Un ciberdelincuente que asegura haber robado datos de 45 millones de DNI difundió fotos de políticos, periodistas y famosos en Twitter
Alberto Fernández, Marcelo Tinelli, Lionel Messi, Máximo y Florencia Kirchner, también Elisa Carrió, Sandra Arroyo Salgado y Alberto Nisman, Jorge Lanata, Nelson Castro y Alfredo Leuco; la interventora de la Agencia Federal de Inteligencia, el jefe de la Policía Federal y el Subsecretario de Ciberdefensa. Las fotos de los DNI de todos ellos y otras decenas de personalidades reconocidas en la Argentina fueron publicadas el fin de semana en una cuenta de Twitter bautizada “AníbalLeaks”.
El perfil en redes se presenta como la vidriera de un supuesto cibercriminal que asegura haber hackeado y robado los datos personales de más de 45 millones de ciudadanos del Registro Nacional de las Personas (RENAPER). Y que semanas atrás había publicado una filtración de información de 1.200.000 de miembros de las Fuerzas Armadas y de Seguridad de Argentina, sustraídas de una base de datos de una obra social.
La cuenta @aniballeaks fue creada en Twitter el 25 de septiembre pasado. “Todos los datos personales de Gendarmería, Ejercito, Prefectura Naval, Armada, Fuerza Aérea, Ministerio de defensa > 1.193.316 registros”, fue el primer mensaje del usuario, posteado a las 7:33 AM.
Horas más tarde también difundió el teléfono personal de Aníbal Fernández, por entonces flamante ministro designado en Seguridad, y siguió promocionando la masiva filtración de datos.
La persona detrás de esa cuenta adoptó el nombre Fr3d3r1c, como la desplazada ministra del área Sabina Frederic. “Certificated troll – Enemigo nº1 de @PFAOficial. En el IRC o 25 de Mayo 11,CABA”, escribió en su biografía, poniendo la dirección postal de la ex-SIDE, lo que despertó sospechas sobre la posible injerencia de espías en el asunto, algo que fue descartado por fuentes de la AFI, ante la consulta de Clarín.
La cuenta de Twitter que se creó para difundir los AnibalLeaks pone dirección en la sede de la AFI.
Tras días sin actividad, este sábado 9 de octubre el perfil de Twitter “AníbalLeaks” se reactivó y encendió señales de alarma en el Gobierno, así como revuelo en las redes sociales: a las 11:01 de la mañana el usuario comenzó una furiosa catarata de posteos de casi dos horas.
Allí publicó fotos de los documentos de más de 40 personas entre los que había deportistas, famosos, varios funcionarios del Gabinete de Alberto Fernández, incluido él; dirigentes de la oposición, y hasta especialistas en ciberseguridad que son muy activos en redes, como Javier Smaldone y Julito López, y también del divulgador Ariel Garbarz, panelista habitual en programas asociados al kirchnerismo.
Entre los afectados figuraban Alberto y Aníbal Fernández, Gustavo Béliz, Juan Manzur, Santiago Cafiero y Oscar Parrilli, Máximo y Florencia Kirchner, los ex jefes de la AFI macrista Gustavo Arribas y Silvia Majdalani, la actual interventora Cristina Caamaño.
También estaban los periodistas Jorge Lanata, Marcelo Bonelli, Eduardo Feinmann, Luis Majul, Gustavo Sylvestre y Alfredo Leuco. Y había también celebridades: Lionel Messi, el Kun Agüero, Sebastián Vignolo, y hasta Lali Espósito, la famosa cantante, entre otros.
También filtró las foto carnet de Horacio Rodríguez Larreta, Patricia Bullrich, Elisa Carrió, Miguel Pichetto, Diego Santilli y Elisa Carrió, por dar solo algunos ejemplos. En alguno de los posteos incluyó también direcciones y números de trámite de los DNI, un dato reservado que no figura en registros públicos de datos.
Vale aclarar, el número de trámite es un dato muy sensible, utilizado en trámites personales como la vacunación contra el Coronavirus o préstamos bancarios.
La situación derivó en una denuncia judicial que presentada por el gobierno vía la Unidad Fiscal Especializada en Ciberdelincuencia por divulgación indebida de datos, que quedó a cargo del Juzgado Criminal y Correccional Federal 11, bajo el expediente 6629/2021.
Fuentes oficiales desmintieron a Clarín que el episodio se trate de una filtración masiva, a pesar que desde el Renaper apuntaron a Clarín que se trató de un “uso indebido de una clave otorgada a un organismo público” y por eso se realizó la denuncia penal.
“No hubo hackeo”, explicaron los funcionarios que motorizaron la denuncia luego de una rigurosa investigación sobre los sistemas del RENAPER, que depende del ministerio del Interior, a cargo de Eduardo “Wado” de Pedro.
Su dependencia ya había sido objeto de una vulneración en septiembre del año pasado, cuando el grupo NetWalker ejecutó un ataque y robó datos de migraciones, pidiendo una millonaria recompensa.
La filtración de datos en un sitio de compra y venta de cibercriminales. Foto Captura de pantalla
Descartado el ataque (fuentes marcan que no hallaron pistas de hackeo en los sistemas), una de las hipótesis de investigación podría apuntar a un “empleado infiel” con acceso a credenciales de consulta.
Además, desde el Renaper explicaron a Clarín que el equipo de seguridad informática del Renaper realizó una consulta sobre las 44 personas involucradas a fin de relevar los últimos consumos realizados mediante el uso del Sistema de Identidad Digital (SID) sobre dichos perfiles y detectó que “19 imágenes habían sido consultadas en el exacto momento que eran publicadas en la red social Twitter desde una conexión autorizada de VPN (Virtual Private Network) entre el ReNaPer y el Ministerio de Salud de la Nación, y todas las imágenes habían sido consultadas recientemente desde esa misma conexión”.
“Dicha conexión habría realizado varias consultas individuales a las bases de datos del Renaper entre las 15:01 y las 15:55 mediante el servicio de validación de datos del SID el cual, una vez invocados el DNI y Sexo de la persona, devuelve a la persona que consulta todos los datos impresos en el Documento Nacional de Identidad, incluyendo imagen y otros datos personales, los cuales luego fueron subidos inmediatamente a la red social Twitter, sin el consentimiento del Titular de los mismos”, sostuvieron.
Y agregaron que además “se detectó que un usuario autorizado individual habría utilizado de forma indebida para fines personales el servicio de validación de identidad a través de un certificado habilitado del Ministerio de Salud de la Nación, conectándose a través de la correspondiente VPN, con usuario y contraseña”.
–
–
–
–
–
–
El presunto cibercriminal
Diferentes sitios especializados apuntaron a un usuario de un sitio que sirve como mercado clandestino, un foro en el que piratas informáticos ofrecen sus servicios y los datos que obtienen en sus ataques. El usuario usa el nickname “CFK”, responsable también de la filtración de datos del Instituto de Obra Social de las Fuerzas Armadas y de Seguridad (IOSFA).
“CFK”, que sería la misma persona detrás de “AníbalLeaks” en Twitter, publicó mensajes el 8, 9 y 10 de octubre ofreciendo datos al mejor postor.
“Vendo acceso a una red del gobierno argentino vinculada a las comunicaciones y la tecnología. El acceso se realiza a través de VPN y credenciales de red de administrador de dominio (AD) con acceso directo al controlador de dominio. Hay miles de computadoras y servidores de oficina, incluidas las máquinas virtuales. Es una entidad que está en todo el país, por lo que es una red enorme”, se promocionó el viernes 8 de octubre.
El sábado 9, mismo día de las fotos en Twitter, posteó otro mensaje: “Vendo todos los datos en el DNI de cualquier persona en Argentina.Esto incluye foto, nombres, apellidos, direcciones, número de procesamiento (esto es muy importante), tipo de identificación, código ubicado en el reverso de la tarjeta (código de barras de tres líneas) calculado por un algoritmo y todos los datos necesarios para crear una cédula de identidad falsa”.
La filtración de datos en un sitio de compra y venta de cibercriminales. Foto Captura de pantalla
“Población de Argentina: 45.380.000 aproximadamente. Importante: se vende individualmente”, aclaró y puso como ejemplo los datos del presidente Alberto Fernández, incluyendo su dirección en Puerto Madero.
La información que está a la venta, con datos de Alberto Fernández (con el número de trámite del DNI, blurreado para preservar el dato). Foto Captura de pantalla
Al día siguiente, publicó un link para descargar de forma gratuita la información de su ataque a la obra social de militares y personal de defensa.
Habla uno de los afectados
Javier Smaldone, uno de los afectados.
Javier Smaldone es especialista en seguridad informática y una opinión autorizada a la hora de analizar ciberataques en la Argentina. Conocido en Twitter como @mis2centavos, en 2019 fue allanado y detenido por #LaGorraLeaks 2.0, en base a sus expresiones públicas sobre el tema, en las que puso de manifiesto su gravedad y su relación con hecho anteriores, pero sin difundir los datos filtrados.
Desde entonces, aparece en la causa sin que a la fecha se le haya hecho una imputación concreta ni se le haya tomado declaración indagatoria. «En resumen, me incriminaron por informar y poner de manifiesto la inseguridad de los sistemas de la PFA y la inoperancia a la hora de investigar las filtraciones», resume.
Ahora la foto de su DNI y su número de trámite apareció en los «AníbalLeaks» que salpican al RENAPER. Clarín habló con él sobre este nuevo episodio que pone en alerta la seguridad informática del Estado argentino.
─¿Cómo te enteraste que estaba tu foto en Twitter?
─Cuando apareció mi foto realmente no me extrañó. Cuando la misma cuenta había publicado la filtración de IOSFA, también me había mencionado en Twitter, tratando de involucrarme de alguna forma. Y que los datos del RENAPER no están debidamente protegidos, es algo que sabemos al menos desde junio de 2019.
─¿Qué interpretación hacés de estos “AnibalLeaks”?
─Creo es algo que ya se está volviendo una especie de tradición. En 2017 tomaron control de la cuenta de Twitter de Patricia Bullrich. A solo 2 días de asumir, hicieron lo mismo con Sabina Frederic. Y ahora, al asumir la misma cartera Aníbal Fernández, lo reciben con esta especie de «saludo». En el caso de Aníbal también pusieron su número de celular.
─El RENAPER niega un hackeo. ¿Qué sucede con los datos de los ciudadanos? ¿Están seguros?
─No, claramente los datos de los ciudadanos no están siendo debidamente resguardados. Y esto va más allá del uso indebido de una credencial de acceso, tiene que ver con la forma en la que está estructurado el sistema de consultas al RENAPER, y que claramente no va a ser modificado ni en el corto ni en el mediano plazo (ya que muchos servicios dejarían de funcionar).
La filtración de la Obra social de las Fuerzas Armadas
A fines del mes pasado, casi 1.200.000 de miembros de las Fuerzas Armadas y de Seguridad de Argentina sufrieron la filtración de sus datos personales, según informó la consultora Privacy Affairs, que está encargada del asesoramiento para la protección de información privada.
Los afectados, según trascendió, corresponden a Prefectura Naval Argentina, el Ejército Argentino, de la Fuerza Aérea Argentina, la Armada Argentina, Gendarmería Nacional y el Ministerio de Defensa.
La información había sido confirmada en aquel entonces por el Instituto de Obra Social de las Fuerzas Armadas y de Seguridad (IOSFA), desde donde emitieron un comunicado oficial en el que admitieron la filtración, aunque no dieron detalles respecto del números de afectados y aseguraron que no se trató de un ciberataque.
Según trascendió, la información corresponde a 1.193.316 militares argentinos y empleados de diversas agencias de defensa nacional. Entre los datos, se encuentra el estado civil, dirección postal, sexo, números de teléfonos, rango y correo electrónico.
«No está claro cómo los piratas informáticos obtuvieron estos datos, pero en base a incidentes similares anteriores, es probable que implique la penetración de uno o más sitios web y bases de datos administrados por el gobierno argentino«, había explicado Privacy Affairs.
Desde IOSFA advirtieron la gravedad de la situación: «Esta información resulta de gran valor para los ciberdelincuentes, dándoles facilidad en sus ataques dirigidos de phishing o vishing fraudes dado que poseen datos personales», explicaron en un comunicado.
«Es importante concientizar a la totalidad de nuestros Recursos Humanos, que existe la posibilidad de que sean llamados por ciberdelincuentes haciéndose pasar por personal de la obra social IOSFA», habían agregado.
Posible Fuente