La información robada de la Dirección Nacional de Migraciones fue publicada en Internet por los hackers que vulneraron el sistema, tras fracasar el pedido de un millonario rescate para evitar la difusión de los datos.
La información fue publicada en el blog de NetWalker (el nombre del software malicioso con que atacaron el sistema). Según informó Clarín, el medio que primero reveló el hackeo, los delincuentes habrían solicitado cuatro millones de dólares de recompensa, algo que el Gobierno decidió no pagar.
Las autoridades creen que el ciberataque puede haberse realizado con ayuda interna. Los hackers codificaron 22 carpetas con información relativa a la Agencia Federal de Inteligencia (AFI), flujos migratorios, consulados y embajadas.
Los atacantes subieron a la deep web 1,8 gigas de información. El password para descomprimir el archivo .rar fue el más usado y vulnerado del mundo: 123456. La información del sitio en el que están los datos está en ruso, lo que implica que los hackers podrían ser de esa nacionalidad.
“El de Migraciones es un ejemplo de cómo operan estas pandillas, atacando gobiernos, organizaciones, empresas. Venimos observando desde nuestras investigaciones que, si bien el tipo de ataque es antiguo, en cuarentena se recrudeció. En las últimas 3 semanas tuvimos 10 casos de pedidos de asistencia y soporte a clientes nuestros. Datos de entes de todo tipo, corporaciones y millones de personas están siendo rematados al mejor postor en la dark web”, explicó Gabriel Zurdo, especialista en ciberseguridad y CEO de BTR Consulting.
“El problema está en que hoy son muchos más lo que están trabajando para atacar que para defender y hoy ya no son lobos solitarios sino pandillas que se manejan con la lógica de las mafias tradicionales y más allá del software que podamos tener para evitar ataques, el factor humano, la intervención de la persona, empieza a ser determinante”, agregó el experto.
El usuario de Twitter @mis2centavos compartió una captura de los documentos publicados.
El ataque se había realizado el 27 de agosto. Ese día los piratas informáticos lograron romper los sistemas de seguridad digital y ocasionaron la caída de los servicio, lo que hizo que los pasos fronterizos de la Argentina estuvieran “desconectados”.
Por el hackeo el organismo decidió suspender el tránsito de personas en las fronteras durante cuatro horas para evitar errores, hasta que los servidores volvieron a funcionar. El ataque vulneró el Sistema Integrado de Captura Migratoria (SICaM), el que se usa en los pasos internacionales para el control y registro informático de las personas, argentinas y extranjeras, que entran o salen del país.
Aunque no hay información confirmada, una de las sospechas es que los atacantes podrían haber contado con ayuda interna para realizar el hackeo. Para utilizar el programa NetWalker los criminales pueden haber usado phishing, uno de los más clásicos, o suplantación de identidad, engañando a un miembro del personal para que ingrese en un sitio que parece genuino pero que en realidad le roba los datos de acceso.
“El ataque tiene 4 fases: de inteligencia sobre a quién atacar, una suplantación de identidad o ‘phishing’ (4 de cada 10 personas caen por este motivo), encriptación de lo que se encuentra y un plazo para exigir un rescate. El agravante, que lo observamos en cuarentena, es que en una proporción significativa de casos no devuelven los datos, que es lo que podría haber sucedido en este caso, más allá de la decisión de Migraciones”, resumió Zurdo.
El virus del ataque
NetWalker es un sistema relativamente nuevo. Apareció por primera vez en agosto de 2019, pero con el nombre “Mailto” Es un tipo de programa que secuestra información, por eso es denominado ransomware (ransom= rescate en inglés).
Se trata de un programa que tiene como objetivo cifrar -bloquear- el acceso a toda o parte de la información, para después pedir dinero a cambio de liberarla. Por eso se trata de un delito extorsivo, que prevé reclusión o prisión de cinco a diez años.
NetWalker tiene un blog al cual sólo se puede acceder a través de navegadores de la deep web como Tor. Ahí se pueden ver todos los casos activos con sus respectivas cuentas regresivas y los sitios afectados, entre los que está el de Migraciones.
Se calcula que diferentes grupos de hackers que utilizan esta plataforma para cometer ciberdelitos ya recaudaron más de 25 millones de dólares a través de este malware.
Entre otros ataques, los hackers de NetWalker se atribuyeron la autoría de la “intrusión ilegal” a los servidores de la Universidad de California, cuyos investigadores estaban realizando ensayos clínicos y pruebas de anticuerpos en Estados Unidos para posibles tratamientos de coronavirus.