En marzo se conoció otra víctima de LockBit en Argentina: la compañía de seguros La Segunda. Con este ataque, el grupo de ransomware estrenó Snap2HTML, un sistema que permite navegar todo el directorio de la información publicada sin tener que descargarla. La Segunda tardó en comunicar el incidente a sus afiliados, que por un tiempo largo no pudieron loguearse en los sistemas.

Un usuario de Twitter advirtió sobre la filtración de boletines de calificaciones de alumnos de escuelas de la Ciudad de Buenos Aires. Dark News comprobó que, ante distintas búsquedas en la plataforma donde está subida la información, aparecían boletines con datos personales: nombres completos, institución, grado, sección, calificaciones y más. Las fechas de subida variaban entre 2022 y 2023, con algunos muy recientes de marzo de este año.

Una constante que ocurrió durante todo el año: publicación de combolists (user/pass) de entidades oficiales. Muchos fueron rewashes, otros, no. En mayo, un canal especializado de compra y venta de datos personales publicó un archivo de texto con usuarios y contraseñas, con más de 100 mil credenciales de acceso. Entre ellas, 2.155 pertenecían a agentes de Gobierno de cerca de 850 organismos argentinos.

Este fue uno de los casos que más permaneció en tapas de diarios. El sistema de Farmalink, que maneja los descuentos en obras sociales, fue hackeado con un ransomware de LockBit que, en realidad, afectó a su empresa matriz, Bizland. Esta compañía también se encarga de la recarga de tarjetas de transporte de las ciudades de Córdoba (RedBus), Salta (SAETA), Tucumán (Ciudadana y Metropolitana) y La Rioja (Sirve). Los sistemas de descuentos en farmacias se vieron interrumpidos y luego alterados durante semanas.

El grupo de ransomware Medusa atacó a mediados de año a la Comisión Nacional de Valores (CNV). A pesar de que en un comunicado oficial la entidad que regula los mercados argentinos había asegurado que no había datos sensibles comprometidos, el 1.5 TB de información que subieron demostró lo contrario: había una gran cantidad de documentos de carácter confidencial.

En agosto se realizaron las elecciones primarias en Argentina (PASO). En la Ciudad de Buenos Aires, se hicieron mediante boleta única electrónica. Además de que el sistema fue un fracaso, generando demoras innecesarias en la votación (que estaba desdoblada en dos sistemas, ya que la nacional era con papel), la Fundación Vía Libre había advertido que este sistema era muy difícil de auditar, y también problemático en varios sentidos relacionados a la seguridad. Para las elecciones generales, el gobierno porteño desistió de este sistema.

En Agosto viajé a DEFCON para cubrir, junto a Black Hat, el Hacker Summer Camp. Dos argentinos expusieron en la Hardware Hacking Village una vulnerabilidad severa en una cámara de vigilancia muy vendida en Argentina. “Si un atacante quisiera, podría aprovechar esta vulnerabilidad para usarla como en La Gran Estafa y reemplazar evidencia en vivo al mejor estilo Hollywoodense”, explicó uno de los researchers.

Otro de los casos pesados del año, con mucho impacto en medios nacionales. El grupo de ransomware Rhysida le filtró del PAMI 831 GB de información, entre la que había historias clínicas, datos personales y mucha información sensible de la entidad que gestiona las jubilaciones y pensiones. El grupo Pedía 25 BTC. El caso circuló en radio, TV, periódicos y tuvo mucho impacto.

IFX Networks, ISP y proveedor de servicios en la nube en distintos países de América Latina, sufrió un ataque de ransomware que desencadenó un efecto dominó sobre la cadena de suministro. Chile y Colombia fueron los más afectados, pero el caso desbordó hacia empresas argentinas. Pude hablar con compañías afectadas que contaron el alcance de la situación.

Un nuevo round entre Mercado Pago y el Banco Central sumó un episodio más a las regulaciones para las fintech. En este caso, la discusión por el sistema DEBIN reavivó la seguridad de las cuentas y el riesgo que conlleva tener asociada una cuenta bancaria para ingresar dinero de manera directa. A fin de año iba a dejar de regir ese sistema, pero en una demostración de poder del fundador de Mercado Libre, Marcos Galperín, la medida se postergó hasta marzo de 2024.

El grupo de ransomware Knight (ex Cyclops), publicó un lote de información con 21 GB de datos de un usuario privilegiado del Hospital Italiano. A diferencia de la enorme cantidad de filtraciones de datos que hubo durante los últimos años en Argentina -con OSDE a la cabeza en lo que refiere a salud-, en este caso, afortunadamente, no hubo datos de pacientes.

Sheila Berta, hacker argentina reconocida internacionalmente por sus investigaciones en seguridad ofensiva, expuso una charla técnica sobre diversos honeypots en entidades de Gobierno y oficiales. El dato de color: mostró unos que usa la AFIP y, entre los asistentes a la charla, había técnicos de la entidad recaudadora de impuestos. No hicieron preguntas, aunque tuvieron la posibilidad de hacerlo.

El Octavo Foro de Seguridad Informática de ESET Latinoamérica, que se realizó en Punta del Este (Uruguay), fue un buen repaso de las tendencias en materia de ciberseguridad del año. El rol de Telegram como bazar de ciberdelito, junto al concepto de "commodity malware", fueron algunos conceptos destacados de los dos días de charlas. Dark News participó del evento.

A pocos días del cambio de presidente en Argentina, una imagen con una contraseña de la Casa Rosada se hizo viral en redes sociales. Se trataba de la clave de WiFi que usan los periodistas. Más allá de que después la cambiaron, una fuente explica qué preguntas dispara este tipo de prácticas y qué peligros puede conllevar en una institución de Gobierno.

El sitio de Dafiti, empresa de ecommerce con fuerte presencia en América Latina, apareció listado en su presunta sede argentina en la dark web del sitio de un grupo de ransomware. Lo llamativo es que se trata de una agrupación muy poco conocida, llamada Dragon Force. Hipótesis sobre este actor de amenazas.

La Universidad de Buenos Aires recibió el viernes de la semana pasada un ciberataque de ransomware. Por esta situación, el sistema -llamado Guaraní, entre otros- se tornó inaccesible para alumnos y profesores. Este miércoles comenzaron a levantar los servicios, pero algunos como UBA XXI, el rectorado y hasta la obra social de personal de la universidad, DOSUBA, siguen sin funcionar correctamente. Hay expectativa porque este viernes los docentes deberían cobrar los aguinaldos.