Nueva filtración del Renaper: qué se sabe de la difusión de más de 114 mil fotos de argentinos
Además: XZ es el caso del backdoor del año, Trigona confirmó el ransomware a Claro (piden 5 millones) y Google va a borrar los datos que trackeó en modo incógnito.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
29 mar>
5 abr
⚡ TL;DR
La vuelta del interregno de las Pascuas fue con todo. A nivel local y global. La novela XZ llenó titulares infosec durante todo el fin de semana y, en Argentina, una filtración de imágenes de ciudadanos extraída del Renaper agitó las discusiones por el cuidado de los datos que maneja (o no) el Estado.
El caso del Renaper recuerda a otros accesos no autorizados a la entidad, pero tiene sus particularidades. El lunes pasado, un usuario cargó a Telegram alrededor de 114 mil imágenes de fotos con caras robadas del Registro Nacional de las Personas y, por la dimensión del leak, hice un reportaje en Clarín.
No es la primera vez que una base de datos del Renaper se filtra. En octubre de 2021, un usuario publicó datos personales de ciudadanos argentinos, que incluían documentos con fotos y números de trámite y llegó a subir 60.000 entradas en un archivo de 2.7 GB. La información se correspondía con los documentos en su versión digital de manera completa, a diferencia del archivo filtrado esta semana, que sólo tiene las fotos tomadas en el momento de la emisión del documento.
En esta entrega, analizo la información disponible a partir de fuentes técnicas, la versión del Gobierno y lo que se puede inferir por el dumpeo de los archivos. “El atacante fue descuidado, dejó muchos rastros”, me dijo una fuente en off.
Sin dudas el tema global que interrumpió la tranquilidad de los días no laborables fue el backdoor en XZ. En resumen, es un caso interesantísimo porque se trata de una vulnerabilidad que encontró un ingeniero en un pack de utilidades muy usadas en el ecosistema Unix, que afecta principalmente a distribuciones Linux. “Es entre un alto bardo, una mojada de oreja a los developers de Linux y un culebrón, todo junto”, me resumió bastante bien una fuente.
A nivel regional, apareció un lote de 100 documentos de Uruguay en un foro de compraventa de datos (intel: chum1ngo), y el proveedor de conectividad y datacenters Ixmetro Powerhost de Chile sufrió un ataque de Ransomware (intel: Germán Fernández).
Además, se confirmó que el ransomware que sufrió Claro Centroamérica en febrero de este año fue llevado a cabo por Trigona (dan 30 días y piden 5 millones de dólares en BTC, a pesar de que ya pasó un mes y medio del incidente).
Hubo una actualización interesante sobre la demanda colectiva contra Alphabet (Google) por trackear a usuarios en modo incógnito y la empresa tuvo que dar el brazo a torcer: no sólo pagar, sino borrar la información.
Leer este correo te va a llevar 16 minutos
El SSD externo Kingston XS1000 es una solución de respaldo de archivos que cuenta con velocidades de hasta 1.050MB/seg y altas capacidades de hasta 2TB, lo que proporciona una gran velocidad y espacio para almacenar los datos más valiosos. Viene con cable USB Type-C a Type-A para ofrecer una comodidad inigualable y una impresionante capacidad de almacenamiento.
🪪 Publican más de 114 mil imágenes del Renaper
Un archivo con más de 114 mil fotografías de ciudadanos argentinos fue presuntamente extraído del Registro Nacional de las Personas (Renaper) y publicado para descargar gratis el lunes pasado en un foro de compra-venta de datos personales y en la app de mensajería Telegram.
Los datos personales se comercializan para cometer diversos tipos de ciberdelitos, entre los que se encuentra la suplantación de identidad, que puede usarse para conseguir accesos no autorizados o realizar ingeniería social. Las fotos son codiciadas para algunas aplicaciones fintech que validan identidad de manera 100% digital.
En 2021, el Renaper fue noticia cuando un usuario consiguió un acceso y filtró datos de 60 mil argentinos como una prueba de que, aseguraba, tenía en su poder registros de todos los habitantes.
Dark News se contactó con el Ministerio del Interior, entidad bajo la que se encuentra el Renaper, y confirmaron que están al tanto de la situación. Según fuentes del organismo, “corresponde al incidente del Ministerio de Salud de 2022, y los datos fueron extraídos con claves habilitadas por usuarios” de esa cartera.
“Eran usuarios habilitados que sacaron información para venderla, ahora se cambió el sistema”, aseguraron. En 2022, el Ministerio de Salud tuvo un acceso no autorizado al Registro Único de Audiencias (RUA), que depende del Ministerio del Interior. Sin embargo, Renaper no tuvo nada que ver con ese incidente, con lo cual no queda clara la explicación oficial. Más tarde, y tras la publicación de Clarín, comenzaron a decir que tenía que ver con el acceso de 2021.
Según pudo confirmar este medio, la información que se subió el lunes con las imágenes está comprimida en un .rar y es una carpeta que contiene archivos identificados cada uno con el número de documento o pasaporte al cual se corresponde la foto. Hay identificaciones que van desde la numeración de los 10 hasta los 57 millones, con lo cual, hay imágenes de menores.
Explicó a Dark News Mauro Eldritch, director de Birmingham Cyber Arms, empresa que reporta filtraciones de datos:
Se trata de un lote de 116.459 archivos extraídas del Renaper. Pesa 2.2GB y está disponible en un canal de Telegram y en un foro. Cada foto tiene como nombre el número de DNI o pasaporte al que pertenece, por lo que resulta simple unir un rostro con un nombre.
De esos 116.459, 2.283 dan error, con lo cual las fotos disponibilizadas por el atacante son 114.176.
El investigador asegura, por otro lado, que “el lote fue volcado desde mayo de 2023 hasta hoy. Además, ningún archivo tiene la marca de agua del Renaper, lo cual permite que sea reutilizado en otras plataformas”, agrega.
A fines del año pasado, la Unidad Fiscal Especializada en Ciberdelincuencia señaló un alza de ciberdelitos en Argentina, con 35.447 reportes, 353 investigaciones preliminares y 854 asistencias a fiscalías.
Ante este tipo de filtraciones, el Estado debería notificarlo ante la Agencia de Acceso a la Información Pública (AAIP). De hecho, a fines de 2022 el Congreso aprobó un convenio llamado 108 que, a pesar de que requiere el pliego de otros países para que entre en vigor, también insta a los organismos a hacer públicos estos incidentes.
Explicó Marcela Pallero, Responsable del Programa STIC de la Fundación Sadosky, a Dark News:
Desde 1999 existe en Argentina un CERT, o equipo de respuesta ante incidentes, y recomienda que los organismos de la Administración Pública Nacional reporten sus incidentes. Lamentablemente nunca hubo campaña de comunicación o sanción ante incumplimientos, ni aún luego de la Decisión Administrativa 641 del 2021 que hacía este requerimiento obligatorio. Sería interesante ver una colaboración entre las autoridades de ciberseguridad y protección de datos personales como sucede en otros países de la región.
Chile aprobó, a fines del año pasado, la primera ley de ciberseguridad de América Latina, por poner un ejemplo.
A partir de analizar los archivos, hay algunas cuestiones a destacar que permiten inferir cómo actuó el atacante:
Se trata de un .rar que tiene un archivo (un readme con el canal de Telegram donde se subió) y una carpeta con 116.459 archivos.
Muchos de esos archivos pesan “cero” y no se pueden abrir, de lo que se puede interpretar que el atacante recibió algún error al descargar ciertas imágenes y que no las borró en el comprimido.
Todo indica que usó una API, un script hecho de manera manual, para descargar los archivos, debido a la lógica secuencial que tienen tanto los nombres de archivo como los días y horarios a los que fueron descargados.
El último archivo PNG fue agregado el 3 de mayo de 2023. El readme, fue sumado el 1 de abril de este año, de lo que se puede inferir que el volcado se hizo hace casi un año y, el rar, hace cuatro días.
Los primeros archivos del sample se crearon el 29 de abril de 2023, que fue sábado. La mayor cantidad de archivos fueron creados a las 4:56 AM del 30 de abril de 2023 (3513 elementos creados en ese minuto). El domingo 1 de mayo hay otra descarga considerable, también de madrugada (5:22 am) y feriado. Los días y horarios de descarga sugieren que se inició el proceso fuera de horarios laborales.
Según la metadata del archivo, se usó Windows para realizar la operación (esto se puede modificar).
Las secuencias de documentos tienen interrupciones. El servidor podría tener un detector anti hammering, es decir, un sistema para evitar una descarga masiva de la base de datos.
En la metadata de las imágenes no hay información para saber si los archivos se tomaron del Renaper. Debido a que diversas dependencias del Estado consultan a la entidad, no se puede confirmar si la filtración vino por el Registro Nacional de las Personas o por una entidad oficial que se comunica con ella.
Tras la publicación en Clarín del tema, diversos medios levantaron la noticia. El Gobierno no dio a conocer si realizó una denuncia o no.
👾 XZ: qué pasó y por qué se agitó todo el mundo infosec
Durante el fin de semana pasado, una noticia sacudió al mundo de la ciberseguridad, los medios especializados y, sobre todo, las redes sociales: el backdoor encontrado en XZ, un paquete de utilidades que se encuentra en una gran cantidad de distribuciones de Linux. Hay muchísima información dando vueltas, motivo por el cual hay decidí ordenar la discusión y consultar expertos.
Primero, qué pasó: Andres Freund, un meticuloso ingeniero de Microsoft se dio cuenta de que su login estaba tardando medio segundo más de lo normal. Él mismo aclaró en X (Twitter) que, en rigor, no fue por ese pequeño delay que lo detectó, sino a partir de una serie de fallas en la autenticación SSH. Cuando se puso a investigar, descubrió la puerta trasera instalada en su equipo y envió un correo al equipo de seguridad de Linux (que se puede ver en este enlace).
Dark News consultó a Sheila Berta, hacker argentina y Head of Research and Development en Dreamlab, para entender por qué el caso sacudió tanto a los researchers:
Es un ataque a la cadena de suministro (supply chain), alterando maliciosamente XZ utils, especificamente su librería liblzma. El backdoor tenía como objetivo el servicio de SSH, pero no fue introducido directamente en alguno de los software más utilizados para ello, como OpenSSH -de hecho, OpenSSH ni siquiera utiliza la librería infectada-.
Cómo pasó: una de las patas más interesantes del caso es que hay una pata muy fuerte en ingeniería social. El paquete de XZ lo mantiene históricamente un usuario llamado Lasse Collin. Hace casi dos años, aceptó ayuda de otro usuario llamado “JiaT75”, o Jia Cheong Tan, que hizo la primera contribución al código fuente. ¿Por qué? Porque estaba luchando con problemas de salud mental, según escribió en un correo electrónico (se puede ver en este enlace).
Todo este ida y vuelta en el código no sólo se puede ver en GitHub sino que algunos reseachers como Evan Boehs se tomaron el trabajo de ordenarlo para trazar un posible perfil del atacante.Como sea, ahí estaba el huevo de la serpiente, ya que fue cuando se depositó el backdoor.
Por qué: JiaT75, el atacante, escaló en niveles de confianza con el autor de la libreraía. Berta explica su objetivo:
El plan fue introducir el backdoor en liblzma porque varias distribuciones Linux de las más populares agregan un "patch" al servicio "sshd" que permite a systemd ejecutar el servicio - en este caso sshd - al iniciar el sistema. Systemd sí utiliza liblzma, y esto permitiría que XZ utils pueda modificar sshd para habilitar un acceso no autorizado al sistema.
El objetivo es que, mediante el ataque, se pueda realizar una ejecución de código remoto (RCE). Cerró la especalista en seguridad ofensiva:
El ataque estuvo muy bien pensado, fue un "trabajo de hormiga" para lograr el objetivo. Lo sofisticado del plan y lo casual que fue su descubrimiento nos ha hecho plantear a todos en el mundo de la seguridad informática cuántos de estos se habrán logrado introducir con éxito de esta manera y seguirán ahí sin ser descubiertos aún.
En cuanto a las distribuciones de Linux afectadas, por el momento son:
Hay otras distribuciones que no confirmaron estar afectadas pero se sospecha que son vulnerables (Alpine Linux, Gentoo, Slackware, PCLinuxOS).
En cuanto a cómo nadie vio este backdoor, Teno, hacker argentino, aportó una buena explicación a Dark News, primero, por el lado de la confianza el usuario que introdujo el backdoor:
Hay un tema de confianza en la fuente. Por un lado, se puede auditar y recontra auditar un código fuente de XXX aplicación en repositorios de código abierto, porque justamente el código está ahí. Todos confían en que el código fuente, ya compilado, da como resultado el binario (ejecutable) de dicha aplicación. Todos confían porque... "seguramente alguien ya lo leyó y lo analizó".
Hay una segunda cuestión que tiene que ver con las capacidades técnicas y lo complejo que puede ser auditar cambios en códigos.
Por otro lado, tenemos el factor de complejidad a la hora de compilar nuestro código. No todo el mundo sabe compilar, resolver dependencias, etc. Incluso, escalando, no sé -del mundo linuxero- cuántos verifican la integridad de una ISO al descargarla, para prevenir que se instale un SO con algún tipo de malware, con backdoors, etc. Esos dos lados, sumados, dan como resultado un potencial muy grande de inseguridad. Escalado esto al mundo de desarrolladores "hard-core" en efecto, se confió en que el binario compilado era el reflejo de un código fuente "limpio" y no se auditaron los archivos accesorios (los test files) para dicha compilación, en donde realmente estaba el backdoor.
Por último, dejo un detallado timeline que explica el caso (lo hizo Russ Cox, director del lenguaje de programación de Google Go), además de un análisis. También se publicó un exploit que funciona como prueba de concepto del backdoor (vía Anthony Weems). Valdrá la pena tener a mano para los arqueólogos de malware.
Y para terminar, hay discusiones sobre la atribución del ataque, aunque nada seguro. El reconocido analista Michał Zalewski (lcamtuf) apuntó en su Substack lo que todos piensan, pero fundamentado: quien está detrás de esto no es un amateur.
Si esta cronología es correcta, no es el modus operandi de un aficionado. En el mundo actual, si se tienen los conocimientos técnicos y la paciencia necesarios, se puede conseguir fácilmente un trabajo de por vida sin riesgo de ir a la cárcel. Es cierto que también hay gente brillante con tendencias sociópatas y sin control de sus impulsos, pero casi por definición, estos grupos black hat buscan la gratificación instantánea y no planean los ataques con años de antelación. En otras palabras, todos los indicios apuntan a que se trata de una operación profesional y remunerada, y no sería de extrañar que fuera pagada por un actor estatal [APT].
Atribuir, de todos modos, es por el momento prematuro.
La vulnerabilidad quedó archivada bajo el CVE-2024-3094 y tiene una severidad de 10 puntos.
Telecom ofrece servicios de Firewall para Empresas y Pymes, orientados a resolver las principales necesidades de seguridad dentro de una red.
🔍 Google acordó borrar los datos de usuarios que trackeó en modo incógnito
Alphabet, empresa matriz de Google, había acordado a principios de 2024 pagar 5 millones de dólares por una demanda colectiva que sostenía que el navegador de la compañía invadió la privacidad de sus usuarios al rastrearlos incluso cuando usaron modo incógnito en sus navegadores. Ahora, accedió a borrar la información.
Esta forma de navegar no guarda cookies, historial ni inicios de sesión y por esto se plantea como privada. Esta semana, la empresa aceptó eliminar miles de millones de registros y someterse a algunas restricciones en su capacidad para rastrear a los usuarios, según los términos del propuesto acuerdo legal, que pretende resolver la demanda colectiva presentada en EE.UU. en 2020.
En enero, poco después de que ambas partes anunciaran su intención de llegar a un acuerdo, la empresa actualizó su información para dejar claro que seguía rastreando los datos de los usuarios incluso cuando éstos optaban por realizar búsquedas privadas o utilizar su modo "incógnito".
Alphabet apoyó el acuerdo, pero rechazó las acusaciones que le demandaron 5 mil millones de dólares, y la eliminación de datos también se aplicará fuera de Estados Unidos.
🥷 Trigona confirmó el ransomware a Claro Centroamérica y pide 5 millones de dólares
A principios de febrero de este año, Claro, uno de los operadores de telecomunicaciones más grandes de Centro y Sudamérica, había confirmado que había sido víctima de un ransomware. El incidente había interrumpido el servicio en diversos países de Centroamérica.
A fines de la semana pasada, el ransomware Trigona agregó una entrada a su lista de víctimas en la que confirmó a Claro como víctima. Con cerca de un mes de plazo, piden 5 millones de dólares.
El ataque, explicaron en su momento, fue detectado a partir de ciertas actividades anómalas el 25 de enero de 2024. Según habían reconocido, se había tratado de un ransomware “en algunos equipos” y se encuentran en proceso de restablecimiento de los servicios de la compañía que es propiedad del multimillonario Carlos Slim.
Hasta el momento, sólo había trascendido en el ambiente de los analistas y redes sociales la nota de rescate que habría recibido la empresa, que era de Trigona. El 30 de marzo de este año, el grupo lo confirmó.
El ataque fue detectado a partir de ciertas actividades anómalas, el 25 de enero de 2024. Los países afectados por el ransomware fueron El Salvador, Guatemala, Nicaragua, Costa Rica, Honduras y Panamá. La empresa tiene más de 20 millones de usuarios en Latinoamérica.
📡 CISA publicó su reporte sobre Storm-0558: “Microsoft fue responsable”
A mediados de 2023, un grupo de ciberdelincuentes aprovechó una falla en los sistemas de correo electrónico de la nube de Microsoft y logró comprometer cerca de 25 cuentas de dependencias del Gobierno de los Estados Unidos y el Pentágono.
Los atacantes, conocidos como Storm-0558 y apuntados por presuntos vínculos con China, habían logrado ingresar mediante Outlook Web Access en Exchange Online (OWA) y Outlook.com “falsificando tokens de autenticación para acceder a las cuentas de usuario”.
Esta semana, el Cyber Safety Review Board publicó un esperado reporte sobre el incidente, donde apuntan a Microsoft como responsable de la intrusión en sus sistemas, en lo que califican como “evitable”. Las conclusiones más destacadas del informe:
Hubo una “cascada de errores evitables” de Microsoft que permitieron el éxito de esta intrusión
Microsoft “no detectó por sí misma el compromiso de sus joyas de la corona criptográfica”
Microsoft no mantuvo los controles de seguridad que ya utilizan otros proveedores de servicios en la nube
Microsoft no detectó un riesgo en la laptop de un empleado de una empresa recientemente adquirida antes de permitirle conectarse a su red corporativa en 2021
Microsoft no corrigió sus declaraciones públicas inexactas sobre el incidente durante meses. La empresa tardó casi seis meses en corregir una entrada de blog de septiembre de 2023, y sólo lo hizo después de que la CSRB “bombardeara constantemente” a la empresa acerca de una corrección
“La cultura de seguridad de Microsoft es casi inexistente” y la empresa no parece dar prioridad a las prácticas de seguridad
La CSRB -utilizando la atribución de Google Threat Analysis Group- vinculó a una entidad dentro del grupo Storm-0558 con los hackeos de Google 2009 y RSA 2011.
🔗 Más info
Investigan a Polonia por casos de spyware Pegasus
CheckPoint Research publicó una investigación sobre el uso de IA en campañas electorales alrededor del mundo
Polémica por un posible zero-clic en Signal
AT&T confirma un data breach de 73 millones de cuentas en la dark web
Microsoft arregla un bug que disparaba alertas de seguridad erróneas en Outlook
Google arregla un zero day en sus teléfonos Pixel: era explotado por empresas forenses
Un centro oncológico de EE.UU. sufre un breach y expone datos de más de 800 mil pacientes
Impecable todo. Sumo un dato, si no me equivoco, Mozilla también declaró que recopila datos de las sesiones privadas. Intenté buscar el mail o nota pero no lo encontré. Pero de seguro que tienen un poco más en cuenta la privacidad que lo que hacían con Chrome en "incógnito".
Wow...
Tremendo todo... Impresionante lectura. Estaba al tanto de los casos muy por arriba, muy buena investigacion agregando cosas para los que solo sabemos de los casos por haber leido algun que otro twit.