Ciberdelincuentes subieron la información que habían encriptado con un ransomware, un programa que bloquea accesos y pide dinero a cambio.
Tras el hackeo que sufrió el Senado de la Nación en enero, los datos robados por los ciberdelincuentes fueron publicados en la dark web el sábado por la noche. Clarín pudo comprobar que se trata de un directorio con más de 30 mil archivos que contiene bases de datos de empleados, registros de ingresos, huellas digitales, pasaportes y más información de procesos internos.
La dark web, en rigor un “servicio oculto de Tor”, es el lugar donde se comercializa información robada y donde los ciberdelincuentes suben archivos luego de extorsionar a sus víctimas. Desde el Senado nunca se contactaron con Vice Society, el grupo que los atacó con un ransomware, un tipo de programa que encripta la información. Por esto, nunca hubo una cifra para el rescate.
El incidente había generado un caos entre los empleados que trabajan en las distintas dependencias de la Cámara Alta: el equipo de sistemas siguió el protocolo habitual en estos casos, que indica desconectar todas las computadoras y servicios de comunicación de la red interna. Por esta razón, los trabajadores no podían ni siquiera usar los internos y tenían que a pedir una contraseña nueva, que se las anotaban en un papel.
“Se ven varios proyectos de ley, dictámenes y documentos legales con todas sus versiones progresivas. Pero también hay muchísimas claves en texto plano, resguardadas en forma negligente. Hay escaneos de pasaportes, visas, documentos de identidad, información fiscal, huellas digitales de distintos funcionarios y visitantes al Senado e incluso códigos fuente de aplicaciones internas”, advierte a Clarín Mauro Eldritch, arquitecto de ciberseguridad y consultor.
Entre los archivos hay, además, programas piratas (cracks y keygens, como se conoce en la jerga), lo que siempre puede ser una puerta de entrada para los ciberdelincuentes.
A esto apuntan, de hecho, desde el Senado, tras la publicación del directorio completo: “El ataque ilegal fue contra 100 servidores que tiene el Senado. Ahí se aloja toda la información de las computadoras que hay en la institución. La información sobre el Senado que dieron a conocer de manera ilegal los piratas informáticos es de carácter público en línea con la política de transparencia que llevamos adelante. Para la concreción final de cada acto que se lleva adelante y se publica en la web del Senado, intervienen distintas áreas en los diferentes procedimientos a través de nuestros sistemas internos de trabajo”, explicaron fuentes de la Cámara Alta.
“Los archivos personales que se encuentran en cada una de las computadoras son justamente eso, información personal. El Senado no puede ni debe estar al tanto porque es información de caracter privada de cada una de las personas que trabaja en esta institución”, agregaron.
También aclararon que Sarha, el sistema que usan los empleados para consultar información personal como recibos de sueldo y vacaciones, no se vio afectado.
Qué es Vice Society, el grupo que hackeó al senado con ransomware
El acceso directorio publicado en la deep web por Vice Society. Foto Captura de pantalla
Como había adelantado Clarín, el grupo que robó la información es Vice Society. Se trata de ciberdelincuentes que operan con ransomware, un tipo de programa malicioso (malware) que una vez que entra en las computadoras encripta la información para que no se pueda acceder. Luego piden un “rescate”, usualmente en criptomonedas, para devolverla.
“Es un ransom muy activo que se ha cobrado muchas víctimas y utiliza el modelo Ransomware as a Service (RaaS). Es decir, el grupo que creó el malware lo vende a terceros, y son estos los que infectan a la víctima, cobran y luego se dividen el dinero”, había explicado a Clarín Cristian Borghello, consultor en seguridad informática.
“Es uno de los grupos que utiliza el método de doble chantaje, en el cual primero solicita dinero para brindar la clave para descifrar los archivos y, si la víctima se niega, solicitan dinero para no publicar la información robada”, agrega.
“Vice Society despliega varios tipos de ransomware, incluyendo HelloKitty y Zeppelin. Últimamente han desplegado sobre todo Zeppelin. Como otras bandas, Vice Society roba información y usa la amenaza como ventaja para exigir un pago”, agregaba Brett Callow, experto en la materia de Emsisoft.
En este sentido, el trabajo del equipo de sistemas una vez que se conoció el ciberataque hizo precisamente eso: retrotraer la infraestructura informática al estado anterior al ataque y cambiar todas las contraseñas para evitar que las que ahora circulan por la web puedan ser utilizadas para entrar al sistema que usan senadores y empleados para sus tareas diarias.
La cantidad de registros incluye archivos temporales y encriptados. Foto Pexels
Qué es el ransomware y los ataques recientes
Su nombre es un acrónimo de “programa de rescate de datos”: ransom en inglés significa rescate, y ware es un acortamiento de la conocida palabra software.
No es la primera vez que una dependencia estatal es víctima de un ciberataque. El año pasado, un acceso no autorizado logró extraer datos del Renaper y los vendió en un foro de compra y venta de datos personales. En 2020, la Dirección Nacional de Migraciones sufrió un ciberataque que publicó miles de datos personales de ciudadanos argentinos.
Y tampoco es un problema que afecte sólo al sector público: durante las últimas semanas Ualá tuvo un problema de seguridad informática que derivó en al menos 68 cuentas vaciadas y Mercado Libre reconoció que datos de 300 mil cuentas se vieron comprometidos el lunes de la semana pasada.
Este tipo de robos de información renuevan, una vez más la pregunta sobre cuán protegida está la información en las empresas y las instituciones, además de qué tipo de prácticas de seguridad informática llevan adelante.