Afirman que hackearon al Ministerio de Economía pero en el Gobierno dicen que no fueron vulnerados

Un usuario afirma tener datos internos y subió una publicación a un foro de compra y venta de datos. Pide 15 mil dólares.

Una posible fuga de datos con versiones contradictorias tiene como escenario el Ministerio de Economía: un ciberdelincuente afirma tener acceso interno a los sistemas de la cartera y subió una publicación el miércoles a un foro para comprar y vender datos robados. habría credenciales “para varios instrumentos financieros y software”asegura.

Desde el Ministerio aseguraron Corneta que no detectó ninguna intrusión Al momento de la publicación de esta nota, pero continuaban verificando la situación.

El foro es el mismo en el que hace un mes se subieron 15.000 actas internas de la Corte Suprema porteña, situación por la que el máximo tribunal de la Provincia de Buenos Aires emitió un comunicado para reconocer la situación. Por el momento, Economía no emitió comunicados públicos ni a la prensa.

La información fue detectada por el analista de amenazas Mauro Eldritch: “El actor de amenazas pone a la venta acceso privilegiado a sistemas del Ministerio de Economía y Finanzas Públicas por 15 mil dólares. En principio serían certificados VPN Y credenciales del servidor Citrix», explicó a Clarín. Citrix es una plataforma de virtualización de computadoras.


El foro donde apareció la publicación. Captura de foto Mauro Eldritch

Respecto a quién podría estar detrás de la intrusión, aunque aún no se puede confirmar, hay indicios. seria el grupo Everestuna banda de ciberdelincuentes que ya atacó a fines del año pasado una dependencia argentina: el Instituto Nacional de Tecnología Agropecuaria (INTA).

«The Threat Actor dice ser del Everest Ransom Team, pero no ha usado ninguno de los canales oficiales del grupo (generalmente usan OnionMail), en su lugar tóxicoun chat P2P también utilizado por actores como bit de bloqueo», dice el experto.

“Everest Ransom Group es un actor de ransomware con una destacada trayectoria, que ha ingresado a la Argentina en dos ocasiones: la primera en marzo de este año, atacando al INTA, con la divulgación de varias bases de datos de la agencia, y la segunda a fines de noviembre de 2021. , cuando el grupo se puso a la venta acceso privilegiado a ‘varios sitios de intranet y bases de datos del gobierno argentino’ por doscientos mil dólares«, agrega el analista.

Sin embargo, la legitimidad de la publicación está sujeta a la descarga de la información, a la que solo se puede acceder después de un pago. «No está claro cómo Everest obtiene los datos publicados en su sitio Tor, pero parece que algunas filtraciones anteriores se componían de información que ya era de dominio público o que había estado expuesta anteriormente en otras infracciones. Tampoco está claro si los inicios de sesión que dicen que tienen para varios gobiernos son realmente reales y actuales, pero sospecho que, en muchos casos, no lo son», dice. Brett Callowanalista de amenazas en Emsisoft.

Eldritch advierte, en relación a la identidad del atacante, que por el momento lo que hay sobre Everest es solo un indicio: “El usuario que subió el post tiene pocas publicaciones promocionando diferentes filtraciones a la venta que sean consistentes con las publicadas por el grupo Everest. en su servicio Onion, pero al no usar la dirección oficial del grupo no es posible afirmar que es miembro o afiliado del grupo», dice.

Sergio Massa, Ministro de Economía.  Foto: Emmanuel Fernández
Sergio Massa, Ministro de Economía. Foto: Emmanuel Fernández

Hackear al Estado, una constante

Los ciberataques y las filtraciones de datos en organismos estatales han sido una constante en los últimos años. En 2020, la Dirección Nacional de Migraciones sufrió un ataque de ransomware, un tipo de programa que cifra la información para exigir a cambio un rescate en criptomonedas. En ese momento se publicaron miles de datos personales de ciudadanos argentinos y extranjeros para ingresar al país.

El año pasado, un acceso no autorizado logró extraer datos del Renaper y los vendió en el mismo foro de compra y venta de datos personales. Y en enero de este año, el Senado de la Nación sufrió un ataque ransomware que publicó datos sensibles de trabajadores de la Cámara Alta, proyectos de ley e incluso huellas dactilares de altos funcionarios.

Los casos siguieron multiplicándose durante 2022: el Conicet, el Justicia de la Provincia de Córdoba -que quedó paralizado y sin poder operar tanto judicial como operativamente- y la Legislatura porteña, hace dos semanas.

Incluso el Hospital Garrahan sufrió un ciberataque a mediados de año.

La Justicia de Córdoba se vio fuertemente afectada por un ciberataque este año.  Captura de fotos
La Justicia de Córdoba se vio fuertemente afectada por un ciberataque este año. Captura de fotos

Vale la pena recordar que tanto las organizaciones como las empresas deben comunicar con precisión qué información se vio comprometida. “Artículo 9 de la ley de protección de datos (25.326) define que el responsable o usuario del fichero de datos deberá adoptar las medidas de índole técnica y organizativa que sean necesarias para garantizar la seguridad y confidencialidad de los datos personales, a fin de evitar su adulteración, pérdida, consulta o tratamiento no autorizado”, recuerda Daniel Monastersky , abogado especialista en delitos informáticos.

Según la resolución 47/2018 de la Agencia de Acceso a la Información Pública (AAIP), la entidad afectada debe denunciar el incidente: “Una de estas recomendaciones prevé la notificación de incidentes de seguridad a la AAIP junto con el envío de un informe que contenga, como mínimo, la naturaleza de la información, la categoría de datos personales afectados, la identificación de los usuarios afectados, y las medidas adoptadas para mitigarlo.

Lo cierto es que no es solo un problema de la administración pública: gigantes como Mercado Libre y Globant también fueron atacados en marzo de este año. Meses después, osdeuna de las empresas de salud prepago más grandes del país, sufrió un ataque de ransomware que implicó la publicación de datos sensibles de sus afiliados, como historias clínicas, documentos y correos electrónicos.

PJB

mira también