigación para determinar de qué manera ocurrió el ilícito y los responsables», explica.

Federico Kirschbaum, fundador de Ekoparty y experto en ciberseguridad, advierte a iProUP que no hay información certera sobre qué cantidad de datos fueron filtrados ni el nivel de transparencia sobre su gestión que poseen los organismos oficiales.

«Hoy, todo se hace en base a datos biométricos. El DNI cuenta con mucha información, y en manos de otra persona que no sea su titular puede resultar en un robo de identidad», advierte.

Consultados por iProUP, fuentes del Renaper se negaron a brindar declaraciones, ya que la investigación por la filtración se encuentra en etapa de instrucción.

Diego Nunes, de Nunes y Asociados, desliza que las autoridades no quieren decir nada sobre el incidente durante la instrucción, ya que es la etapa en donde la Fiscalía o el juez hacen las investigaciones para determinar responsabilidades.

«Cualquier información que pueda comunicarse puede desencadenar en una avalancha de versiones no corroboradas», explica.

Y completa: «En casos de vulneraciones tan graves y de datos tan sensibles, es habitual que los administradores de bases de datos no quieran dar más información que la estrictamente necesaria. Y no suelen hacerlo de forma rápida».

Fuente: iProUP