El Ministerio de Salud denunció la filtración de datos de ciudadanos argentinos e investigan si fue un caso de phishing

Tras la filtración de datos personales de ciudadanos argentinos (documentos, fotos y números de trámite) el Ministerio de Salud realizó una denuncia judicial contra el usuario que está explotando un acceso no autorizado y subiendo la información a un foro para venderla. En la denuncia se menciona un caso de phishing que sufrió la cartera…

el-ministerio-de-salud-denuncio-la-filtracion-de-datos-de-ciudadanos-argentinos-e-investigan-si-fue-un-caso-de-phishing

Tras la filtración de datos personales de ciudadanos argentinos (documentos, fotos y números de trámite) el Ministerio de Salud realizó una denuncia judicial contra el usuario que está explotando un acceso no autorizado y subiendo la información a un foro para venderla. En la denuncia se menciona un caso de phishing que sufrió la cartera en julio de este año.

“Sabemos que se usó una credencial válida, estamos investigando si fue phishing. Tenemos 50 dominios, 40 y 50 mil usuarios, es muy difícil saber identificar quién logró tener acceso a la credencial que no está asociada a una persona, sino que es una credencial que comunica los registros”, explicó a Clarín la jefa de Gabinete del Ministerio de Salud, Sonia Tarragona.

“En la denuncia presentada pedimos que se investiguen 44 casos, los 60 mil que aparecieron no podemos asegurar que se hayan filtrado por una clave nuestra”, agregó la funcionaria que depende de Carla Vizzotti. Los 44 casos son los que el usuario publicó en una cuenta de twitter llamada “Anibal Leaks” con fotos de famosos, políticos y deportistas, que luego fue dada de baja.

La filtración se conoció por un ingreso al Registro Nacional de las Personas (Renaper), pero que en rigor se produjo a través del Sistema Integrado de Información Sanitaria Argentino (SISA), una entidad que conecta datos personales con gestiones de salud.

Se trata de una plataforma que administra 20 registros sanitarios (entre ellos el de epidemiología, vacunas, matriculaciones, farmacias, establecimientos de salud, de efectos adversos de la vacunación), con alrededor de 50 mil usuarios habilitadores para consultarlo en todo el país.​

La denuncia menciona un caso de phishing de julio. Foto Juano Tesone

La cartera que dirige Carla Vizzotti presentó este lunes el escrito ante el Juzgado Federal Número 9, en el que aseguran que en julio de este año identificaron un correo electrónico no deseado (spam) con la técnica de phishing: se pedía cambiar usuario y contraseña, pero en realidad era para robar credenciales.

El spam, que muchas veces suele considerarse como algo más molesto que peligroso (publicidades no deseadas), es una puerta de entrada para quienes están al acecho del robo de datos. Consiste en el envío de grandes cantidades de mensajes y, más allá de sus fines comerciales, muchas veces son portadores de algún tipo de “malware” (un programa malicioso, como ser uno diseñado para robar contraseñas).

Los mensajes de spam representaron el 45.1% del tráfico de correo electrónico en marzo de 2021

Ante esta situación, el Renaper había suspendido los ingresos desde el Ministerio de Salud para evitar que se pudiera seguir explotando la vulnerabilidad.

Consultada por Clarín sobre si saben si el usuario logró descargar la base de datos completa, Tarragona explicó: “No podemos probar que haya bajado todo. Sí tenemos certeza de que no lograron entrar a la base del Renaper, porque esta tiene mucha más información que la que se publicó: huellas digitales, antecedentes penales, cosas que nos salieron a la luz. Lo que pudo haber hecho es consultar con una credencial, pero no lograron entrar a Renaper”, argumentó.

“Nosotros tenemos un caché [una memoria que guarda datos], se mantiene 24-48 horas. Solamente se actualiza si hubo actualizaciones del Renaper. Quizás accedió al caché y logró descargarse datos”, arriesgó.

Además, aclaró que “un día común se hacen entre 600 y 650 mil consultas de DNI por día en Salud, es muchísima información”, lo cual dificulta identificar de dónde viene la filtración.

La filtración que preocupó al Gobierno

dni Renaper. Foto Renaper

Este fin de semana, el usuario que robó los datos publicó 60.000 entradas en un archivo de 2.7 GB para demostrar que tiene información personal de ciudadanos argentinos.

El delincuente dice tener en su poder datos personales de los 45 millones de argentinos. Sin embargo, todavía no está claro si descargó la base de datos completa: se puede asegurar que tiene información, pero no que tenga en su poder la totalidad de los registros ni que estén actualizados.

La denuncia de este lunes se suma a la que había hecho el Renaper mismo el 13 de octubre, cuando el organismo, que depende del Ministerio del Interior, había informado que se trataba de “un uso indebido de usuario o robo de la clave del mismo”, y subrayó que la base de datos no había “sufrió vulneración o filtración alguna de datos” ante el Juzgado en lo Criminal y Correccional Federal 11, Secretaría 22.

La preocupación es grande ya que además de los 45 millones de datos que el cibercriminales dice tener en su poder (algo que desde organismos oficiales desmienten, ya que aseguran que se trató de un “robo hormiga”), ahora se suma la potencial vulneración del SISA, un sistema que maneja cerca unos 964 millones de interacciones de datos de 50 mil usuarios entre enero y octubre, según explica la vocera del ministerio de Salud.

Ese sistema, se integra a través de una compleja red descentralizada, de grandes dominios, al que tienen acceso gobiernos provinciales, diferentes estamentos de ministerios de salud e instituciones, desde donde podría haberse vulnerado la seguridad con apenas hacer un clic en un mail malicioso.

“A un spammer no le cuesta casi nada enviar correos electrónicos a cualquiera que pueda encontrar. Si sólo un puñado de destinatarios responde favorablemente a la campaña, el spammer verá fácilmente el retorno de su inversión”, explicó a Clarín Christopher Budd, jefe de comunicaciones de amenazas de Avast.

“No todo el spam son correos promocionales benignos. Un tipo muy común de spam malicioso tiende a caer en la categoría de phishing. Los phishers son ciberdelincuentes que buscan información personal o financiera sensible. Al igual que el spam, las estafas de phishing suelen enviarse por correo masivo, pero con objetivos más nefastos que pueden incluir el fraude, el robo e incluso el espionaje corporativo”, agregó el especialista.

En Argentina hubo una cantidad considerables de casos, recuerda: “Según un estudio de Avast, que encuestó a 1.173 argentinos en julio del año pasado, el 28% se encontró con situaciones de phishing y el 15% ha sido víctima de estas estafas. De la proporción que declaró haber sido víctima de estafas de phishing en Argentina (15%), el 46% fue engañado por correos electrónicos de phishing”.

El usuario que filtra información, activo

Algunas de las fotos que filtró el presunto cibercriminal que dice haber irrumpido en la base de datos del renaper.

Diversos especialistas se contactaron con la persona que está filtrando información, que habla desde un servicio de chat que usa el protocolo XMPP (el mismo de Google Talk, posteriormente llamado Hangouts).

Desde el Gobierno niegan haberse contactado con el usuario: “Nosotros no hablamos con esta persona. Sabemos que hubo una simultaneidad en las consultas de algunos pocos DNI y las publicaciones en Twitter”, explicó la vocera del Ministerio de Salud a Clarín.

A fines de la semana pasada, el sitio especializado en cibercriminalidad The Record lo contactó a fines de la semana pasada: “En una conversación, el pirata informático dijo que tiene una copia de los datos de Renaper, lo que contradice la declaración oficial del gobierno. La persona acreditó su declaración aportando los datos personales, incluido el número de trámite -de alta sensibilidad-, de un ciudadano argentino de nuestra elección”, explicó.

Un dato que da cuenta de su actividad es que cambió su foto de perfil en el foro y responde preguntas de sus seguidores que le piden la base de datos que asegura haber hackeado: su nuevo avatar es la pintura de un gato hecha por la artista ucraniana Olha Darchuk.

La preocupación por los datos personajes hicieron que varios usuarios argentinos -potenciales damnificados del leak– lo contactaran. Uno fue el abogado Victor Atila Castillejo Arias, que publicó en su blog personal un intercambio en el que le pidió sus datos personales al filtrador de información, y recibió la foto de su DNI como prueba de que tiene acceso.

De esta manera, el usuario da pruebas de que tiene acceso a la base de datos del Renaper, y que podría tener todos los datos de los DNI de los argentinos en su poder.

Sin embargo, es cierto que todavía no se puede probar que haya descargado la totalidad de la información.

Tan cierto como que tampoco se puede probar que no lo haya hecho.

TEMAS QUE APARECEN EN ESTA NOTA