Afirman que hackearon al Ministerio de Economía pero en el Gobierno dicen que no fueron vulnerados

Un usuario dice tener datos internos y subió un posteo a un foro de compra y venta de datos. Pide 15 mil dólares. Una posible filtración de datos con versiones encontradas tiene como escenario al Ministerio de Economía: un ciberdelincuente asegura tener accesos internos a los sistemas de la cartera y subió este miércoles un…

afirman-que-hackearon-al-ministerio-de-economia-pero-en-el-gobierno-dicen-que-no-fueron-vulnerados

Un usuario dice tener datos internos y subió un posteo a un foro de compra y venta de datos. Pide 15 mil dólares.

Una posible filtración de datos con versiones encontradas tiene como escenario al Ministerio de Economía: un ciberdelincuente asegura tener accesos internos a los sistemas de la cartera y subió este miércoles un posteo a un foro de compra y venta de datos robados. Allí habría credenciales “a varios instrumentos financieros y software”​, asegura.

Desde el Ministerio aseguraron a Clarín que no detectaron ninguna intrusión ​al momento de publicación de esta nota, pero que continuaban verificando la situación.

El foro es el mismo en el que se subieron, hace un mes, 15 mil registros internos de la Suprema Corte bonaerense, situación por la cual el máximo tribunal de la Provincia de Buenos Aires emitió un comunicado para reconocer la situación. Por el momento, Economía no emitió declaraciones públicas ni a la prensa.

La información fue detectada por el analista de amenazas Mauro Eldritch: “El actor de amenazas coloca a la venta accesos privilegiados a sistemas del Ministerio de Economía y Finanzas Públicas por 15 mil dólares. Se trataría en principio de certificados VPN y credenciales de servidores Citrix”, explicó a Clarín. Citrix es una plataforma de virtualización de equipos.

El foro donde apareció el posteo. Foto Captura Mauro Eldritch

Respecto de quién podría estar detrás de la intrusión, aunque todavía no puede confirmarse, hay indicios. Sería el grupo Everest, una banda de ciberdelincuentes que ya atacó a una dependencia argentina a fines del año pasado: el Instituto Nacional de Tecnología Agrícola (INTA).

“El Actor de amenazas sostiene ser de Everest Ransom Team, pero no ha utilizado ninguno de los canales oficiales del grupo (suelen utilizar OnionMail), sino Tox, un chat P2P también utilizado por actores como Lockbit”, cuenta el experto.

“Everest Ransom Group es un actor de ransomware con destacada trayectoria, que ha incursionado en Argentina en dos oportunidades: la primera en marzo de este año, atacando al INTA, con la divulgación de varias bases de datos del organismo, y la segunda a fines de noviembre de 2021, cuando el grupo colocó a la venta accesos privilegiados a ‘varios sitios de intranet y bases de datos del gobierno argentino’ por doscientos mil dólares“, agrega el analista.

La legitimidad del posteo queda sujeta, sin embargo, a la descarga de la información, a la que solo se puede acceder luego de un pago. “No está claro cómo Everest obtiene los datos publicados en su sitio Tor, pero algunas filtraciones anteriores parecen haber estado compuestas por información que ya era de dominio público o que había sido expuesta previamente en otras violaciones. Tampoco está claro si los inicios de sesión que dicen tener para varios gobiernos son realmente reales y actuales, pero sospecho que, en muchos casos, no lo son”, sostiene Brett Callow, analista de amenazas de Emsisoft.

Eldritch advierte, en relación a la identidad del atacante, que por el momento solo es un indicio lo que hay sobre Everest: “El usuario que subió el posteo tiene pocos posts promocionando a la venta distintas filtraciones que se condicen con las publicadas por el grupo Everest en su Onion Service (sitio en la red Onion), pero al no utilizar la dirección oficial del grupo no es posible afirmar que sea un miembro o afiliado al mismo”, sostiene.

Sergio Massa, ministro de Economía. Foto: Emmanuel Fernández

Hackeos al Estado, una constante

Los ciberataques y filtraciones de datos en dependencias del Estado han sido una constante estos últimos años. En 2020, la Dirección Nacional de Migraciones sufrió un ataque de ransomware, un tipo de programa que encripta información para pedir un rescate en criptomonedas a cambio. En aquel entonces se publicaron miles de datos personales de ciudadanos argentinos y extranjeros que ingresar al país.

El año pasado, un acceso no autorizado logró extraer datos del Renaper y los vendió en el mismo foro de compra y venta de datos personales. Y en enero de este año, el Senado de la Nación sufrió un ataque de ransomware que publicó datos sensibles de trabajadores de la Cámara Alta, proyectos de ley y hasta huellas digitales de altos funcionarios.

Los casos se siguieron multiplicando durante 2022: el Conicet, la Justicia de la Provincia de Córdoba -que quedó paralizada y sin poder operar tanto judicial como operativamente- y la Legislatura porteña, hace dos semanas.

Hasta el Hospital Garrahan sufrió un ciberataque a mediados de año.

La Justicia de Córdoba se vio fuertemente afectada por un ciberataque este año. Foto Captura

Vale recordar que tanto organismos como empresas deben comunicar con precisión qué información se vio comprometida. “El artículo 9 de la ley de protección de datos (25.326) define que el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado”, recuerda Daniel Monastersky, abogado especializado en delitos informáticos.

Según la resolución 47/2018 de la Agencia de Acceso a la Información Pública (AAIP), la entidad afectada debe notificar del incidente: “Una de esas recomendaciones prevé la notificación de los incidentes de seguridad a la AAIP junto con el envío de un informe que contenga, como mínimo, la naturaleza de la información, la categoría de datos personales afectados, la identificación de los usuarios afectados, y las medidas adoptadas para mitigarlo”.

Lo cierto es que no se trata solamente de un problema de la administración pública: gigantes como Mercado Libre y Globant también fueron atacados en marzo de este año. Meses después, Osde, una de las prepagas de salud más grandes del país, sufrió un ataque de ransomware que implicó la publicación de datos sensibles de sus afiliados, como historias clínicas, documentos y mails.

PJB