El ciberdelincuente explicó cómo entró al sistema. El RENAPER volvió a interrumpir credenciales de Salud porque el sospechoso sigue activo.
Luego de que un usuario con acceso al Registro Nacional de las Personas (RENAPER) publicara datos personales de ciudadanos, el presunto ciberdelincuente aseguró que “podría publicar los datos personales de 1 o 2 millones de personas” en estos días. Y, según supo Clarín, sigue activo en el sistema consultando datos con credenciales del Ministerio de Salud.
La información surge a partir de un intercambio que tuvo un sitio especializado con el ciberdelincuente. “The Record se puso en contacto con la persona que vendía accesos a la base de datos de RENAPER en foros de piratería”, escribió el especialista en ciberseguridad Catalin Cimpanu.
“En una conversación, el pirata informático dijo que tiene una copia de los datos de RENAPER, lo que contradice la declaración oficial del gobierno. La persona acreditó su declaración aportando los datos personales, incluido el número de trámite -de alta sensibilidad-, de un ciudadano argentino de nuestra elección”, explicó.
A pesar de que en primera instancia el Gobierno argentino había negado que la base de datos del RENAPER hubiera sido hackeada, desde The Record confirmaron que el usuario que está publicando información personal como la del presidente Alberto Fernández, o los deportistas Lionel Messi y Sergio Agüero, lo está haciendo “a través de empleados descuidados”.
Consultado por Clarín para más precisiones, el periodista confirmó que el ciberdelincuente entró por un usuario y contraseña de alguien de dentro del RENAPER.
“Quizás en unos días publique [los datos de] 1 millón o 2 millones de personas”, le dijo esta persona a The Record.
El usuario se encuentra activo en el foro en el que publica información, y se lo ve online frecuentemente.
The Record asegura haber cruzado información para confirmar que el usuario tiene acceso a información sensible: “Según una muestra proporcionada por el pirata informático, la información a la que tienen acceso en este momento incluye nombres completos, domicilios particulares, fechas de nacimiento, información de género, fechas de emisión y vencimiento de la tarjeta de identificación, códigos de identificación laboral y números de trámite identificaciones con fotografías”.
La filtración de datos
La información que está a la venta, con datos de Alberto Fernández (con el número de trámite del DNI, blurreado para preservar el dato). Foto Captura de pantalla
La información está siendo publicada en un foro desde el cual el usuario pudo demostrar que tiene información personal de famosos: Alberto Fernández, Marcelo Tinelli, Lionel Messi, Máximo y Florencia Kirchner, también Elisa Carrió, Sandra Arroyo Salgado y Alberto Nisman, Jorge Lanata, Nelson Castro y Alfredo Leuco; son algunos de ellos.
El usuario tiene un perfil redes sociales que se presenta como la vidriera de un supuesto cibercriminal, que asegura haber hackeado y robado los datos personales de más de 45 millones de ciudadanos del Registro Nacional de las Personas (RENAPER).
Semanas atrás había publicado una filtración de información de 1.200.000 de miembros de las Fuerzas Armadas y de Seguridad de Argentina, sustraídas de una base de datos de una obra social (IOSFA).
La cuenta @aniballeaks fue creada en Twitter el 25 de septiembre pasado. “Todos los datos personales de Gendarmería, Ejercito, Prefectura Naval, Armada, Fuerza Aérea, Ministerio de defensa > 1.193.316 registros”, fue el primer mensaje del usuario, posteado a las 7:33 AM.
Horas más tarde también difundió el teléfono personal de Aníbal Fernández, por entonces flamante ministro designado en Seguridad, y siguió promocionando la masiva filtración de datos.
La cuenta de Twitter que se creó para difundir los AnibalLeaks pone dirección en la sede de la AFI.
leaks anibal
Tras días sin actividad, el sábado 9 de octubre el perfil de Twitter “AníbalLeaks” se reactivó y encendió señales de alarma en el Gobierno, así como revuelo en las redes sociales: a las 11:01 de la mañana el usuario comenzó una furiosa catarata de posteos de casi dos horas.
Allí publicó fotos de los documentos de más de 40 personas entre los que había deportistas, famosos, varios funcionarios del Gabinete de Alberto Fernández, incluido él; dirigentes de la oposición, y hasta especialistas en ciberseguridad que son muy activos en redes, como Javier Smaldone y Julio López, y también del divulgador Ariel Garbarz, panelista habitual en programas asociados al kirchnerismo.
“No hubo hackeo”, explicaron los funcionarios que motorizaron la denuncia luego de una rigurosa investigación sobre los sistemas del RENAPER, que depende del ministerio del Interior, a cargo de Eduardo “Wado” de Pedro.
Según explicaron en un comunicado oficial, el equipo de seguridad informática del RENAPER indagó en las 44 fotos filtradas en redes para ver si había sido buscadas desde el Sistema de Identidad Digital (SID) y detectó que 19 imágenes “habían sido consultadas en el exacto momento en que eran publicadas en la red social Twitter”.
Es más, todo había sido hecho desde una “conexión autorizada de VPN (Virtual Private Network) entre el RENAPER y el Ministerio de Salud de la Nación, y todas las imágenes habían sido consultadas recientemente desde esa misma conexión”. Por esa razón, además, “se descartó de plano un ingreso no autorizado a los sistemas o una filtración masiva de datos del organismo”, según el comunicado.
Sin embargo, la información publicada se condice efectivamente con los datos de los damnificados: es información sólo disponible para alguien con acceso al sistema que el RENAPER tiene con varias instituciones públicas, ya que las fotos publicadas son las de los documentos y están en alta definición.
La pista de Salud o un golpe de suerte
La escultura de Eva Perón en el histórico edificio de Desarrollo Social.
Según supo Clarín, las investigaciones internas apuntan a un número reducido de personas, ya que las credenciales utilizadas tienen un nivel alto de seguridad. Es decir, no cualquier empleado del ministerio de Salud puede acceder a ellas.
Sin embargo, otra posibilidad que no descartan es que el acceso, a pesar de que la IP marque que se realizó desde el edificio del ministerio que conduce Carla Vizzotti, se haya producido desde afuera de Salud con una IP enmascarada, es decir de manera remota.
De todas formas, RENAPER decidió en las últimas horas cortar todos los accesos del ministerio de Salud a la base de datos.
Lo hizo luego de detectar nuevamente una actividad extraña en el sistema, además de identificar que, este mismo martes, esas credenciales que debían estar inactivas estaban siendo usadas “de manera indebida” para extraer datos y ofrecerlos públicamente.
La hipótesis que se maneja es que se trataría de un usuario autorizado, con conocimientos informáticos y acceso a las credenciales, que se conecta al sistema a través de la correspondiente VPN, con usuario y contraseña.
Al mismo tiempo, mientras la Justicia analiza la denuncia presentada por el RENAPER, que será ratificada en las próximas horas con nuevos elementos, el usuario que amenaza con publicar la información responde consultas y también críticas en foros.
Otro dato es que el supuesto cibercriminal trabaja a demanda: es decir que vende los datos de las identidades que se le requieran, y no un paquete con millones de datos descargados al azar. Los datos de cada argentino los ofrece a 10 dólares.
“Escuchame pelotudo, ¿vos te das cuenta que esto sale por todos lados ahora? Después por eso cierran el acceso a diferentes sistemas, ya paso con el otro de la yuta y ahora por culpa de esto vas a hacer que cierren todo, de verdad te digo flaco, yo que vos doy de baja el posteo, y rescatate un toque, porque a este paso van a cerrar todo por culpa de este tipo de publicaciones, fijate en twitter, salio por todos lados esto que subiste”, lo cuestionó un usuario.
La respuesta de la persona que amenaza con filtrar datos personales de millones de argentinos fue tajante:
─Yo no pierdo nada flaco 😉.
El usuario, que se presenta como “CFK” en foros de filtraciones, asegura haber encontrado las credenciales para acceder al sistema en una página web. Es decir un golpe de suerte.
Cómo funciona el sistema
El perfil de Alberto Fernández filtrado en Twitter.
El sistema que conecta al RENAPER con el ministerio de Salud de la Nación, desde donde se están extrayendo los datos personales que se fueron filtrando, brinda servicios a más de 40 hospitales públicos de todo el país, y cuenta con el Sistema Integrado de Información Sanitaria Argentino (SISA).
El SISA es una plataforma que administra 20 registros de salud (entre ellos el de epidemiología, vacunas, matriculaciones, farmacias, establecimientos de salud, de efectos adversos de la vacunación), con alrededor de 50 mil usuarios en todo el país.
Ese sistema, además, se convirtió en una mención recurrente en la pandemia porque allí quedó asentado el registro de vacunaciones contra el coronavirus que reflejó algunos manejos sospechosos en la distribución de dosis, como por ejemplo las utilizadas en el vacunatorio VIP que desencadenó la renuncia del ministro Ginés González García.
El bus de interoperabilidad -como se denomina- se usa en hospitales y maternidades de todo el país y se nutre a través del correspondiente certificado y de una VPN de los servicios de datos del RENAPER.
Procesa entre uno y dos millones de transacciones por día.