Nacional > Ciberseguridad
Filtraciones afectaron a al menos 3.845 correos de organismos públicos
El hacker argentino Mauro Eldritch, el mismo que en diciembre había alertado por la filtración de los datos de más de 200 mil menores que estaban en potestad del INAU, publicó este martes una plataforma que permite conocer si su correo electrónico fue afectado en alguno de los 22 hackeos que padecieron sitios web que contenían información de uruguayos.
Al menos 3.845 correos electrónicos vinculados a instituciones públicas de Uruguay —la mayoría de ellos de UTE, ASSE, el Banco República, el Banco de Seguros y OSE— quedaron expuestos. En algunos de ellos la filtración implicó el robo de la contraseña y la posibilidad de que el atacante se haga de la casilla y su información. En otros, implicó la sola “cosecha” de datos vinculados a la cuenta —como número de teléfono y nombres asociados—, pero no un hackeo per se.
Aunque parezca una maniobra de alto vuelo, la explicación es sencilla. Por ejemplo: un usuario se registra en un sitio web con el correo institucional del organismo público en el que trabaja, ese sitio —puede ser Facebook o Twiter, por decir dos páginas que figuran en las filtraciones— es hackeado y el atacante se hace de los correos de varios usuarios. Es así que entre las 22 filtraciones de sitios que incluye la plataforma Uruguay.MeFiltraron.com, están los correos robados en el hackeo a Antel en 2022, pero también a otros sitios del exterior en la última década.
De hecho, en la mitad de las filtraciones (11 de 22 sitios) se comprobó el robo de contraseñas: el atacante pudo hacerse del usuario y el password. No significa que utilizó luego el correo con un fin ilícito, ni siquiera significa que haya podido entrar al mismo porque puede que el titular de la cuenta haya cambiado la contraseña.
En ese sentido, la recomendación internacional es que las contraseñas de los correos electrónicos se cambien cada semestre. Y como práctica habitual, las organizaciones deberían hacer un cambio masivo de contraseñas al menos una vez por año.
En el Estado uruguayo no existe un protocolo unificado de cómo se debe actuar con la seguridad de las casillas de correo institucional de organismos públicos. Cada institución tiene su guía propia —si es que la tiene— y buena parte de las medidas quedan libradas a la confianza en el funcionario.
El Observador había informado que en cuatro años se duplicaron los ataques informáticos en Uruguay contra el Estado o sitios “sensibles”. Salvo el caso del hackeo a Antel protagonizado por el grupo CoomingProject y que luego se llamó LAPSUS$, todo el resto de ciberataques supusieron daños que no están contabilizados en la plataforma publicada por Mauro Eldritch. Es decir: puede que la cantidad de correos de organismos públicos involucrados sea significativamente superior a los 3.845, siendo esta cifra un escenario de mínima.
La plataforma
"Es un motor de búsqueda de filtraciones que indexa emails encontrados en distintos sitios especializados usados para distribución de material robado, pirata o para cibercrimen en general", señaló Eldritch.
Juntaron 2,9 millones de registros que afectan cuentas de Vera –el proveedor que cuenta con más de 2 millones de credenciales afectadas–, usuarios de UTE, ASSE, BROU, Adinet y más.
"Los usuarios de Vera o UTE no necesariamente vienen de una filtración de sus sitios", informó Eldritch. Sucede eso porque los usuarios se registran con los correos de esos servicios en otras plataformas que son vulnerables y cuando son hackeadas, también aparecen vulneradas.
"Lamentablemente muchísima gente reutiliza correos oficiales o de trabajo para cosas por fuera", señaló Eldtrich. Para el atacante no es importante la contraseña en sí para acceder a tu mail de trabajo, sino que puede sospechar que ese mismo mail lo utilizás para acceder a otros sitios donde tenés información sensible y hasta una posibilidad de acceder a tus cuentas bancarias.
