Rastreo de pasajeros en Argentina: advierten sobre los peligros de registrar la tarjeta SUBE
La tarjeta para viajar podría exponer información personal, se filtran 26 mil millones de datos, Microsoft y HP fueron atacados por APT29 (vinculado a Rusia) y condenan al admin de Breach Forums.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
19>26
ene
⚡ TL;DR
Un tema de agenda infosec saltó el cerco de los medios especializados esta semana y circuló por diarios y sitios web de noticias en Argentina: el seguimiento de ciudadanos a través de la tarjeta de transporte público SUBE.
Se trata de una discusión que ya se había dado años atrás y que, a partir de los aumentos en los servicios en una nueva medida de ajuste fiscal del presidente Javier Milei, volvió al centro de la escena. Trackear los movimientos de los usuarios representa para muchos un problema para la privacidad y es una práctica cuestionada en diversos países del mundo.
El tema cae casi justo con una efeméride que es en dos días, 28 de enero, Día Internacional de Protección de Datos Personales. En este sentido, es interesante el dato que compartió Kaspersky esta semana, a raíz de una investigación en la que reveló que “más de la mitad de los usuarios en América Latina (55%) desconoce si existe alguna ley en su país para proteger los datos personales en Internet. Así lo afirman el 70% de chilenos, 68% de argentinos, 57% de peruanos, 48% de mexicanos, 46% de brasileros y el 41% de colombianos”. Al mismo tiempo, casi un 13% de los usuarios regionales no sabe cuáles son sus derechos en la materia, agregan.
Más allá de estos números orientativos (las encuestas, siempre, son sesgadas), el tema del seguimiento de usuarios de transporte público conlleva una sensibilidad en un país en el que entidades públicas como el Registro Nacional de las Personas (Renaper), el PAMI, el Ministerio de Salud y otras dependencias estatales sufrieron filtraciones de datos importantes que, una vez que circulan, no tienen vuelta atrás.
El plano global también estuvo alineado con el problema de los datos personales: investigadores encontraron un data breach con 26 mil millones de registros que van desde LinkedIN, Twitter y Adobe hasta miles de organizaciones. A pesar de que lo bautizaron MOAB, “Mother of All Breaches”, y de que produjo títulos sensacionalistas, la noticia necesita contexto: la mayoría de esa información ya estaba circulando. También Trello comunicó que se expusieron datos de 15 millones de usuarios.
Microsoft y Hewlett Packard reportaron hackeos en sus sistemas con un denominador común: las dos compañías apuntan a un threat actor patrocinado por Rusia, APT29 (Cozy Bear o, bueno… “Midnight Blizzard”)
El plano regional registró algunas filtraciones reportadas en redes sociales, pero destaco una nota sobre estafas publicada por el colega Mariano Vidal, a quien le empezaron a llegar mensajes a WhatsApp en los que le ofrecían, básicamente, ganar plata. El periodista, que siguió muy de cerca el caso Generación Zoe en Argentina y hasta hizo un podcast sobre el tema, fue down the rabbit hole para entender mejor cómo funcionaba este scam y publicó un muy buen reportaje.
Sumo también algo que me compartieron diversos hackers esta semana. Se trata de un documento de la Electronic Frontier Foundation (EFF) que expresa preocupación por el borrador del Tratado de Cibercrimen que propone Naciones Unidas que, advierten, podría entorpecer o dificultar el research. Dejo el enlace para quienes quieran firmar la petición.
Por último, cuento algo personal que impacta en Dark News: hoy, viernes, salgo de viaje para el programa International Visitor Leadership Program (IVLP) del Departamento de Estado de los Estados Unidos.
La beca arma diversos programas y uno es específicamente de ciberseguridad. Cuento esto porque gran parte de las reuniones de las que voy a participar son off the record, lo cual significa, en EE.UU., que esas conversaciones “no existieron” (es distinto a Argentina, donde el off se usa como un “deep background”). Y esto implicará que podré publicar poco de lo que se vea en el programa o que, en el mejor de los casos, demandará destrabar cierta burocracia para llevarme material para el regreso.
El programa tiene, además, una apretada agenda por diversas ciudades y, por este motivo, no tengo del todo claro si voy a poder seguir la agenda semanal como hago siempre. Por esto, tengo material “de parrilla”, como decimos en las redacciones, para cumplir con los envíos semanales, aunque sin desarrollo en profundidad de la coyuntura. Es probable que la agenda de actualidad pase a ser un resumen en bullets, como la sección que habitualmente cierra esta publicación.
Leer este correo te va a llevar 13 minutos
Esta entrega cuenta con el apoyo de:
Bloka provee servicios de Security Operations Center-as-a-Service (SOCaaS) y Servicios de Seguridad Gestionados (MSS). Está conformado por un grupo de expertos en ciberseguridad y destacan una “seguridad continua, inteligente y adaptativa para empresas en Argentina, Uruguay, España y otras regiones”.
💳 Polémica por el seguimiento de usuarios de la tarjeta de transporte SUBE
El Gobierno argentino anunció a principios de año un aumento en el transporte de la zona del Área Metropolitana de Buenos Aires (AMBA) que se aplicará mediante una tarifa diferenciada para quienes no tengan registrada la tarjeta SUBE. El sistema se utiliza para pagar el colectivo, tren y subte en esta región desde 2011.
Más allá de la medida, enmarcada en un paquete de legislaciones que dominan la agenda de un agitado enero como hace tiempo no ocurría en el país -en la redacción comentamos que parece marzo-, el aumento en el transporte tuvo un corolario relacionado a la protección de los derechos personales.
La mecánica, según anunció el Ministerio de Infraestructura, implica que desde febrero habrá que registrar la tarjeta a nombre de cada ciudadano para no pagar la tarifa total con la suba en el importe. Esto implica que, quien no registre la tarjeta, deberá abonar un costo de transporte más alto.
Beatriz Busaniche, presidenta de la Fundación Vía Libre y especialista en privacidad y derecho a la información, publicó un artículo en El Diario AR en el que expresa la preocupación por este tema, y se puede resumir a los siguientes puntos que detallan qué estarían entregando los ciudadanos al registrar la tarjeta:
El registro de la tarjeta sube implica la entrega de una serie de datos personales a quienes administran el servicio. Entre los datos personales que se informan está, por supuesto, el nombre y apellido así como el género, el mail y el DNI de la persona usuaria. Sin embargo, a esto hay que sumar que la SUBE traza y registra los recorridos que realice cada persona cuando la utiliza. Cada colectivo que tomamos, a qué hora y en qué lugar, cada tren, dónde subimos, donde bajamos, toda nuestra trayectoria cotidiana registrada en una base de datos centralizada bajo la órbita del Estado Nacional.
Quienes trabajamos los temas vinculados a libertades individuales, derechos humanos y privacidad sabemos que toda tecnología que pueda ser usada para la vigilancia será en algún momento utilizada para tal fin y que no todas las estrategias de vigilancia se basan en tecnologías específicas.
El mundo de la vigilancia se nutre especialmente de dispositivos y sistemas que sirven a otra función (como en este caso, abonar el transporte de pasajeros). No es el objetivo de la tarjeta SUBE establecer un mecanismo de vigilancia sobre quienes la usan, pero es un efecto colateral grave que puede derivar de la voluntad de quienes lo implementan o de la simple negligencia.
El derecho a ser dejados en paz, a construir un proyecto de vida alejado de la injerencia del Estado o de terceros que puedan inmiscuirse en la vida y la libertad de una persona quedan relegados exclusivamente a quienes acepten pagar un precio por esos derechos.
La tarjeta SUBE nominada implica un trazado exhaustivo de todos nuestros movimientos cotidianos y una invasión inaceptable a la privacidad de las personas.
En consonancia el Día Internacional de Protección de Datos Personales (28 de enero), Busaniche recordó:
Los datos personales son fundamentales en la economía actual, permiten inferir consumos, definir políticas, dirigir estrategias de comunicación, prever situaciones diversas y eso tiene un gran valor económico. Pero aún los datos individuales pueden tener valor más allá de la cuestión económica: la vigilancia de personas específicas no es una novedad en nuestro país donde los sistemas de Reconocimiento Facial en la vía pública y la interceptación de comunicaciones se ha usado para vigilar políticos, magistrados, periodistas y activistas sociales. En cualquier momento, una persona de a pie puede convertirse en una persona de interés para alguien. Con los datos de la SUBE, trazar sus rutinas se torna absolutamente sencillo.
Por supuesto, queda en pie el problema de cómo segmentar tarifas de acuerdo a poder adquisitivo para generar un impuesto progresivo y no regresivo. Pero la gestión de datos sensibles ha demostrado tener problemas durante los últimos años, a través de múltiples filtraciones de datos y ataques de ransomware recibidos por entidades públicas. Cierra la especialista:
Si hay algo que caracteriza al Estado argentino es la baja o nula capacidad de custodia de los datos personales recolectados en múltiples áreas que ya fueron vulneradas un gran número de veces. Desde el Ministerio de Salud hasta el Renaper, oficinas públicas de todo nivel han sufrido ataques y perdido a manos de sus atacantes las bases de datos, muchas veces sensibles, de la ciudadanía. La exigencia legal de seguridad de la información es difusa y no cuenta con estándares exigibles de control.
Busaniche llama a reconsiderar cómo el Poder Ejecutivo, a cargo de una fuerza libertaria, “impulsa una medida que a las claras avanza sobre la privacidad y el proyecto personal lejos de la mirada vigilante del Estado”.
💧 Bautizan a una filtración de 26 mil millones de registros como la “madre” de todas
Investigadores de seguridad descubrieron 26 mil millones de registros expuestos en internet, bautizando al descubrimiento MOAB: Mother of All Breaches. Se trata de un leak de múltiples fuentes como LinkedIn, Twitter, Weibo, Tencent y otros servicios que manejan datos personales, contraseñas, usuarios y más, en una instancia de 3.800 carpetas.
La noticia fue recogida en diversos medios especializados con cierto tono de advertencia y, si bien estos titulares sirven para generar conciencias sobre la no reutilización de contraseñas y su cambio regular, necesita algo de contexto: gran parte de la información es lo que se conoce como rewash. Es decir, que alguien los juntó de un breach anterior en un “pack” y los publicó.
Por ejemplo: “Hay cientos de millones de registros de Weibo (504M), MySpace (360M), Twitter (281M), Deezer (258M), Linkedin (251M), AdultFriendFinder (220M), Adobe (153M), Canva (143M), VK (101M), Daily Motion (86M), Dropbox (69M), Telegram (41M), y muchas otras empresas y organizaciones”, publicó Cyber News. Pero agregaron:
Aunque el equipo identificó más de 26.000 millones de registros, también es muy probable que haya duplicados. Sin embargo, los datos filtrados contienen mucha más información que simples credenciales: la mayoría de los datos expuestos son sensibles y, por tanto, valiosos para los actores maliciosos.
El alcance de la filtración todavía está por verse, pero hay registros ya conocidos (los de MySpace son de 2012, los 151 millones de MyFitnessPal, de 2018 y así hay más ejemplos).
Esta misma semana, Trello, una herramienta de trabajo colaborativo muy usada en el mundo corporativo y de proyectos laborales, informó una filtración de 15 millones de cuentas.
La conclusión, a fin de cuentas, es asumir que nuestros datos están circulando en algún foro underground, más allá de los titulares. En todo caso, estas noticias funcionan como un recordatorio para chequear regularmente nuestra información en servicios como Have I Been Pwnd o MeFiltraron.
🪟 Breachean la red de Microsoft mediante password-spraying: APT29 está detrás
La red corporativa de Microsoft se vio comprometida a finales de noviembre de 2023 por un actor de amenazas relacionado a Rusia: APT29, o Cozy Bear, renombrado por la compañía con sede en Redmond como Midnight Blizzard.
Según la empresa, el breach no se detectó hasta el 12 de enero y, en particular, el grupo de atacantes buscaba saber qué información tenía Microsoft en sus sistemas sobre ellos mismos:
A partir de finales de noviembre de 2023, el actor de amenazas utilizó un ataque de password spray para comprometer una cuenta de prueba y luego utilizó esos permisos para acceder a un porcentaje muy pequeño de cuentas de correo electrónico corporativo de Microsoft, incluidos los miembros de nuestro equipo de liderazgo senior y empleados de ciberseguridad, legal y otras funciones, y exfiltró algunos correos electrónicos y documentos adjuntos. La investigación indica que buscaban información relacionada con la propia Midnight Blizzard. Estamos en proceso de notificar a los empleados a cuyos correos electrónicos se accedió.
Durante esta semana, Hewlett Packard Enterprise también dio a conocer un ataque por el mismo actor, APT29, y lo informó a través de un 8-K ante la Securities and Exchange Commission (SEC).
👩⚖️ Condenan al administrador de Breach Forums a 20 años de libertad condicional
Conor Brian Fitzpatrick fue condenado a 20 años de libertad bajo supervisión por administrar el conocido foro underground BreachForums, conocido por la compra-venta filtraciones de datos personales.
Fitzpatrick, que operaba en Internet bajo el nombre de "Pompompurin", fue acusado en marzo de 2023 por su implicación en el robo y venta de información personal sensible perteneciente a "millones de ciudadanos estadounidenses y cientos de empresas, organizaciones y agencias gubernamentales estadounidenses y extranjeras".
En un memorando de sentencia presentado por los fiscales estadounidenses el 16 de enero, el gobierno de EE.UU. pidió 188 meses -aproximadamente 15 años y medio- de prisión para Fitzpatrick. Sin embargo, informó VX-Underground, los tribunales condenaron a Fitzpatrick a 20 años de libertad condicional.
Como parte de las condiciones de la sentencia, Fitzpatrick cumplirá los dos primeros años de su puesta en libertad en arresto domiciliario con un localizador GPS y recibirá tratamiento de salud mental. Tampoco podrá utilizar Internet durante su primer año en libertad y deberá permitir que el agente de libertad condicional instale un software de vigilancia en su computadora.
El acusado no tendrá ningún acceso a Internet durante el primer año de su libertad supervisada. Después de ese año, el acusado no venderá ni ofrecerá la venta de ningún artículo en Internet para otra persona o entidad sin la aprobación previa y la autorización del tribunal o del agente de libertad condicional. Esto incluye, pero no se limita a, la venta de artículos en sitios de subastas en internet.
El sitio, antes Raid Forums, se encuentra dado de baja desde marzo del año pasado.
🪝 Phishing vía el soporte de wallets frías Trezor
Trezor, fabricante de wallets frías para criptomonedas, emitió un aviso de seguridad después de identificar una campaña de phishing que solicitaba a los usuarios actualizar sus datos bajo la advertencia de poder perder sus fondos, en una activa campaña de phishing.
El diseño de la estafa apuntaba a imitar soporte técnico y pedía la frase de 24 palabras que, en poder de un atacante, puede comprometer activos en tanto esta información permite restaurar la wallet de la víctima hacia cualquier dispositivo compatible con BIP39.
La empresa dice que hay una investigación en curso, pero no encontró ninguna evidencia, hasta el momento, de que los activos digitales de los usuarios hayan sido comprometidos en el incidente.
"Queremos hacer hincapié en que ninguno de los fondos de nuestros usuarios se han visto comprometidos a través de este incidente. Su dispositivo Trezor sigue siendo tan seguro hoy como ayer", aseguraron.
Sin embargo, datos personales como nombres, usuarios y correos electrónicos de 66 mil usuarios podrían haberse expuesto. Sobre teléfonos, direcciones físicas y otros datos de identificación, la compañía no se expresó, aunque dice que “cree” que no fueron impactados.
🔗 Más info
Sancionan a un ciudadano ruso por su participación en el ransomware contra Medibank, lo vinculan a REvil
Sentenciaron al autor de Trickbot
Reportan una base de datos filtrada de tarjetas de crédito de Argentina
Explotación masiva de VPNs de Ivanti está infectando redes en todo el mundo
LockBit anunció a Subway entre sus víctimas
La SEC confirmó que el robo de su cuenta de Twitter (X) fue por no tener MFA
Abusan de Team Viewer para lanzar ataques de ransomware
Un grupo hacktivista turco hizo un defacing en cines de Tel Aviv
Twitter anuncia passkeys para iOS
NSO Group hace lobby por Pegasus en Washington