Argentina se encuentra en emergencia de protección de datos, con filtraciones del PAMI en 2023, del Renaper y la DNRPA en 2024, por nombrar algunos ciberataques que afectaron a millones de personas. Las razones son variadas: falta de planificación, ausencia de regulación actualizada para proteger a los ciudadanos y hasta desconocimiento, no solo de profesionales en el área y de quienes ocupan cargos públicos, sino también de los ciudadanos que no saben que sus datos privados otorgados a entidades del Estado circulan por todo el mundo.
En esta ocasión el objetivo fue el gobierno de San Luis y el ciberataque tiene como autor a “Valerie” que anunció una filtración de 120.000 registros del Plan de Viviendas el 22 de mayo, poniéndolos a la venta en la dark web. Estos registros incluyen emails, DNIs, domicilio, nivel de ingresos y otra información relacionada con la evaluación de dicho plan para la asignación.
Más inquietante aún es que en la base de datos filtrada se incluye si los solicitantes tienen miembros discapacitados en la familia y si están sufriendo una situación de violencia de género, probablemente para asignar prioridades. Los investigadores de Birmingham Cyber Arms detectaron la venta de la base de datos el día 14 de Junio, y según anunciaba el ciberdelincuente también conocido como “Val”, inicialmente se acercaron a compradores privados, pero al no tener interés decidieron hacer la venta de forma pública.
Hecho el anuncio, a los pocos días, la propuesta de venta desapareció, lo que hace suponer que la base de datos efectivamente fue vendida.
Oficialmente el hackeo no existió
Las fuentes oficiales de la gobernación respondieron rápidamente a las consultas de C5N, indicando que no se ha reportado ningún incidente por lo que no darán un comunicado oficial a la población y que la base de datos filtrada podría corresponder a la gestión anterior. También comentaron que la nueva administración no tiene acceso a las bases de datos existentes antes de asumir en diciembre de 2023.
¿Cómo podemos analizar estas declaraciones? En primer lugar, la filtración sí existió; hemos tenido acceso al sample, es decir, una muestra de la base con los 120.000 registros que el ciberatacante usó para demostrar la veracidad de la base de datos que estaba vendiendo.
captura pantalla2
Web de solicitudes a planes de vivienda.
En segundo lugar, hemos insistido en la importancia de comunicar a los afectados, ya sea porque se inscribieron en el Plan de viviendas o a la población de la provincia de San Luis, sobre este ciberataque. La venta sucedió en la gestión actual, lo que implica que información extremadamente sensible podría utilizarse para realizar actos maliciosos de ingeniería social.
Quien tenga acceso a la información podría contactarse por email haciéndose pasar por un organismo público y amenazar con quitar protección en el caso de una víctima de violencia de género, o quitar una asignación, en caso de una familia con personas discapacitadas, y de esta manera usar la técnica phishing haciendo hincapié en la urgencia. Por eso resaltamos una práctica útil con costo cero: comunicar efectivamente a los ciudadanos para que se encuentren atentos a posibles amenazas dirigidas.
Sobre responsabilidades y un plan de ciberseguridad ¿trunco?
En 2023 se sancionó el Plan de Ciberseguridad de la provincia. Algunos de sus objetivos son:
- Desarrollar procesos de investigación y análisis que permitan identificar vulnerabilidades, amenazas y riesgos en el uso, procesamiento, almacenamiento y transmisión de activos de información.
-Identificar y priorizar las inversiones y recursos necesarios en materia de ciberseguridad (...) con el objetivo de disponer de un proceso efectivo y eficiente para identificar y proteger activos de información; así como para detectar y responder a ciberamenazas y garantizar la recuperación ante incidentes cibernéticos.
-Fomentar el tratamiento multinivel de la ciberseguridad, promoviendo la coordinación y cooperación entre el Estado Provincial y el Estado Nacional, otros estados provinciales y Gobiernos Municipales de la provincia de San Luis .
captura pantalla3
Sample de la base de datos a la venta y campos de datos de los ciudadanos.
Tal como nos comentaron desde fuentes oficiales, las bases anteriores a diciembre de 2023 no están disponibles. Por otro lado, la filtración de información sucede en junio de 2024. Los ciudadanos afectados tienen derecho a conocer lo sucedido.
Mientras que la oposición apunta al ciberataque como táctica de golpe a la ineficacia, la gestión actual omite el ataque y sus graves ramificaciones, como hemos indicado, por la ingeniería social, haciendo foco en que la filtración pudiera corresponder a la administración anterior.
Una alternativa, tal vez esperanzadora y desde una mirada democrática open source colaborativa, sería la oportunidad de trabajar en conjunto, la actual gestión con la anterior, para proteger los derechos de las personas e identificar a los ciberdelincuentes.
En Argentina aún falta de una normativa o protocolo que obligue a las entidades que sufren un hackeo a comunicar a los posibles damnificados (en Estados Unidos deben informar los ataques del tipo ransomware en forma pública) mantiene la incertidumbre y potencia la proliferación de estafas digitales de todo tipo.
