Hackeo contra el sitio oficial de Argentina: entrevista con el atacante
Hicieron un defacement contra el sitio web argentina.gob.ar. Aseguran que no es político usaron una clave filtrada porque el sistema no tenía segundo factor (MFA). Dicen tener datos personales.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
26
dic
⚡ TL;DR
Durante la noche del miércoles el sitio oficial de Argentina sufrió un defacement. Hablé con el atacante para entender cómo entró y qué lo motivó. Entrevista en tándem con Clarín.
⏰ Substack dice que leer este correo completo lleva 6 minutos
Dark News #119
Habló el hacker que atacó el sitio del Gobierno: cómo entró a Mi Argentina y por qué lo hizo
Durante la noche del miércoles, se cayeron argentina.gob.ar, Mi Argentina y más de 20 sitios del Gobierno. En lugar de ver el contenido original de las páginas, se veía un video clip y un mensaje recordando hackeos pasados. Y a pesar de que la gestión de Milei habló del “estado deplorable” de las gestiones anteriores en materia de ciberseguridad, el hacker que accedió al sitio explicó a Dark News cómo entró: el sistema vulnerado no tenía segundo factor de autenticación.
El hackeo ocurrió cerca de las 22 horas de este miércoles. En ese entonces, los sitios oficiales mostraban otro contenido distinto al que debían mostrar y las páginas de trámites de Mi Argentina, Tarjeta Sube u otros destinados a renovar el DNI o pasaporte, se veían alterados. Los mismos problemas presentaba la mayoría de los espacios destinados a "Documentación", "Tránsito y Transporte" y "Trabajo y Empleo", y los links de la sección “Más temas”.
Dark News se contactó con el hacker, que explicó el contexto del ataque y negó de manera categórica que la motivación sea política. “Somos dos personas diferentes y no hay ningún grupo involucrado ni mucho menos se trata de política esto. Lo hicimos por diversión. Yo soy gov.eth y, mi compañero, h4xx0r1337”, explicó uno de ellos vía Telegram.
“No tiene nada que ver con política esto y mucho menos con esas conspiraciones de los libertarios en Twitter. Es cualquiera, leí todo. Somos dos pibes que estábamos aburridos y pudimos hacerlo”, agregó gov.eth, quien se dedica de manera profesional al marketing digital y hace estos hackeos “como hobby”.
Además, le confirmó a este medio que tiene datos personales de ciudadanos: “Hay información sensible, no creo que la ponga a la venta”, aseguró.
Los datos personales se comercializan para cometer diversos tipos de ciberdelitos, entre los que se encuentra la suplantación de identidad, que puede usarse para conseguir accesos no autorizados o realizar ingeniería social.
Cómo entraron al sitio
Lo que hicieron se llama “defacement” (en inglés, “desfigurado”) e implica el cambio del contenido original de un sitio. Y, si bien desde la gestión de Milei, la Secretaría de Innovación, Ciencia y Tecnología se refirió al incidente como la consecuencia de una “falta de inversión” de gobiernos anteriores, el hackeo a nivel técnico fue bastante simple: entraron a un servidor que no tenía segundo factor de autenticación.
La verificación de dos pasos, conocida como MFA o 2FA, implica que no basta con poner una contraseña para acceder a un sistema, sino que hay que corroborar con una segunda medida que uno dice ser quién es: un correo electrónico, una clave de acceso único vía Google Authenticator o datos biométricos (huella digital o reconocimiento facial, por ejemplo).
Los atacantes encontraron que un servidor no tenía segundo factor y pudieron entrar, luego de probar con una clave filtrada previamente: “Accedimos mediante una credencial filtrada que conseguimos de una página de pruebas del Gobierno y entramos con el mismo login de pruebas al back de argentina.gob.ar. De ahí nos pasamos permisos con una cuenta de administrador superior”, explicó uno de los atacantes a este medio.
“Hackeamos la VPS [servidor en la nube], teníamos acceso a absolutamente todo, los códigos backup estaban regalados”, agregaron. Y confirmaron que esa VPS no tenía segundo factor.
El segundo factor de autenticación es una medida clave para evitar este tipo de accesos no autorizados. “Cuando se habla de autenticación múltiples factores, se refiere en general a más de uno de los siguientes factores: conocimiento (lo que uno sabe), posesión (lo que uno tiene) e inherente (lo que uno es). El primer factor refiere a contraseñas, pin, claves, etc., que se basan en algo que debemos recordar”, explica a este medio Iván Barrera Oro (Hackan), desarrollador de software especializado en seguridad informática.
“El segundo refiere a un dispositivo único que poseemos, como una llave compatible con FIDO, un teléfono celular, SMS, una aplicación digital, etc.; y el último, refiere a lo que nos identifica unívocamente entre otros seres humanos respecto de la biometría, como ser la voz, el iris, la huella dactilar”, sigue. Además, remarca que “no es muy común que un servicio requiera de más de dos factores para autenticar a un usuario”.
Además de tener el segundo factor activado, es importante guardar las claves de recuperación en un lugar seguro: si el servicio que se protege es crítico, los números deberían estar por escrito, no online en un documento (que también puede ser accedido).
Hackeos al Estado
El tuit de la Secretaría de Innovación, Ciencia y Tecnología apunta a la desinversión en ciberseguridad de las gestiones pasadas. Los casos, en rigor, le dan la razón: durante 2024, el Estado fue atacado en diversas oportunidades, desde una base de datos de licencias de conducir hasta el Renaper. Sobre el final del año, la Comisión Nacional de Energía Atómica sufrió un ciberataque de ransomware.
Si se revisa el último lustro, cada año hubo un caso emblemático de un ciberataque: 2019, Policía Federal (La Gorra Leaks); 2020, Dirección Nacional de Migraciones; 2021, 60 mil DNIs del Renaper; 2022, Senado de la Nación; 2023, Pami y Comisión Nacional de Valores y 2024, 65 millones de registros del Renaper.
La información robada suele terminar en foros clandestinos y se comercializa con distintos fines.
Este newsletter fue escrito por un humano. Para cualquier comentario, corrección o sugerencia de cobertura de temas, podés responder este mail. Se acepta (y agradece) todo tipo de feedback.