En un lapso de apenas semanas, los protagonistas de amenazas subieron posteos en donde dicen vender datos internos de Aerolíneas Argentinas, el Ministerio de Salud y Poder Judicial de Santa Cruz.
La información filtrada, o data leak, se podrá encontrar en un foro especializado de compra y venta de documentación robada.
El objetivo de los ciberdelincuentes será encontrar a terceros para que compren la información y la usen con múltiples fines delictivos.
No es la primera vez que entidades del Estado se ven comprometidas este año.
Desde la Suprema Corte bonaerense, la Legislatura Porteña, hasta el sistema judicial de Córdoba, pasando por el Hospital Garrahan, diversas instituciones sufrieron brechas en sus sistemas de seguridad informática.
Las filtraciones involucran que se comprometa información privada que, muchas veces, influye en datos sensibles.
En estos casos suelen exponer contraseñas, registros médicos o financieros, así como datos de tarjeta de crédito.
"Aerolíneas sufrió dos filtraciones de parte del mismo actor de amenazas: una la semana pasada y otra durante la madrugada de este miércoles'', comentó a Clarín Santiago Pérez Montaño, analista de seguridad.
Y agregó: "En el primero, el atacante ofrecía documentación técnica de Aerolíneas Argentinas y otras prestadoras cómo Austral, aclarando que esos documentos tienen algunos años de antigüedad pero aún son relevantes".
"Esta filtración abarca datos sensibles de los recursos tangibles como electrónicos de la institución. Naturalmente debe considerarse de alta gravedad.
Pérez Montaño resaltó que "La segunda filtración sucedió esta madrugada e incluye casi 65 mil direcciones de correos de clientes de Aerolíneas, muchos con dominios oficiales/gubernamentales"
Debido a este problema, la aerolínea reconoció la filtración, pero aseguró que "no se vulneró ningún dato confidencial".
Un detalle notable que resaltó el analista sobre esta situación, y que la hace mucho más grave, es que los datos están regalados.
Es decir, si bien están en un foro de compra y venta de datos, se pueden descargar sin pagar un peso.
Además, el Ministerio de Salud de la Nación también se vio afectado por las filtraciones.
Este caso es mucho más grave debido a la sensibilidad de la información comprometida: registros médicos, que revisten gran intimidad para los ciudadanos.
"Un actor de amenazas colocó a la venta en el mismo foro credenciales de acceso al Ministerio de Salud de Argentina, sin dar demasiado contexto, resaltó Pérez.
Y sumó que "Se trata de credenciales del Sistema Integrado de Información Sanitaria Argentina, y que permiten acceder a información sensible de pacientes".
"Recordemos que estos sistemas guardan información altamente sensible de usuarios (registros médicos), y por las capturas provistas podemos suponer que el usuario afectado tiene una importante jerarquía dentro del sistema".
Según contó, el atacante está escuchando ofertas y no fijó un precio para el set de datos.
Por el momento la entidad no dio ninguna comunicación oficial.
En lo que va de 2022 no sólo el Poder Judicial de Santa Cruz se vio envuelto en este problema, sino que el Poder Judicial cordobés sufrió un ataque de ransomware que paralizó completamente todo el sistema.
En julio, la Corte Suprema de la Provincia de Buenos Aires fue hackeada y se pusieron a la venta 15.000 registros online.
"En el mismo foro también, un tercer actor publicó poseer acceso total a la red de este poder judicial con un usuario privilegiado. Detalló poseer acceso privilegiado a todos los sistemas, incluyendo bases de datos y credenciales RDP, resaltó el experto.
"El atacante solicitó pago en distintas criptos y no tiene reputación en el foro. El precio es abierto, como en el caso anterior", concluyó.
"Se informó una intrusión en uno de nuestros servidores web. Dicho servidor posee 250 usuarios internos y se utiliza para compartir información dentro de distintas dependencias Judiciales", comentaron desde la entidad a Clarín.
Las medidas que tomaron ante cualquier filtración fueron cambiar claves de los usuarios del cliente que utilizan, OWNCLOUD, y también suspendieron los accesos remotos de los que trabajan desde sus casas de forma preventiva.
El órgano judicial de la Provincia realizó una denuncia penal ante la fiscalía de turno.
"Desde mediados del 2021 rige para los organismos que caen en el inciso a del art. 8 de la Ley 24156 la obligación de reportar los incidentes de seguridad a la DNCIB", subrayó el abogado especializado en ciberdelitos Daniel Monastersky.
Y agregó: "Esto está en el artículo 7° de la Decisión Administrativa N° 641/2021. También en el Anexo que se aprueba por el artículo 1°: ‘Directriz 12".
"'Gestión de Incidente’, en el último punto de este título se detalla que ‘en el caso en que el incidente de seguridad hubiere afectado activos de información y hubiere comprometido información y/o datos personales de terceros, se deberá informar públicamente tal ocurrencia’", precisó.
Frente a estos ataques, es recomendable cambiar contraseñas o incluso utilizar un gestor de claves, además de activar el doble factor de autenticación siempre que sea posible.