en un lapso de dos semanastres actores de amenazas subieron publicaciones que afirmaban vender datos internos de Aerolíneas Argentinas, Ministerio de Salud y Poder Judicial de Santa Cruz. filtración, o fuga de datosestá disponible en un foro especializado para comprar y vender información robada.
Los ciberdelincuentes a menudo cargan datos robados para que terceros los compren y los utilicen con múltiples fines delictivos. No es la primera vez que entidades del Estado se ven comprometidas este año: desde la Suprema Corte de Justicia de la Nación, la Legislatura porteña, hasta el sistema judicial de Córdoba, pasando por el Hospital Garrahan, diversas instituciones sufrieron brechas en sus sistemas de seguridad informática.
Las filtraciones significan que se compromete información privada que, muchas veces, afecta datos sensibles. A menudo exponen contraseñas, registros médicos o financieros, como los datos de la tarjeta de crédito.
En el caso de las tres entidades involucradas en estas dos semanas, hay información técnica, contraseñas, correos electrónicos y más.
Aerolíneas Argentinas: dos filtraciones
“Las aerolíneas sufrieron dos filtraciones del mismo actor de amenazas: una la semana pasada y otra durante la madrugada de este miércoles. En la primera, el atacante ofreció documentación técnica de Aerolíneas Argentinas y de otros proveedores como Austral, aclarando que esos documentos tienen algunos años pero siguen siendo relevantes”, le explicó a Clarín Santiago Pérez Montaño, analista de seguridad.
“Acompañé la filtración con Registros del servidor FTP donde por su naturaleza incluía información detallada como credenciales en texto plano”, agrega. El “texto plano” presupone un alto riesgo para el manejo de los datos.
“Esta fuga cubre datos sensibles de los recursos tangibles y electrónicos de la institución. Naturalmente, debe tenerse en cuenta alta gravedad. La segunda fuga ocurrió esta mañana e incluye casi 65 mil direcciones de correo electrónico de clientes de aerolíneas, muchos con dominios oficiales/gubernamentales”, añade. Y tenga en cuenta que hay direcciones gobierno.
A pesar de ello, la aerolínea de bandera reconoció Clarín la filtración, pero aseguró que “no se violaron datos confidenciales”.
Hay un detalle llamativo que hace la situación mucho más grave: los datos se regalan, aclara la especialista. Es decir, aunque están en un foro de compra y venta de datos, se pueden descargar sin pagar un peso.
Filtran datos del Ministerio de Salud: lo que se sabe
Por otra parte, el Ministerio de Salud de la Nación también se vio afectado. Las filtraciones de datos a los sistemas de salud se encuentran entre las más graves la sensibilidad de la información comprometida: registros médicos, que son altamente privados para los ciudadanos.
“Un actor de amenazas puso a la venta en el mismo foro credenciales de acceso al Ministerio de Salud argentino, sin dar mucho contexto. Tras consultarlo, aclaró que se trata de credenciales del Sistema Integrado de Información en Salud Argentinay que permitan acceder a información sensible de los pacientes, aportando como prueba capturas de pantalla de su acceso al sistema”, explicó Pérez.
“Recordemos que estos sistemas almacenan información de usuario altamente sensible (registros médicos) y, según las capturas de pantalla proporcionadas, podemos suponer que el usuario afectado tiene una jerarquía importante dentro del sistema, pudiendo visualizar dicha información”, contextualizó. Según él, el atacante está escuchando ofertas y no fijó un precio por el conjunto de datos.
Desde la entidad no dieron ningún comunicado oficial, pese a ser consultados por este medio.
Filtración en el Poder Judicial de Santa Cruz: los detalles
2022 es un año complicado para los sistemas judiciales. En agosto, el Poder Judicial de Córdoba sufrió un ataque de ransomware que paralizó por completo todo el sistema. En julio, el Corte Suprema de Justicia de la Provincia de Buenos Aires fue pirateado y se pusieron a la venta en línea 15.000 registros. Ahora le tocaba al Poder Judicial de Santa Cruz.
“En el mismo foro también, un tercer actor publicó tener acceso completo a la red de este poder judicial con un usuario privilegiado. Detalló tener acceso privilegiado a todos los sistemas, incluidas las bases de datos y Credenciales RDP (para conectarse de forma remota a los equipos internos)”, detalló el experto.
“El atacante solicitó el pago en diferentes criptos y no tiene reputación en el foro. El precio es abierto, como en el caso anterior”, cerró.
Clarín contactó a la entidad, que dio detalles sobre el caso: “Se reportó una intrusión en uno de nuestros servidores web. dicho servidor tiene 250 usuarios internos y se utiliza para compartir información dentro de diferentes dependencias judiciales”, detalló.
Además, tomaron las medidas pertinentes ante cualquier filtración: cambiar las contraseñas de los usuarios clientes que utilizan, NUBE PROPIA. También suspendieron el acceso remoto para quienes trabajan desde sus casas. forma preventiva.
El órgano judicial de la Provincia hizo una Denuncia criminal ante la fiscalía.
Qué hacer en caso de una violación de datos
Por el lado de las organizaciones afectadas, las fugas de datos deben ser reportadas. “Desde mediados de 2021, se aplica a las organizaciones que caen bajo el inciso a de la Arte. 8 de la Ley 24156 la obligación de reportar incidentes de seguridad a la DNCIB”, explica el abogado especialista en ciberdelincuencia Daniel Monastersky.
“Así está en el artículo 7 de la Resolución Administrativa N° 641/2021. También en el Anexo que se aprueba por el artículo 1: ‘Directriz 12. Gestión de Incidencias’, en el último punto de este título se detalla que ‘en caso de que el incidente de seguridad haya afectado a activos de información y haya comprometido información y/o datos de terceros, tal ocurrencia debe ser informada públicamente’”, agrega.
Por el lado de los usuarios afectados, en este caso empleados de Aerolíneas, Salud y el Poder Judicial de Santa Cruz, siempre es recomendable cambiar las contraseñas o incluso utilizar un administrador de claves, además de activar el factor de doble autenticación siempre que sea posible (algo que en general, las entidades del Estado rara vez habilitan).
SL
