Qué datos hay en las filtraciones masivas en Argentina: análisis de los archivos del Renaper y las licencias de conducir
Qué se sabe de los accesos a sistemas internos del Estado argentino, Trigona confirma el ransomware al Municipio de Morón (Buenos Aires) y rebranding de HelloKitty.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
12>19
abr
⚡ TL;DR
Abril será recordado como el mes de las filtraciones en el Estado argentino: en tres semanas se leakearon fotos de documentos de ciudadanos, imágenes de licencias de conducir y datos de la base de datos del Registro Nacional de las Personas (Renaper).
La información la fui publicando en Clarín y acá durante estas semanas, pero esta última fue muy desafiante a nivel personal: escribir para el diario, dar clases, cursar una diplomatura en ciberseguridad e intentar dar un plus en Dark News fue todo un journey (por no decir: me demolió). Pero creo que el objetivo al que apunta un newsletter de nicho se pudo cumplir esta semana: hacer un análisis a fondo de qué información se filtró. Sabiendo que, por el tamaño, va a ser indefectiblemente parcial.
La dificultad más grande a la hora de informar leaks pasa por chequear la información: el leaker, ¿tiene la información que dice que tiene? ¿Puede ser contactado? ¿Habla de su hackeo? ¿Qué busca cuando expone las vulnerabilidades de los sistemas y, a la vez, causa un enorme daño a la población? ¿Qué datos puso en circulación? ¿Son nuevos o son un rewash?
En algunos casos, los leakers hablan. En otros, es difícil entender quién está detrás (en esto, ciertos lectores seguro sepan más que yo). Pero más allá de esta cocina del periodismo, en esta entrega recapitulo lo que pasó, qué se sabe y qué se puede ver en ambas filtraciones de esta semana, tanto de las licencias de conducir como las del Renaper. Como pasaron muchas cosas y hay mucho para analizar, decidí hacer una suerte de explainer de ambos casos, más allá de los dos reportajes que publiqué en Clarín (licencias / Renaper).
A nivel global hubo bastantes noticias, aunque por cuestiones de espacio, voy a enumerarlas en el punteo del final. Los últimos mails que envié se pasaron de largo y los clientes de correo suelen acortarlos. Rescato en el último apartado algunos datos de grupos de ransomware que me parecieron interesantes.
Por último, por estas filtraciones decidí hacer en el diario una nota bastante explicativa sobre qué riesgos se corren cuando se filtran datos personales. Es algo que los expertos en ciberseguridad dan por sentado, pero nunca está de más hablar con fuentes, entre ellos abogados -para entender cuestiones de responsabilidades- para recordarlo.
Leer este correo te va a llevar 12 minutos.
El SSD externo Kingston XS1000 es una solución de respaldo de archivos que cuenta con velocidades de hasta 1.050MB/seg y altas capacidades de hasta 2TB, lo que proporciona una gran velocidad y espacio para almacenar los datos más valiosos. Viene con cable USB Type-C a Type-A para ofrecer una comodidad inigualable y una impresionante capacidad de almacenamiento.
🪪 Base de datos del Renaper: suben un posteo y aseguran que hay 65 millones de registros
Qué pasó
Durante el miércoles, comenzó a circular un enlace con un posteo en el que un usuario dice tener datos de 65 millones de registros del Renaper. Estaba alojado en Breach Forums, histórico sitio donde se comercializan y ofrecen datos personales (cuyo admin cayó en marzo del año pasado, aunque el sitio siempre se las rebuscó para respawnear). Nos llegó a periodistas y gente del ambiente. El licenciado en sistemas Cristian Borghello publicó la información en X.
El usuario que subió el posteo asgura tener la totalidad de los registros del Renaper. Esto es: todos los datos de los documentos e información de los ciudadanos, no sólo actuales, sino pasados, y también información del sistema interno. Y, según el leaker, están a la venta huellas digitales y foto. Al momento de publicación de esta entrada, el posteo sigue online.
De dónde salió la filtración
Los datos, según el posteo original, fueron extraídos de “Chutro”, el sistema interno del Renaper. Dato: Dr. Prof. Pedro Chutro 2798, en el barrio porteño de Parque Patricios (a una cuadra y media del estadio de Huracán), es la dirección física del Renaper.
El atacante tendría acceso a una parte del código fuente. Por la envergadura de la información, analistas no descartaron que pueda haber un insider.
Un especialista encontró que los .onion subidos en el posteo del leaker podría estar vinculado a un servidor de Gualeguaychú:
Uno de los .onion es vulnerable a “path transversal”, lo que significa que puedo moverme por directorios a los que no estaba propuesta la aplicación, puedo listar archivos del sistema y de configuración por esta vulnerabilidad. En este caso no se podía sacar la IP, ya que solamente era listamiento. Si bien no puedo confirmar que sea un sitio específico de Gualeguaychú, es por relación en ciertos nombres de archivos que lo infiero, algunos están con la misma nomenclatura que el sitio oficial.
Qué hay en la filtración
Muchísima información. El primer dato llamativo es que está alojado en .onion, un formato habitual en la dark web (que en este caso tiene una versión con proxy .pet), algo que no es muy común en el foro Breach Forums, donde suelen subirse enlaces de descarga.
Ahora bien, revisar el leak lleva tiempo, primero, por el tamaño de algunas carpetas. Y segundo, por la cantidad de bases de datos que hay cargadas. En función de esta información, hay dos grandes categorías de datos: las de los ciudadanos por un lado, y las de Chutro, el sistema informático del Renaper, y sus APIs.
El dumpeo de información parece haberse hecho desde MySQL.
Esto es lo que se puede analizar en relación a las personas:
Se puede ver nombre, apellido, fecha de nacimiento, fecha de fallecimiento (cuando el ciudadano está vivo arroja “null”) y número de DNI. En esta base puntual no hay firma número de trámite, firma, ni foto. En otra base sí hay número de trámite, mail y domicilio.
Los últimos documentos extraídos llegan a un número cercano a los 59 millones, lo que no se condice con los 65 millones de registros que puso el leaker en el posteo.
Hay carpetas que tienen información de Covid-19 de pasajeros, lo cual probablemente tenga que ver con los controles migratorios de la pandemia (hasta detalles de notificaciones por SMS y números de vuelo).
Hay una base de datos con domicilios de extranjeros viviendo en el país.
Hay información de personal de Armada con documento, nombre completo y rango militar. Esto es uno de los datos más llamativos, ya que abre a la pregunta de si la información fue un intercambio entre el Renaper y fuerzas militares.
En cuanto a la información extraída del sistema interno del Renaper, se puede ver:
Keys de terceros: esto es una de las cuestiones que más preocupó al ambiente de la ciberseguridad argentina. Por cadena de suministro, si el Renaper está comprometido, esto puede afectar a entidades que consultan al registro (bancos, fintechs, Correo Argentino, otras dependencias estatales como el Ministerio de Salud, etc.). “De todos modos, esas claves ya deben estar expiradas”, explicó otro analista a este medio.
Dark News contabilizó cerca de 349 entidades que “hablan” con la API de Renaper, es decir, 349 entidades cuyos datos de inicio de sesión quedaron registrados en el volcado de datos. Estas claves también deberían estar expiradas.
Hay una carpeta llamada “webservice” que contiene archivos php. Allí está el código de las APIs del Renaper y pueden verse las credenciales para conectarse a las bases de datos SQL, de dónde pueden haberse exportados todos los datos de estas APIs.
De 1610 operadores con cuenta en este sistema interno del Renaper, 378 tenían password 1234: esto se puede ver por el hash md5 81dc9bdb52d04dc20036dbd8313ed055 listado en uno de los archivos del leak, que se corresponde con esa contraseña. Acá, la información que se puede extraer de las contraseñas más repetidas en el sistema:
La información subida de los registros de los operadores de Chutro llega hasta julio de 2022.
No hay código fuente de Chutro, pero sí conectores de APIs. Tampoco hay huellas digitales.
Hay un dato de color y es el primer DNI registrado, o al menos del que la base de datos tiene registro: 24 (sí, 24 a secas), mujer: Narcisa Cleomedes Amaya, nacida el 17 de septiembre de 1933 (este dato está publicado online, ver).
Al momento de publicación de esta entrega, los links de descarga de la información estaban caídos.
Qué dijo el Gobierno
A través de voceros de la entidad afectada, el Gobierno Nacional negó que hubiera un hackeo. Consulté al Ministerio del Interior, que mandó este mensaje y luego lo publicó en las redes del Renaper: “Además de que no se detectó ningún hackeo, los expertos de seguridad del organismo remarcaron que la capacidad necesaria para obtener la información de 65 millones de personas requeriría de una infraestructura similar a la fábrica de DNIs del Renaper y una cantidad de hardware cercana a la adquirida por el Gobierno nacional, dando por descartado que la información sea real. Asimismo, implicaría una capacidad de almacenamiento de 500 teras de storage, fuera de la escala de un hackeo”.
Probablemente el Gobierno tenga que dar más explicaciones a este tema, debido a que en casos de esta envergadura los legisladores nacionales suelen hacer pedidos de información, además de los correspondientes procesos judiciales que puedan venir.
Penas por robar información
Esta semana aproveché para consultar qué penas rigen en Argentina por robos de información y parecen bastante bajas: según el artículo 32 de la ley 25.326, van de un mes a dos años de prisión.
Telecom ofrece servicios de Firewall para Empresas y Pymes, orientados a resolver las principales necesidades de seguridad dentro de una red.
🚗 Filtran datos de licencias de conducir
Qué pasó
Un usuario puso a la venta un archivo con 5.7 millones de archivos que contiene imágenes de licencias de conducir argentinas. El filtrador provocó al mundo de la política: publicó una muestra donde se pueden ver los permisos para manejar de famosos, entre ellos, el Presidente de la Nación, Javier Milei, y varios funcionarios. Además, subió una muestra de 70.000 registros en formato JSON. La información la dio a conocer Birmingham Cyber Arms , empresa que reporta filtraciones, en X.
Y de “yapa”, registros de conducir de famosos: Ricardo “El Chino” Darín, Luisana Lopilato, Peter Lanzani, Guillermo Francella, Marcelo Tinelli, Ángel de Brito y políticos como Patricia Bullrich, Mauricio Macri y hasta Javier Milei.
En la portada del leak estaban estos tres políticos, con sus licencias con todos los datos expuestos.
De dónde salió la información
En este caso fue el mismo usuario que filtró fotos de argentinos extraídas del Renaper a principios de mes y de usuarios de Nosis la semana pasada.
El atacante entró al sistema, armó un script para extraer los datos de cada registro y los fue guardando en JSON. Luego subió todo a Telegram. Esta vez intentó subirlo a un foro de compraventa de datos, pero por restricciones del sitio, tuvo que dejarlo sólo en la aplicación de mensajería.
Qué se filtró
Imágenes de licencias de conducir del territorio argentino, que van desde los 20 a los 40 millones de registros. “Ese rango conforma el grupo donde los ciudadanos tienen más licencias, quise extraer el máximo posible sin que se dieran cuenta, y se terminaron dando cuenta”, aseguró el leaker. Hay excepciones de algunos políticos y famosos que el atacante extrajo de manera puntual, que no están en ese rango.
Los registros para conducir en Argentina tiene número de DNI, fecha de nacimiento, nombre completo, domicilio, firma, grupo sanguíneo y hasta si el ciudadano es donante.
Qué dijo el Gobierno
El Gobierno aseguró que "este hecho fue alertado en el momento por el equipo de seguridad informática y eso posibilitó que se tomen los recaudos necesarios para frenar el acceso a esa información y bloquear futuros hackeos". Además, aseguraron que "no se encuentra comprometida información sensibles de los ciudadanos". Y hablaron de "un grupo de hackers profesionales", a pesar de que el atacante fue un sólo usuario.
🥷 Trigona confirma el ransomware contra el Municipio de Morón
A fines de marzo, el Municipio de Morón contó a través de un comunicado de prensa que “todo el sistema informático” había sido “hackeado”. El analista
(X) habló con un operador de Trigona Ransomware y confirmó el ataque de este grupo.Trigona viene demostrando actividad en América Latina: en febrero llevaron a cabo un ataque contra la empresa de telecomunicaciones Claro Centroamérica. A principios del mes pasado, se atribuyeron el ataque.
“Las redes informáticas y telefónicas utilizadas por el Municipio de Morón para el funcionamiento de todas sus áreas, así como para el acceso a Internet, fueron hackeadas mediante un proceso conocido como ransomware, que secuestra datos, los encripta y extorsiona para devolverlos”, explicó el Municipio en el comunicado.
Trigona maneja distintas cepas, que fueron analizadas a mediados del año pasado por Trend Micro:
Los threat actors de Trigona serían parte del mismo grupo que está detrás del ransomware CryLock, debido a las similitudes en sus TTP. También se los ha relacionado con el grupo ALPHV (BlackCat), aunque creemos que las similitudes entre Trigona y el ransomware BlackCat son solo circunstanciales, en el mejor de los casos. Una posibilidad es que ALPHV colaborara con los threat actors que desplegaron Trigona, pero que en realidad no participaran en su desarrollo y funcionamiento.
BlackCat sufrió un takedown a fines del año pasado.
🐱 FBI: Akira ransomware recaudó 42 millones; HelloKitty se rebrandea
Según un trabajo de diversas autoridades, entre ellas el FBI, CISA, el Centro Europeo de Ciberdelincuencia de Europol (EC3) y el Centro Nacional de Ciberseguridad de los Países Bajos (NCSC-NL), el ransomware Akira logró entrar en redes de más de 250 organizaciones y recaudó unos 42 millones de dólares en rescates.
Akira, que apareció públicamente en marzo de 2023, se consolidó como uno de los grupos más relevantes del año pasado, luego de crear un encrypter de Linux para atacar máquinas virtuales VMware ESXi, de uso extendido en empresas.
Como siempre, los números son para tomar con pinzas, en tanto esta “task force” está conformada por entidades que tienen sus intereses y, además, los números del ransomware siempre tienden a estar subrepresentados. El informe completo se puede leer en este enlace.
Además, el grupo HelloKity se habría rebrandeado a HelloGookie, con un nuevo sitio en la dark web, según informó el analista @3xp0rtblog en X: “Gookie, autor de este ransomware, manda saludos a LockBit por la posible competencia. También recuperó el acceso a su cuenta perdida en el foro Exploit”, aseguró.
Habrá que ver cómo se despliega la relación entre los grupos, luego de la reconfiguración que el takedown de las grandes estructuras de los últimos meses generó.
🔗 Más info
Descubren una falla en el cliente SSH PuTTY que permite levantar llaves criptográficas
Explotan un zero day de Palo Alto Networks
Roku da a conocer un breach en más de medio millón de cuentas
Dos robo cripto grandes: en el protocolo Zest y la plataforma Grand Base
Europol da de baja una de las plataformas más grandes de Phishing-as-a-service: LabHost
Kaspersky analizó el builder de Lockbit
PHP lanza una actualización sobre la vulnerabilidad BadBatBut
Firefox lanzó la versión 125 con arreglos en su seguridad
Nuevo reporte sobre XZ
Es increíble que tengan acceso a todo del RENAPER. Más allá si fue un insider, el poder acceder a múltiples bases de datos, permitir que el sistema tenga claves no seguras, etc. deja todo en evidencia: no es por paranoico, no podés confiar en dejar los datos de los ciudadanos al estado. Cuánto más saben, más jugoso es el leak y más expuestos quedamos a todo tipo de estafas. Pueden jugar por años con toda la población...
Mí pregunta es: qué podemos hacer los ciudadanos comunes que no entendemos nada al respecto de tecnología pero que estamos atravesados por ella? Porque sí tenemos mpago, cuenta dni, etc etc y aunque pongamos la contraseña más segura del mundo te la sacan igual, y te pueden sacar créditos y utilizar tus servicios como si nada.
Es una pavada pero a mí me han sacado hasta las cuentas de servicios de streaming y han pedido autos en otros países. No entendía nada hasta que caí porqué pasó. Fue todo un tema asegurar que yo no fui quien hizo esos movimientos.
Gracias por contar todo esto, estamos muy desinformados lamentablemente y necesitamos más gente como vos que nos cuente qué está pasando con nuestra información y hacía dónde va a parar. Saludos!