En una semana atípica por los feriados de Carnaval, con primeras planas protagonizadas por la inflación de enero, las repercusiones del informe publicado por Cristina Kirchner y el billón de dólares alcanzado por la capitalización de mercado de Bitcoin (BTC), una importante noticia que puede afectarte a los argentinos (y de manera muy seria) también salió a la luz.
En efecto, más de 82.000 claves fiscales de AFIP necesarias para realizar tus trámites en el sitio web del organismo recaudador circulan en un foro especializado disponible en la clearnet, como se conoce a la Internet accesible, en contraposición a la deep web y la darknet.
Hackeo a la AFIP: qué pasó
David Pérez, Service Manager de Ciberseguridad en Security Advisor, señala a iProUP que para entender la gravedad, primero hay que arrojar luz sobre algunos conceptos:
- Según Birmingham Cyber Arms, compañía que se dedicada a la fabricación de hardware y soluciones de inteligencia cibernética, no se trataría de una vulneración directa a la plataforma de la AFIP
- No es una filtración, sino un robo a usuarios finales
- Si hubiera sido una filtración de la AFIP, el impacto seria mucho mayor al actual. Esto no signigica que la situación sea menos grave
"La gravedad del caso es alta pero de cara los usuarios finales, dependiendo el tipo de privilegios de las cuentas: claves Nivel 2 o 3", señala el experto.
"Este último sería el peor escenario: permite inscribirse en impuestos, presentar planes de pago, facturar, presentar declaraciones juradas, conocer tus aportes, registrar al personal de casas particulares, cargar deducciones en el SiRADIG, presentar un telegrama laboral y designar a otros usuarios para que utilicen los servicios en nombre del titular", alerta Pérez.
En otras palabras, el acceso a una cuenta con nivel 3 que no este securizada con factor de autenticación múltiple (MFA) permitirá al atacante obtener datos críticos de la víctima y realizar cambios en su situación impositiva, lo que a futuro podría implicar grandes dolores de cabeza.
En concreto: las contraseñas de usuarios de AFIP afectados, señalan desde iProfesional, se consiguieron a partir de la técnica conocida como stealer logs (registros de robo).
Mauro Eldritch, fundador de Birmingham Cyber Arms, confía a iProUP que los datos comprometidos fueron obtenidos a partir de estos programas especializados en hacerse de credenciales, cookies y otros.
"Es común que algunos actores maliciosos compren 'lotes' de credenciales robadas por esta clase de malware, los refinen y confeccionen nuevas bases de datos filtradas por un dominio o un rasgo en particular, como 'credenciales de Argentina', 'credenciales de streaming', etcétera", aclara.
Así, estos programas les proporcionan a los criminales una gran cantidad de información personal y financiera de sus víctimas, lo que les permite realizar delitos.
Eldritch agrega que los stealers suelen ser distribuídos por muchos métodos, principalmente software pirata (o herramientas para "activar" programas), y forman parte de un modelo criminal organizado y muy redituable conocido como MaaS o Malware como Servicio.
Hackeo a la AFIP: qué puede pasar con tu clave fiscal
Desde AFIP advierten que la clave fiscal es única e intransferible y no se bloquea por falta de uso. Cuanto mayor sea el nivel de seguridad, mayor será la cantidad de servicios a los que se tendrá acceso y, a la vez, se exigirán más datos para obtenerla. Además desde el organismo se decidió bloquear preventivamente las cuentas que habrían sido afectadas sugiriendo un blanqueo de la clave fiscal.
Para elevar el nivel de la clave fiscal se debe hacer una nueva solicitud. Para que sea más segura, se recomienda que la contraseña posea:
- 2 números
- 4 letras
- 1 mayúscula
- 1 minúscula
Por razones de seguridad, añaden desde el organismo, solicitan su modificación si esta no cumple con los requisitos o si transcurrieron más de 365 días de la última vez que fue cambiada.
"Para elevar el nivel de la clave fiscal se deberá hacer una nueva solicitud según el mecanismo del nivel deseado", subrayan.
Pablo Sabbatella, Head of Security research de Blockfence, indica que la violación de estos passwords implica un "riesgo tremendo" para los ciudadanos argentinos.
"Hoy en día la clave fiscal es un SPOF (punto único de falla), ya que se utiliza no sólo para manejar información impositiva confidencial, sino para cientos de trámites estatales: manejo de dominios web, identidad, trámites, turnos médicos, etcétera", advierte.
Lista de trámites de AFIP a los que puede acceder un ciberdelincuente
Pero el acceso a datos sensibles no termina ahí. En diálogo con iProUP, el tributarista Marcos Zocaro añade otro apartado clave al cual los hackers pueden ingresar: "Hay servicios extra AFIP al que tienen acceso, por ejemplo Trámites A Distancia (TAD)".
Para ingresar, señala el experto, basta con adherir el servicio ante la AFIP ingresando con clave fiscal y luego navegar dentro de la sección Ministerio de Modernización. Allí, se pueden realizar las acciones indicadas en la siguiente imagen:
Trámites A Distancia (TAD)
Hackeo a la AFIP: cómo protegerse
Bert Milan, RVP para Caribe y América Latina de Palo Alto Networks, asegura a iProUP que la educación es fundamental en la defensa contra el ransomware.
Para el experto, "es vital proporcionar orientación periódica sobre cómo identificar y evitar los intentos de phishing, la ingeniería social y fomentar las prácticas seguras de navegación por Internet".
Destaca que la concienciación puede ser una de las defensas más eficaces contra este tipo de ataques y así evitar el robo de datos delicados como la clave fiscal de AFIP.
"Utilizar contraseñas fuertes y únicas es otra medida fundamental. Fomentar el uso de passwords complejos para cuentas y sistemas, y quizás utilizar un gestor de contraseñas para almacenarlas de forma segura, es una práctica muy recomendable", añade a este medio.
En la misma sintonía, Sabbatella aconseja cambiar de inmediato la clave fiscal y, como buena práctica, repetir mensualmente esta acción.
Damián Catanzaro, fundador del sistema de propinas Cafecito App, suma que es muy importante utilizar gestores de contraseñas como KeePass, porque no repiten claves ni usan patrones. De esta manera, "no hace falta que se las acuerden, los gestores tienen autofill para completarlas por ustedes".
Sabbatella trae a colación un dato por demás preocupante y que puede explicar la enorme cifra de datos vulnerados: la contraseña "es un dato que solemos compartir con contadores por ejemplo y ellos no suelen tener la mejor seguridad del planeta".
En ese sentido, compartió una encuesta que realizó en la red social X/Twitter: más del 65% de los 5.000 participantes confiesa que lo hicieron.
Pero atención: ante lo sofisticada que es este tipo de amenaza, Eldritch señala que "más allá que el cambio de clave es una buena práctica, durante una infección de este tipo equivale a recombinar la cerradura de nuestra casa dejando todas las ventanas abiertas. Apenas hagamos el cambio, el stealer intentará notificar a su operador compartiéndole nuestra nueva clave".
Además, el experto agrega a iProUP una interesante (y a la vez preocupante) observación: "Cualquiera puede 'rentar' acceso a un stealer. No tenés que hacer más que distribuirlo: todo el resto lo gestiona quien te lo renta. Desde el soporte hasta las actualizaciones. Por eso se convirtieron en una amenaza tan común y silvestre".
Finalmente, el abogado Daniel Monastersky, especialista en ciberseguridad y protección de datos, cierra con un pensamiento que cada día gana más lugar entre los expertos: "Necesitamos campañas de concientización digital de forma urgente".