Mercado Libre vs. Banco Central: nuevo round, ahora sobre el riesgo del sistema DEBIN
Mercado Pago controló la narrativa y el Gobierno dio marcha atrás, robo de datos de Sony, filtración de datos en Enargas, abren datos de las elecciones y el robo cripto más grande del año.
SecOps es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
22>29 sept
💰 Mercado Pago vs. Banco Central: la discusión por el sistema DEBIN y la seguridad de las cuentas
El Banco Central de la República Argentina (BCRA) anunció este lunes un cambio en el mecanismo para ingresar dinero a billeteras virtuales. Dos días después, el Ministro de Economía y candidato a presidente por Unión por la Patria, Sergio Massa, ordenó al Central derogar la medida. En un round más de la pelea entre bancos tradicionales y Fintech, se puso sobre la mesa el debate sobre la seguridad de las aplicaciones en las que se manejan dinero: la gran mayoría de los usuarios usa el sistema llamado DEBIN para ingresar dinero a sus billeteras virtuales.
Explicó Ariel Setton, experto en medios de pago y uno de los economistas que más claro explica estas cuestiones técnicas:
DEBIN es un débito inmediato en donde todos pueden poner un CBU y extraer fondos de cualquier cuenta propia y ese permiso queda guardado para seguir extrayendo dinero a futuro. Lo positivo es que es súper fácil de manejar y sólo podés “traer” plata de cuentas tuyas. Pero esto también tiene un potencial problema: no es reversible. Desde el banco que vos usás no tenés forma de cortar esa transferencia de dinero. Entonces cuando a alguien le roban el celular y tiene una billetera virtual como Mercado Pago, el delincuente puede abrir la app, usar DEBIN desde una cuenta bancaria del usuario y no solamente vaciar los fondos de la cuenta de Mercado Pago sino también de las cuentas bancarias asociadas.
La pregunta sobre la seguridad del sistema es válida por los números que difunden desde la Cámara de las Fintech: este tipo de transferencias es utilizado cada mes por más de 4 millones de usuarios, que realizan un promedio de 7 transacciones mensuales.
Lo que el BCRA había dispuesto era que desde el 1 de diciembre no corriera más el sistema de débito inmediato (DEBIN) y pasarán a usarse las “transferencias pull”, ya disponibles en apps como Ualá. Esto desató un cruce entre el creador de Mercado Libre y Mercado Pago, Marcos Galperin, y el ente que regula a las instituciones bancarias.
El punto es que DEBIN fue concebido como un sistema de transferencias inmediatas pero se terminó transformando en un método de fondeo de cuentas: muchos usuarios pasan su dinero a billeteras virtuales como Mercado Pago porque generan un rendimiento. Más allá de la pelea entre la banca tradicional y las fintech, la medida que había anunciado el Central está en concordancia con normas europeas:
El sistema financiero está intentando resolver este problema y lo hacen con el sistema de 'transferencias pull', que es el open banking en Europa o lo que quiere implementar Brasil. Esto significa dos cosas: primero, que para dar de alta a una app como Mercado Pago o cualquier otra billetera virtual, no sólo tengas que tener el CBU sino, la primera vez, un factor de autenticación completo, como ser el login del banco, DNI, contraseña, usuario y el token de seguridad, para acreditar 100% que sólo pueda fondear plata el titular legítimo de la cuenta.
Este punto es importante: el sistema DEBIN no requiere todo este proceso de autenticación. Con sólo introducir un CBU de una cuenta bancaria propia, la app ya permite el flujo de activos desde la banca tradicional a la billetera virtual.
Pero además, hay un segundo punto clave. Lo explica Setton:
La otra parte superadora es que, en este caso, las transferencias pull, son reversibles en cuanto a sus permisos: una vez que le das permiso a Mercado Pago, el permiso se mantiene, pero si te roban el teléfono, podés ir a una computadora y cortar esos giros de plata desde Mercado Pago o cualquier billetera virtual desde tu online banking. De esa forma interrumpís un poco el robo de dinero contra las personas a las que les robaron dispositivos.
Por supuesto, el proceso agrega un paso de fricción y es ese el punto en el cual se queja Mercado Pago, que salió a decir que el sistema “pull”, según sus propios testeos, es más engorroso.
Más allá de la medida electoralista de Massa de dar marcha atrás, la discusión por el sistema DEBIN sigue en pie en cuanto a las estafas. Sugirió Setton:
En vistas de la posición de Massa, sería más recomendable dar un plazo de adaptación para que los usuarios hagan el onboarding en transferencias pull de entre 6 y 9 meses, manteniendo DEBIN como instrumento de fondeo, de manera que vivan ambos, para luego limitar el DEBIN a su objetivo inicial: ser un medio de pago.
La pelea entre BCRA y Mercado Pago sirvió, de todos modos, para recordarles a los usuarios que el segundo factor de autenticación es el método más seguro para evitar el compromiso de cuentas: no sólo de las aplicaciones bancarias, sino de las redes sociales, correo electrónico y todo lo que tenga información personal que pueda ser usado en nuestra contra.
🔥 Posible filtración de datos en Enargas
Un usuario puso a la venta información interna de usuarios que corresponderían a datos de Enargas, la entidad que se encarga de la regulación, control, fiscalización y resolución de controversias en relación al servicio público de transporte y distribución de gas de la República Argentina.
SecOps se contactó con chum1ng0, analista de seguridad chileno que encontró la filtración y alertó sobre la situación en X Twitter, para saber más sobre esta información:
Un usuario puso a la venta datos que dice que son de 600.000 usuarios de Enargas, algunos con passwords, en un foro de hacking. Sería una base de datos con registros con contraseñas, como también accesos FTP y una shell.
Según publicó el medio especializado en energía Econo Journal, el Gobierno minimizó la filtración bajo el argumento de que se trata de una base que corresponde a 2011 y que, como tal “no posee información relevante”. Además, aseguran que “ya iniciaron gestiones para intentar recomprar la base de datos sustraída”.
“Si la información a la venta es legítima, algo va mal desde el momento en el que un usuario vio la puerta abierta para explotar la filtración y se paseó por los sistemas como si nada. Sin dudas es grave porque es una entidad pública”, explicó el analista.
Desde la entidad aseguraron que “no se trató de un hackeo” y que el archivo “está vinculado a los cargos tarifarios establecidos en el Decreto 2067 a los usuarios de la distribuidora Litoral Gas”.
“También, sostuvieron que «el documento fue obtenido de forma offline, y que pudo tenerlo o quedárselo algún exempleado del ente». Asimismo, advirtieron que no se han filtrado claves de gerencias ya que detallaron que estas no existen y que cada usuario ingresa al sistema con una contraseña distinta”, reconstruyó el medio especializado.
Más allá de la época a la que se remita el leak, el caso se suma a la enorme cantidad de incidentes que se van reportando con el paso del tiempo en relación a entidades argentinas. El repaso completo se puede recordar en esta línea de tiempo que actualiza Marcela Pallero, experta en filtraciones de datos personales.
🕵 Hackers aseguran que entraron a “todos los sistemas de Sony”
Sony inició una investigación por un presunto ataque de ransomware en el que un actor de amenazas afirma que logró vulnerar los sistemas de la compañía.
La particularidad del ataque es que, en primer lugar, las negociaciones por el pago del ransomware ya se habrían caído y el grupo que dice haber entrado a los sistemas está vendiendo la información a cualquier usuario que la pague. Todavía no compartieron información, sino screenshots, razón por la cual no está claro si tienen los datos o no.
En total hay más de 3,14 GB de datos sin comprimir, alojados en un conocido foro de compraventa de datos personales e información filtrada, pero son sólo imágenes. Este es el mensaje que el grupo compartió en su sitio de la dark web: “Hemos comprometido con éxito todos los sistemas de Sony ¡Los datos no están disponibles para su rescate! Los vamos a vender, debido a que Sony no quiere pagar. LOS DATOS ESTÁN A LA VENTA”.
Ahora bien, todo esto de RansomedVC fue refutado por un actor malicioso que utilizaba el alias 'MajorNelson', quien publicó en BreachForums un mensaje desmintiendo que el grupo sea el responsable.
Sobre RansomedVC, Resecurity publicó un informe sobre lo que se sabe de este grupo que ya atacó “importantes jugadores del mercado japonés”.
La semana pasada, Microsoft sufrió una filtración por un error de un equipo interno de la compañía, que delató los planes de la empresa en el mercado del gaming, en relación a Xbox. Sony podría correr el mismo destino si el ataque es verídico, y si hay información sobre PlayStation entre los datos que presuntamente lograron robar.
🗳 Abren datos de las elecciones desde 2011 hasta la fecha
La Dirección Nacional Electoral (DINE) publicó como datos abiertos los resultados electorales desde 2011 hasta las PASO de agosto de 2023. Se pueden consultar en el sitio de datos abiertos del Estado Nacional.
La medida es un paso adelante en el pilar de transparencia de lo que se conoce como Gobierno Abierto, una política que apunta a hacer que los datos públicos sean más accesibles a la ciudadanía y tengan menos fricción para ser consultados.
Según anticipó la entidad a SecOps, desde este jueves “ya está disponible información que, si bien era pública, no formaba parte del catálogo de datos abiertos oficial”. Además, esto permite acceder a datos más específicos, como consultar mesas electorales de colegios.
“A dichos datos no se podía acceder de manera desagregada tal como se puede acceder ahora ya que en la web se venían publicando en diversos formatos y bajo diversos criterios por lo general sin llegar al nivel de mesa”, explicaron a este medio desde el Observatorio Político Electoral (Ministerio del Interior).
“Ahora se va a poder acceder vía el portal de datos abiertos del Estado Nacional y mediante el sistema de publicación de resultados electorales en el cual los mismos pueden consultarse de manera interactiva, ser descargados y permite la elaboración de informes comparativos”, agregaron.
SecOps consultó a Florencia Caffarone, codirectora de Democracia en Red:
Es una excelente noticia que publiquen esta información en formatos abiertos y reutilizables. Actualmente hay algunos privados que sistematizaron estas bases, pero esto es información pública, por lo tanto debe estar publicada por el Gobierno de forma accesible para cualquier persona
La especialista, por otro lado, advirtió que todavía resta ver exactamente cómo están disponibilizados esos datos:
Hay que ver qué tan accesible está la información realmente. Según lo que comunican oficialmente, dicen que van a incluir información complementaria para poder entender los datasets, esto es clave, porque muchas veces se publican las bases pero no se explica cómo analizarlas (usan códigos que no explican qué son, por ejemplo) y eso es una barrera para acceder, ya que sólo pueden analizarla quienes tienen más conocimientos técnicos para limpiar esos datasets, o vienen trabajando temas electorales hace muchos años.
Se puede revisar la base de datos en este enlace.
🪙 Mixin: el robo cripto más grande del año
La plataforma de criptomonedas Mixin suspendió sus operaciones después de que sufriera un robo de casi 200 millones de dólares. La empresa asegura que el ataque tuvo lugar después de que los atacantes obtuvieron acceso a su infraestructura en la nube.
Mixin afirmó en julio que su red descentralizada tiene más de un millón de usuarios. Tiene su propia moneda, conocida como Mixin o XIN, cuyo valor se hundió cuando se difundió la noticia del breach.
“Los servicios de depósito y retiro en Mixin Network han sido suspendidos temporalmente. Después de la discusión y el consenso entre todos los nodos, estos servicios se reabrirán una vez que se confirmen y solucionen las vulnerabilidades”, explicó la empresa en X Twitter.
La compañía dice que ahora está trabajando con la firma de seguridad blockchain SlowMist y la división Mandiant de Google para investigar el incidente. Abrió un programa de bug bounty por 20 millones de dólares.
🚀 Nerdearla, décima edición: gratis, en el Konex
Esta semana arrancó la décima edición de Nerdearla. Participan cerca de 200 “speakers” nacionales e internacionales, en la convención organizada por una comunidad argentina de sistemas, autodenominada “sysarmy”, y que apunta a un público amplio: “Habrá competencias de cubos Rubik, talleres de robótica para niños de 7 a 14 años, juegos de mesa, lucha y fútbol con robots, talleres de sesgos y UX para chicas a partir de los 13 años”, contaron.
En particular, en el “track” de seguridad (SEC) hubo este jueves una charla interesante de Sergio Vieyra, de Accenture, donde hizo un paralelismo esclarecedor entre las películas y series de hollywood y los escenarios de hacking actuales.
Durante este viernes participará Octavio Gianatiempo, investigador argentino que hablará de un caso específico de hardware hacking (Voltage glitching), y SecOps estará presente: vamos a exponer con Mauro Eldritch una investigación sobre QRLOG, un malware identificado por el hacker que terminó en una investigación publicada en Diario Clarín.
🔗 Más info (links externos)
CISA lanza un framework de hardware para gestionar ataques a la cadena de suministro
El sistema de reservas de vuelos ruso sufre un ciberataque masivo
El conteo de víctimas de incidentes por MOVEit ya pasó los 2 mil
Hackers revelan documentos secretos sobre protestas en Irán
Microsoft explicó en detalle las funciones de seguridad que suma la última actualización de Windows 11
Fortinet está analizando a dos versiones de un ransomware llamado Retch y SHO
La ciudad de Fort Lauderdale, en Florida, sufre un ataque BEC y le cuesta 1.2 millones de dólares