Un año de filtraciones masivas y vulnerabilidades críticas que expusieron a instituciones públicas y privadas, dejando en evidencia los desafíos de la ciberseguridad en el país.
2024 fue un año marcado por el aumento de ciberataques en Uruguay, con grupos como ExPresidents y GODHAND liderando una serie de incidentes que afectaron tanto a instituciones gubernamentales como a empresas privadas.
Desde filtraciones masivas de datos sensibles hasta vulnerabilidades críticas en infraestructuras clave, estos ataques dejaron en evidencia las debilidades en la ciberseguridad del país y destacaron nuevas tendencias como "data extortion", según un estudio de la firma Birmingham Cyber Arms, que monitorea día a día los ataques que suceden en Uruguay y Argentina.
El año comenzó con la publicación de una lista que contenía cerca de 4.000 credenciales de usuarios uruguayos, algunas vinculadas a organismos gubernamentales. En febrero, el poderoso grupo de ransomware Lockbit anunció un ataque a Sitrack, empresa argentina especializada en tecnología de rastreo y gestión de flotas que tiene operaciones en Uruguay.
Ese mismo mes, ExPresidents realizó sus primeros ataques, centrados en la Intendencia de Flores y la inmobiliaria Mariategui Real State.
El propio grupo de ciberdelincuentes ExPresidents publicó certificados VPN de El Correo Uruguayo, archivos que permiten conectarse a su red interna como usuarios legítimos, junto con un manual que explica cómo hacerlo. Estos datos son valiosos para ataques ransomware. Aunque el fallo fue solucionado, entidades como El Correo siguen siendo blancos atractivos por su importancia y capacidad de pago ante incidentes.
En abril, ExPresidents filtró más de 100 cédulas de identidad, incluidas de menores de edad, y expuso datos de la empresa de turismo GlobalTours.
Paralelamente, surgió GODHAND, un grupo formado por exmiembros de Lockbit y BlackCat. Este grupo filtró datos sensibles de 35 empresas uruguayas, entre ellas la Caja Bancaria, CIEMSA y Cementos del Plata. Se llama "data extortion": los atacantes roban información sensible y exigen un pago para no divulgarla.
En mayo, ExPresidents publicó bases de datos internas de la Intendencia de Rocha y puso a la venta una vulnerabilidad en foros cibercriminales. Además, un broker de accesos divulgó una combolist con más de 800.000 credenciales uruguayas.
En junio, ExPresidents filtró datos de Tag Trading y ExpoInclusión, afectando también a empresas del sector privado.
En julio, GODHAND filtró datos inéditos del Instituto Nacional de Carnes (INAC): había información sobre procedimientos de seguridad, mapas de red, información de frigoríficos y del Ministerio de Ganadería.
En agosto, ExPresidents atacó al Partido Nacional, desfigurando su sitio y amenazando a una parlamentaria.
ExPresidents siguió con una tenaz campaña de ataques, filtró datos de la Facultad de Psicología de la UDELAR y atacó al INIA. También perpetró su segundo ataque al Partido Nacional, vendiendo una vulnerabilidad que comprometía información sensible.
En setiembre, ExPresidents publicó en el foro BreachForums un enlace que permite acceder a nombres completos y fechas de nacimiento de uruguayos ingresando sus cédulas de identidad. Este problema tiene antecedentes desde 2019.
APT73 atacó a Botiga con un ransomware. Según Birmingham Cyber Arms, se resolvió rápido. Mientras tanto, el grupo Akira liberó 18 GB de datos de Supermercados El Dorado.
En diciembre, se filtró una base de datos del Ministerio de Salud Pública (MSP) con más de 2.000 correos electrónicos. ExPresidents anunció en el foro Breach Forums la venta de accesos a cuentas de la DGI y República AFAP, incluyendo datos sensibles. Para demostrar la veracidad, publicaron una supuesta cuenta de la DGI perteneciente al exlegislador Gustavo Penadés. La DGI y CERTuy investigaron el caso.