El Ejército Argentino analiza una publicación de un cibercriminal en un conocido foro de compraventa de información personales, en la cual se asegura que hay datos de 50 mil militares de personal de la fuerza.
Diversos sectores del Gobierno, desde el Ministerio de Defensa hasta la Agencia Federal de Ciberseguridad, analizan el alcance que podría tener el presunto hackeo que habría originado la filtración.
La información la dio a conocer Birmingham Cyber Arms LTD, una empresa que hace inteligencia de amenazas y monitorea hackeos y filtraciones, tanto en el Estado como a nivel sector privado. “Un actor de amenazas vende datos de 50 mil militares en Argentina en un PDF: DNI, fecha de nacimiento, residencia, registros de viajes, diplomas y más”, publicó en su sistema de monitoreo de amenazas, Sheriff.
Mauro Eldritch, director de la empresa, contó a Clarín qué información se ofrece: “Se trata de un lote de 50.000 documentos en formatos mixtos entre PDF y capturas de pantalla, lo que indicaría el nivel de acceso que tiene el atacante al sistema del cual fueron extraídos”, explicó.
El analista contó qué información se ofrece a partir de lo que se puede inferir del posteo: “Parecen extraídos de un sistema documental en forma incremental, lo que indicaría una vulnerabilidad que permite visualizar los datos (en este caso los perfiles de usuarios) que se identifican por un valor que va ascendiendo (como 1, 2, 3, 4)”, explicó. Esto es lo que en ciberseguridad se llama “IDOR”, Insecure Direct Object Reference, o “referencia directa insegura a objetos”.
“Lo que este tipo de vulnerabilidad habilita es permitir a cualquier usuario malintencionado continuar la secuencia y ver datos ajenos pudiendo scrappear [extraer] la base de datos (o sea, visitarla secuencial y automáticamente para replicarla de una forma permitida por el sistema)”, siguió. Así, por ejemplo, si una dirección web termina en “445”, al cambiarlo por “446” se puede ver el perfil de otro usuario.
El posteo en un conocido foro cibercriminal: información del Ejército Argentino a la venta. Foto: Captura de Sheriff“El lote contiene mucha información sensible por ser de carácter militar, desde historial académico y fotografía, información de viajes y familiares de los efectivos, por lo que podría tratarse de una copia de seguridad de un sistema que contiene legajos”, agrega.
El Ejército emitió un comunicado el pasado martes en el que aseguran que “podría tratarse de acceso a datos de carácter administrativo que no comprometerían las capacidades de la Fuerza”. Clarín se contactó con el Ejército para pedir una actualización sobre el estado del incidente y confirmaron que este jueves se amplió la denuncia presentada el 8 de mayo ante la División Delitos Informáticos de la Policía Federal.
Por qué se venden estos datos
Información personal de miembros del Ejército, a la venta. Foto: ArchivoUna filtración de datos (o leak, como se dice en el ambiente de la ciberseguridad) es la exposición no autorizada de información. Puede ser nombre completo, dirección, correo electrónico, número de teléfono, contraseñas o archivos. También pueden ser información sensible, como es este caso del Ejército.
“La parte crítica de lo que está presuntamente a la venta es las fojas de servicio, donde se puede ver con lujo de detalles la carrera militar de cada efectivo, dónde prestó servicio (“arma o servicio”), en qué rol y con qué grado en ese momento. Es básicamente la historia militar de cada persona que muchas veces revela datos sensibles no sólo de la persona sino de los movimientos internos del Destino (destino como lugar militar)”, explica Eldritch.
Esta información se suele comercializar en foros underground y en canales de Telegram, entre otros sitios más específicos de ciberdelincuentes. Estos leaks suelen tener diversos destinos, desde su comercialización en el mercado negro hasta la explotación de estos datos para realizar ataques de phishing, aquellos correos electrónicos apócrifos para que los usuarios entren a páginas y servicios engañados.
Por lo general, una vez filtrados, los datos van a parar a mercados negros (la llamada dark web, aunque también se venden en Telegram, que no regula los ilícitos de ningún tipo), se usan para todo tipo de fraude o hasta como puerta de entrada ataques de ransomware.
El Estado, bajo ataque
Patricia Bullrich y Luis Petri reunidos con miembros del Ejército, en marzo. (Foto: Juan José García)Argentina experimentó durante estos últimos años una gran cantidad de ataques a entidades estatales, desde la Dirección Nacional de Migraciones en 2020, el Senado de la Nación en 2022, el PAMI y la CNV en 2023 y uno de los casos más grandes, el RENAPER el año pasado.
Este medio pudo acceder a la información filtrada al RENAPER el año pasado y comprobó que se encontraban nombre, apellido, fecha de nacimiento, de fallecimiento (en caso de corresponder) y número de DNI de millones de argentinos.
E incluso había allí carpetas muy específicas, que tenían bases de datos de domicilios de extranjeros que residen en Argentina y hasta información de personal de la Armada con nombre completo y grado militar, lo que denota que este nuevo caso no sería el primero en afectar a las Fuerzas Armadas.
El comunicado del Ejército sobre el presunto hackeo
El comunicado del Ejército por el presunto hackeo. Fuente: Ejército ArgentinoSL
Fuente: clarin.com