Hola, soy Bel Rey y esto es Sin Códigos, un newsletter semanal donde discutimos sobre la importancia que tiene la tecnología en nuestra vida más allá del código y la programación. Me gusta dar opiniones técnicas e informadas sobre novedades tecnológicas y abrir el debate para entender mejor a donde nos está llevando este mundo en constante evolución. Sin Códigos sale todas las semanas, usualmente los viernes y te suscribís acá:
Hola Nostálgicos de la internet que no fue, les doy la bienvenida a otra edición de Sin Códigos. Vamos con la intro antes de meternos de lleno al tema de hoy, los famosos hacks que sufrimos en el país esta semana.
Quiero empezar saludando a todas las personas que se suscribieron en los últimos días gracias a la recomendación de
. Irina, te banco desde cemento y espero que LadoB sea el newsletter #1 de toda la República Argentina. Si no están suscriptos todavía, vayan.También aprovecho y agradezco a quienes comentan en cada edición, a los que se leen todas las ediciones en silencio y a los cafecitos que me mandan de vez en cuando. Gracias, gracias, gracias.
Dicho esto les cuento que llegó otro viernes a la mañana y no terminé de redactar el newsletter. En esta ocasión podemos echarle la culpa al trabajo, estuve ejerciendo de una de las cosas que más me gusta: enseñar.
Me gusta dar clases de temas avanzados pero de vez en cuando amo volver a las fuentes y ser el primer contacto que las personas tienen con la programación. En esta ocasión me tocó enseñar los primeros pasos de javascript en el navegador a personas que jamás programaron. Amo el momento de confusión que viven cuando se dispara un evento y algo en la pantalla cambia. Es hermoso.
La tecnología tiene esa capacidad de sorprender y abrir nuevos caminos en nuestra vida. Lamentablemente mal utilizada también tiene el poder de arruinarla completamente. En esa nota vamos con lo que nos compete: hacks, hacks, hacks.
Esta semana nos despertamos con la noticia de que robaron la base completa de licencias de conducir de la república Argentina y no se a ustedes, pero a mi se me está haciendo demasiado frecuente esto de leer o escuchar que hackearon un ente público. Cada ataque de este tipo lo vivo con angustia e impotencia ¿Me pone mal que cualquiera pueda acceder a mis datos personales? Si ¿Puedo hacer algo al respecto? No sé. Por ahora solamente puedo escribir.
¿Qué se imaginan ustedes cuando escuchan la palabra hack? ¿Qué se les viene a la mente? ¿Es formato “fantasma escritor“ donde una bola de electricidad vuela entre circuitos para llegar a destino? O quizás lo piensan más a lo Carlin Calvo fumando mientras esquiva lasers. Dicen que la realidad siempre supera a la ficción pero en este caso lamento decirles que los que conocemos como hacks no suele tener ese nivel de épica.
Los hacks en la vida real se manifiestan en diversas situaciones y mediante distintas técnicas. Un ejemplo clásico es el acceso a servidores, que puede ocurrir por robo de credenciales. Este puede efectuarse mediante métodos de fuerza bruta donde se prueban contraseñas hasta pegar con la correcta o phishing, donde los atacantes intentan obtener acceso ilegítimo simulando fuentes o plataformas confiables para capturar información sensible. El phising es mucho más efectivo y común porque los ataques de fuerza bruta suelen tener una complejidad algorímica factorial. En criollo: una computadora puede tardar muchísimo tiempo en probar todas las combinaciones posibles y usualmente es más facil hackear personas que máquinas.
Un típico ejemplo de phising son los mensajes de WhatsApp o mail que nos piden un código de autorización que nosotros jamás solicitamos o los mensajes de soporte falsos que piden información personal.
¿Qué tan efectivos son estos métodos? Super efectivos. Por eso tantos bancos, redes sociales y otros servicios nos aclaran todo el tiempo que ninguna persona de soporte nos va a pedir jamás nuestros datos de ingreso.
Los accesos no deseados también puede surgir a través de vulnerabilidades en los sistemas, ya sea por error humano, omisión de medidas de seguridad o desconocimiento de vulnerabilidades en servicios de terceros. Acceso indebido a APIs, claves de acceso expuestas, bases de datos vulnerables. Hay de todo.
Y encima no todo es código. La ingeniería social es también una técnica prevalente, donde los atacantes manipulan a individuos para que divulguen información confidencial o directamente se hacen con accesos comprándolos de forma ilegal. Hackeamos máquinas, hackeamos personas.
Cuando digo que en la realidad los hacks no tiene tanta épica me refiero a que a veces para robarse el DNI de millones de argentinos no hace falta escribir muy rápido en una pantalla verde. Alcanza con encontrar un usuario y contraseña que funcionen y usarlos como si uno fuera un empleado más. No digo que detrás de esto no haya mucho trabajo y esfuerzo, pero definitivamente la forma no es tan Hollywoodense, aunque la gravedad de los resultados si lo es.
¿Cômo se dan los robos masivos de datos en Argentina?
El país viene en una seguidilla de ataques que no se detiene. Veamos algunos ejemplos recientes:
En 2020 la dirección Nacional de Migraciones experimentó un ataque con ransomware, un tipo de software que se instala, cifra la información de las computadoras y la “toma de rehen”. Para recuperar los datos exigían un pago de millones de dólares en bitcoin. La agencia se negó y finalmente algunos datos robados fueron publicados, entre ellos documentos relacionados a terrorismo, operaciones internas y comunicación con diversas embajadas. El soft se instaló en una computadora de la red y se expandió al resto y la primera instalación se pudo generar de forma maliciosa o por descuido de algún empleado.
En 2021 le tocó al Registro Nacional de las Personas (RENAPER). Un hacker que ya era conocido por acceder a la cuenta personal de la entonces (y ahora nuevamente) ministra de seguridad Patricia Bullrich, robó la base de datos de DNI de todos los argentinos. Para ingresar utilizó credenciales válidas (que consiguió en el mercado negro) y las fue rotando para que no sea tan evidente la actividad en los registros de acceso.
Un tiempo después el Poder Judicial de Córdoba fue víctima en otro ataque de ransomware lo que resultó en el cierre temporal de sus sistemas informáticos y afectó significativamente sus operaciones ¿La forma de acceso? Credenciales válidas que fueron liberadas unos meses antes en otro ataque.
La lista sigue y sigue y nos lleva a la actualidad y al principio de este post donde nos encontramos con dos nuevos hacks, el primero a la Dirección Nacional de Registro de Propiedad del Automotor (DNRPA) en el que se liberaron 5.7 millones de licencias de conducir y el segundo, negado por el gobierno tiene como víctima nuevamente al RENAPER. Si, otra vez sopa.
¿Por qué debería importarme lo que pasa con mi información si yo no soy nadie?
Ah, la pregunta del millón. Bueno, para empezar porque si sos alguien. Sos una persona como todas las demás personas. Tenés un historial crediticio, algún bien a tu nombre, registros de salud. ¿Qué pasa si un día vas a sacar un crédito para comprar algo y te rebotan porque resulta que tenés 54 créditos a tu nombre de los que no sabías nada? ¿Quién paga esa deuda? Está a tu nombre. ¿Qué pasa si alguien circula con una copia de tu registro y comete un homicidio culposo? No importa si no sos “alguien” porque la información se puede cosificar y utilizar para cualquier fin.
Yo te puedo contar que pasa. Te jodés. Hacés un montón de trámites. Por ahí hasta abrís una causa. Perdés un montón de plata, tiempo y salud mental en tratar de solucionar un problema en el que no te metiste. Un garrón.
Y eso sin entrar en el universo de las estafas y phising mucho menos “sofisticadas”. Cada vez que se libera una base de datos es una nueva oportunidad para que llamen a un jubilado, le canten un par de datos personales para sonar a “mensaje oficial” y le digan que ya está disponible la nueva vacuna o el plan de PAMI si primero transfiere X plata a tal cuenta de banco.
No se trata de “ser alguien” tanto como de “tener algo que le sirve a otra persona”. Ya sea para realizar una estafa, para evadir a las autoridades o para pagar 5000 usd en anuncios de facebook como me pasó a mi la única vez que me clonaron la tarjeta.
En las palabras del hacker de RENAPER “Los carders [NdR: quienes hacen uso no autorizado de tarjetas de crédito y/o cuentas bancarias de terceros] compran y venden esos datos todo el tiempo, los usan para sacar préstamos, abrir cuentas bancarias para mover plata sucia. Con la base de datos de IOSFA que publiqué hace unos días ya tenes mas de un millón de personas para hacerles spam al mail o celular, ingeniería social de todo tipo para sacarles plata.”
Imaginate estar lavando plata sucia y ni enterarte. Te queda la deuda, la causa y ningún yate. Una porquería.
La respuesta oficial
A raíz de versiones que circularon en las últimas horas, desde el equipo técnico del Renaper y la empresa de ciberseguridad Danaide SA queremos llevar tranquilidad confirmando que no existió un hackeo a la base de datos del organismo ni una nueva filtración de información.
Además de que no se detectó ningún hackeo, la capacidad necesaria para obtener la información de 65mill. de personas requeriría de un infraestructura similar a la fábrica de DNI y una capacidad de almacenamiento de 500 TB, fuera de la escala de un hackeo.
Cualquier intento por obtener semejante cantidad de información hubiese sido detectada fácilmente por los servicios de ciberseguridad del Renaper y la empresa Danaide SA, contratada en 2021 mediante licitación pública.
Se trataría además de una operación de semanas o meses de duración, siendo imposible de ejecutar en un solo día.
La justificación de la empresa licitada tiene gusto a poco, y si bien algunos de sus puntos son parcialmente válidos desde una perspectiva técnica, ninguno de ellos confirma de forma absoluta que no haya existido un ataque, sobre todo considerando que ya tuvimos una experiencia en la que el robo de información se realizó con credenciales válidas y no a través de un acceso externo. Un ataque de esas características no necesita infraestrutura demasiado particular salvo el espacio en disco para guardar información. Que andá a chequear si son efectivamente 500 teras.
Ante esta situación se cae la teoria de que el costo de infraestructura para realizar el ataque es muy alto y no justificaría el valor de venta de la información. El comunicado no parece más que un rejunte de excusas para apaciguar al público general. Es similar a cuando yo le digo a mi mamá que “sería una locura que los telefonos escuchen todas nuestras conversaciones porque el valor de procesar toda esa información en busca de algo util es demasiado costoso“. En ningún momento yo digo “No, las empresas no tienen forma de escucharnos“ porque se que si, que efectivamente pueden hacerlo si quieren y que nuestra única y última defensa es ser lo suficientemente irrelevantes como para que a nadie le importe lo que decimos. O apagar el teléfono.
El problema con la defensa de la irrelevancia es que uno no es importante hasta que lo es. Que pasa si un día nos cruzamos con la persona incorrecta y terminamos en la mira? Toda nuestra información privada está disponible y no hay nada que podamos hacer.
Entonces ¿Hackearon o no el RENAPER?
En X Twitter podemos encontrar a diferentes usuarios que denuncian la aparición en diferentes canales ilícitos de venta de datos la base de datos robada con la identidad de todos los argentinos vivos y fallecidos. También fue parte de esta filtración el código fuente del ente.
Así que a pesar de la negativa oficial parece que efectivamete hubo otro acceso no deseado a los datos después de 2021.
¿Qué podemos hacer?
En primera instancia informarnos y entender la implicancia que esto puede tener en nuestras vidas ¿Es ideal? No ¿Deberían los entes que manejan nuestra información cuidarla? Si ¿Lo hacen? Aparentemente no.
Además de informarnos tenemos que empezar a darle importancia a nuestros datos y exigir a las organizaciones y entes que hagan lo mismo. Yo se que tenemos problemas gravísimos como el hambre de los niños del Chaco, pero eso no quita que cada hack sea una constante vulneración de nuestros derechos ciudadanos. Alguien se tiene que ocupar y si le hacemos el tiempo para que sea agenda en nuestras vidas eventualmente puede ser agenda política actual. Ojalá.
¿Ustedes como se sienten con todo esto? ¿Hubo hack? ¿Es viejo? Les leo:
Hasta acá la edición de hoy, nos vemos la próxima. Compartan con sus amigos y recuerden que este newsletter trae suerte 🍀.
Recomendaciones
Les dejo ese newsletter sobre seguridad que cubre este y otros ataques en Argentina. Super completo y muy buena información. No apto para depre de domingo, eso si.
¿Me ayudás a crecer? ☕️
Si te gustó esta edición ayudame comentando o recomendalo con tus amigos <3
Regalame un Cafecito o sumate a un plan mensual
¡Nos vemos la semana que viene!
Me encanta porque la referencia a Carlin Calvo no la agarrará cualquiera
Otra forma de ver el hack a entidades públicas:
https://pbs.twimg.com/media/GLeltKyXUAItmHl?format=jpg&name=large