El Estado argentino acaba de ser victima por estas horas de un hackeo sin precedentes: la base de datos del Registro Nacional de las Personas (Renaper), que contiene los datos privados de todos los habitantes del país, fue accedido y filtrado en foros de seguridad informática.
Se trata de un evento aún de mayor magnitud que el protagonizado el año pasado por la Dirección Nacional de Migraciones, ya que en esa oportunidad se habían filtrado sólo los datos de quienes ingresaron o salieron del país.
Datos
En efecto, el "DNI Gate" afectaría a los 45 millones de habitantes del territorio que tengan un documento nacional de identidad, ya que se han filtrado:
- Nmeros de documento
- Domicilios
- Número de trámite (que sirve para gestiones como obtener un crédito online)
- Fechas de nacimiento
- Números de celular en algunos casos (en redes se afirma que fue difundido el teléfono del ministro de Seguridad, Aníbal Fernández)
Más allá del ataque a la privacidad de los usuarios, también se los deja indefensos ante robos de identidad, ya que el número de trámite del DNI se exige para la otorgación de créditos online. También es posible que se realicen secuestros virtuales.
Según pudo conocer iProUP, es inminente que la Unidad Fiscal Especializada en Ciberdelincuencia, comandada por Horacio Azzolin, presente una denuncia formal para investigar el hecho.
En efecto, el experto en seguridad informática Javier Smaldone publicó en su Twitter algunas prueba de este hackeo, en el que se puede ver las fotos del DNI de periodistas, famosos y futbolistas. También muestra cómo se filtró su propia imagen.
Sin embargo, el Renaper realizó una denuncia penal ante el Juzgado en lo Criminal y Correccional Federal N°11. Según el indica la dependencia estatal, "mediante el uso de claves otorgadas a organismos públicos, en este caso el Ministerio de Salud, se filtraron imágenes como pertenecientes a trámites personales realizados en el Renaper. Desde el organismo dependiente del Ministerio del Interior se confirmó que se trató de un uso indebido de usuario o robo de la clave del mismo y que la base de datos no sufrió vulneración o filtración alguna".
"El sábado 9 de octubre el Renaper tomó conocimiento de que un usuario de Twitter identificado con el nombre de @aniballeaks -cuenta que fue denunciada y que actualmente se encuentra suspendida- había publicado en dicha red social las imágenes de 44 individuos, entre los cuales se encontraban funcionarios y personajes públicos de conocimiento en general" señala el escrito.
Y añade: "El equipo de seguridad informática del Renaper realizó una consulta sobre las 44 personas involucradas a fin de relevar los últimos consumos realizados mediante el uso del Sistema de Identidad Digital (SID) sobre dichos perfiles, detectando que 19 imágenes habían sido consultadas en el exacto momento que eran publicadas en la red social Twitter desde una conexión autorizada de VPN (Virtual Private Network) entre el ReNaPer y el Ministerio de Salud de la Nación, y todas las imágenes habían sido consultadas recientemente desde esa misma conexión".
Daminificados
Daniel Monastersky y Facundo Malaureille General Partner, de datagovernancelatam y directores de la Diplomatura en Data Governance de la Universidad del CEMA, comentaron a iProUP que "En el 2018 hay una comunicación de la Dirección de Protección de Datos en la que sugiere que la notificación de este tipo de hechos para que se tomen cartas en el asunto, respecto a qué datos se comprometieron y detallar cómo se produce este tipo de filtraciones", señala Monastersky.
Además, agrega que " la normativa argentina en relación a la protección de datos tiene muchos años", y que a diferencia del RGPD Europep hay recomendaciones de informar este tipo de data breaches pero no es obligatorio.
Así lo dispone, el reglamento Europeo de la protección de datos. "Si bien es una recomendación, no es exigible hay cuestiones más técnicas que tiene que ver sobre qué implicancias tuvo. Cualquiera de las personas implicadas puede realizar una denuncia y solicitar una investigación para ver si se contaba con las protecciones básicas a fin de evitar estas filtraciones", remarca el letrado.
Malaureille advierte que el Renaper tiene datos vinculados a nombres, apellidos, domicilios de las personas que pueden llegar a ser sensibles. "Una persona que quiera hacer un secuestro extorsivo puede acceder al domicilio, con los datos del DNI o el nombre puede saber los contactos actualizados. Hay que recordar que las últimas versiones del DNI tienen número de trámite y con eso se pueden hacer una gran variedad de trámites. Por ejemplo, podes poner que una persona tiene COVID y negarle la salida del país o controlar todas las gestiones que requieren estos datos".
Además, los expertos señalan que en Europa los organismos que tienen base de datos publica requieren que se contrate un DPO, un data privacy officer, que es un profesional con los conocimientos necesarios para poder delimitar y asesorar los organismos respecto al uso de eso datos dentro de la organización.
"Esto en Argentina no está contemplado y se vienen postergando las reformas desde hace varios años. Hubo varios proyectos pero ninguno avanzó y terminó perdiendo estado parlamentario", dice Monastersky.
Más allá de la justificación del Renaper, las investigaciones intentarán determinar si fue un ataque de ransomware (secuestro de datos a cambio de un rescate), si fue sólo una pequeña brecha de seguridad sin acceso a la base o si directamente los criminales aprovecharon una falla para robar y vender los datos en la dark web.
El caso de Migraciones
Las luces de alarma se encendieron el 27 de agosto. La Dirección de Migraciones confirmó que ciberdelincuentes internacionales atacaron el Sistema Integram de Captura Migratoria (SICAM) con una modalidad conocida como ransomware, es decir, un "secuestro 4.0".
Lo que hacen los cibercriminales es cifrar los datos de una empresa u organización, por lo que quedan inutilizables para sus propietarios. Para entregar la clave que reestablezca el acceso, suelen pedir un rescate, especialmente en monedas digitales.
En el caso de Migraciones, un grupo de atacantes reclamó el pago de u$s70 millones, que luego se redujo a u$s4 millones. Pero fueron más allá: como el Estado argentino se rehusó a cumplir con las exigencias, la banda difundió todos los datos presuntamente robados.
Según el Gobierno, la organziación robó documentación interna (archivos PDF y Excel), pero no lograron acceder a las base de datos, en las que se encuentra la información más sensible.
Horacio Azzolin, titular de la Unidad Fiscal Especializada en Ciberdelincuencia que colaborará en al causa con el Fiscal Guillermo Marijuán, afirma a iProUP que se trata de un fenómeno en aumento.
"Cifras oficiales no hay, porque son delitos de muy baja tasa de denuncia, pero hubo un incremento de los reportes y recibimos alertas de Interpol. Vemos ataques a Pymes, empresas grandes y organismos públicos", afirma Azzolin.
Bitcoin, la preferida
El ataque a Migraciones no es un caso aislado de estafas con divisas virtuales. Es un fenómeno en alza que significó al menos u$s600 millones a nivel global en 2019 sólo por recompensas pedidas en Bitcoin, sin contar otras divisas virtuales.
Por lo general, se trata de organizaciones delictivas complejas y algunas hasta tienen patrocinio estatal: se cree que el gobierno de Corea del Norte tiene un ciberejército que roba divisas digitales en todo el mundo. Una actividad que representaría cerca del 15% de su PBI. Es decir, el régimen de Kim Jong-un obtiene unos u$s6.000 millones anuales del ciberdelito a escala global.
Según Matías Bari, CEO y cofundador de SatoshiTango, una firma argentina que brinda servicios de monedas digitales, los atacantes prefieren estos activos "porque no son rastreables y pueden pagar desde cualquier parte del mundo".
En efecto, las divisas digitales funcionan con una clave pública, que hace las veces de un CBU; y otra privada, una suerte de contraseña, para acceder a los fondos. Pero ninguna de ellas hace referencia a la identidad de una persona, asegurando el anonimato.
Por su parte, Nahuel Burbach, representante argentino de la billetera de monedas virtuales Zerion, indica a iProUP que "los rescates se piden en Bitcoin porque es el activo más ampliamente difundido y fácil de conseguir para las personas o empresas que son atacadas", por lo que se agiliza el proceso de pago.
Bari agrega que priorizan "la priorizan sobre otras divisas, como Monero, que es mucho más anónima, porque tiene mucha más liquidez".
Bitcoin es la preferida por el anonimato, liquidez y aceptación
En este punto coincide Azzolin, quien afirma que las operaciones con estos activos "son públicas, pero a la vez anónimas", por lo que es muy difícil rastrear la ruta de los fondos.
"Es lo mismo que un policía en la escena del crimen no encuentre huellas dactilares ni cabellos. Es más difícil, pero toda actividad digital deja sus rastros", completa el letrado.
Esta dificultad para dar con los dueños de los bitcoins responde por qué cada vez hay menos ataques para vaciar cuentas bancarias y más estafas con activos digitales.
En este sentido, Bari remarca que "robar una cuenta bancaria es un crimen sin sentido porque, salvo que saque la plata de un cajero, mover la plata es un asiento contable, no se mueve nada en la realidad y se conoce a los propietarios".
"El dinero fiat, vía transferencia bancaria, es muy fácil de rastrear. Esto es mas rentable porque los objetivos son de alto perfil y las posibilidades de que los atrapen son remotas", agrega un cambista digital que prefirió el off-the-record.
La ruta del dinero cripto
Tal como adelantó iProUP, en la Dark Web, es decir, aquella porción de Internet que queda a "oscuras" de los buscadores y es difícil llegar, se ofrecen algunos servicios para "lavar" los activos producidos por esta actividad.
Jorge Litvin, del Estudio Nercellas, afirmó a iProUP que estas maniobras de lavado de criptoactivos se componen de los siguientes pasos:
- El dinero "sucio" es depositado en plataformas conocidas como mixers o "mezcladores", que generan una nueva cuenta para que el cliente haga el depósito de las monedas
- De esos fondos, se descuenta una comisión por el servicio y se dividen en varias operaciones, separadas en el tiempo, con montos aleatorios y con destino a varias direcciones Bitcoin del ciberdelincuente
- Una vez que el criminal tiene criptoactivos "limpios" debe convertirlos en dinero fiduciario (dólares) a través de exchanges, que son casas de cambio virtuales
- Esos fondos son transferidos a PayPal para usar directamente o se retiran en Western Union o servicios similares, que garantizan cierto anonimato
Además, se pueden utilizar plataformas de intercambio de divisas virtuales entre pares, como LocalBitcoin, que se encargan de unir a usuarios que quieren comprar con aquellos que quieren vender. Así, se añade una capa extra de anonimato.
"Depositás los Bitcoin en una dirección que te da el mixer, los mezclan con otros depósitos y los sacan 'lavados' a una dirección que vos elegís. Si querés seguirlos, sabés que entraron en un mixer, pero no a dónde salieron y ya perdiste el rastro", explica Bari.
Además, Burbach asegura que esos fondos "pueden pasarse también a diferentes monedas enfocadas en la privacidad, como Monero", para complicar aún más el trabajo de los investigadores.
"A esto hay que sumarle que los criminales usan navegadores como Tor (que asegura privacidad) en combinación con una red privada virtual (VPN), lo que les permite impedir el rastreo y geolocalización desde donde operan para lavar", agrega Litvin.