Expertos cuestionan la autenticidad y el alcance de varias publicaciones del grupo ciberdelincuente, incluida una supuesta filtración de Ta-Ta que fue borrada minutos después y una base de cédulas que ya circulaba desde 2019
El grupo ciberdelincuente La PampaLeaks publicó el pasado 20 de mayo una filtración que expuso datos de las cédulas de 5,8 millones de personas.
La última filtración de PampaLeaks sobre la DNIC es la misma que se había filtrado en 2019, según informó un experto en ciberseguridad y confirmado por El Observador.
Primero, en el video publicado por el propio atacante aparece un ejemplo concreto: una persona identificada con nombre y apellido aparece junto con una cédula y un número de línea dentro de la base de datos. Al tomar esa misma cédula y buscarla en el archivo filtrado en 2019, el registro aparece exactamente en la misma posición de la base.
En otras palabras: si en el video se mostraba una persona con una determinada cédula ubicada, por ejemplo, en la línea 78.901, y al revisar el archivo viejo esa misma cédula también aparece en la línea 78.901, eso sugiere que ambas bases conservan exactamente el mismo orden interno.
Un experto en seguridad informática que analizó este tema dijo a El Observador que esto es relevante porque las bases de datos no solo contienen información: también tienen una estructura y un orden interno.
Según explico, si una entrada específica sigue ocupando exactamente el mismo lugar años después, y además la cantidad total de registros coincide –en este caso unos 5,8 millones–, aumenta mucho la probabilidad de que se trate del mismo archivo.
Además, menciona que utiliza hasta exactamente los mismos guiones, según el análisis al que accedió El Observador.
En ese caso, un estudiante de Ingeniería de la Universidad de la República llamado Ezequiel Pereira armó una enorme base de datos con números de cédula y nombres de personas en Uruguay.
Su idea inicial era usar esa información para investigar su propio árbol genealógico y encontrar datos de sus antepasados. Después decidió publicar la lista en internet para que otras personas también pudieran utilizarla, ya fuera para investigar a sus familias o incluso para hacer trámites, como conseguir la ciudadanía de otro país.
Para construir esa base, el estudiante encontró millones de números de cédula, desde las más antiguas hasta otras mucho más recientes. En total reunió más de cuatro millones de registros. Sin embargo, notó que había algunas cédulas que no aparecían. Por ejemplo, faltaban muchas entre los números 2 millones y 2,5 millones. Según cree, eso pudo deberse a problemas ocurridos cuando la Dirección Nacional de Identificación Civil cambió de sistema informático hace años.
La información salió de páginas web del Estado. En algunos trámites, cuando una persona escribía su número de cédula, el sistema automáticamente mostraba el nombre y apellido para ahorrar tiempo. El estudiante creó un programa que hacía ese proceso de forma automática y repetida: probaba número por número y guardaba los datos que aparecían. Así logró generar la base completa. Más adelante, entendió que esto podía representar una falla de seguridad informática, porque cualquiera podía obtener datos personales de otras personas, y por eso decidió reportarlo al CERTuy, el organismo estatal encargado de incidentes de ciberseguridad.
Pero hubo otros ataques a la DNIC que revelaban la identidad de millones de cédulas.
El 12 de setiembre de 2024, el grupo ciberdelincuente ExPresidents puso a la venta un acceso a un sitio web gubernamental vulnerable que permitía consultar datos de ciudadanos uruguayos utilizando únicamente el número de cédula de identidad. Según describieron los atacantes, el sistema devolvía información como nombre completo y fecha de nacimiento, incluidos datos de menores de edad.
La herramienta funcionaba sobre una API del Estado. Una API es un servicio que permite que distintos sistemas informáticos se comuniquen entre sí e intercambien información automáticamente. En este caso, distintos organismos públicos utilizaban ese mecanismo para consultar datos asociados a una cédula desde otras bases estatales.
Eso implicaba que, aunque cada repartición tuviera su propio sistema o interfaz visual, muchas consultas terminaban realizándose contra el mismo servicio centralizado.
Según pudo saber El Observador con base a informes de la empresa BCA LTD, esa lógica de consulta aparecía en aplicaciones utilizados en distintos organismos, incluidos algunos vinculados a áreas agropecuarias y de minería. El propio grupo publicó además una interfaz que conectaba datos de la Dirección Nacional de Identificación Civil (DNIC) con información del Ministerio de Trabajo.
Especialistas en ciberseguridad señalaron que una de las principales dificultades para investigar este tipo de accesos es que el servicio estaba ampliamente distribuido entre múltiples dependencias estatales. Eso vuelve complejo determinar desde qué organismo específico pudo haberse producido cada explotación indebida.
Además, remarcaron una diferencia importante entre una base de datos filtrada y una API. Una filtración de base implica obtener una copia estática de información, es decir, una “foto” congelada en el tiempo. En cambio, una API permite realizar consultas en tiempo real y acceder a información actualizada directamente desde los sistemas conectados.
Según el análisis realizado por la empresa de ciberseguridad BCA LTD, una de las publicaciones atribuidas al alias “Uruguayo1337” fue una supuesta filtración vinculada a la cadena de supermercados Ta-Ta.
De acuerdo con esa reconstrucción, el atacante aseguró haber obtenido información interna de la empresa y publicó un mensaje en el que afirmaba tener datos de empleados y ubicaciones. Sin embargo, la publicación fue eliminada pocos minutos después —aproximadamente diez minutos más tarde— y nunca llegó a difundirse una muestra verificable de la supuesta base de datos.
Según indicó BCA LTD, las imágenes compartidas en ese momento no parecían corresponder a una filtración masiva ni a una base sensible compleja, sino más bien a capturas de un archivo Excel vinculado a asistencias o registros internos básicos. La ausencia de una muestra pública y el rápido borrado del mensaje generaron dudas sobre el verdadero alcance del supuesto incidente.
Otro de los episodios señalados por la empresa fue el ataque reivindicado contra Buquebus. Según el análisis técnico, no se habría tratado de una intrusión al sitio principal ni a los servidores centrales de la compañía, como se difundió inicialmente en redes y canales de Telegram.
En realidad, el incidente habría afectado un sitio antiguo y secundario vinculado a Buquebus Turismo, algo conocido en ciberseguridad como “defacement”. Este tipo de ataques consiste en modificar visualmente una página web para mostrar mensajes o firmas de los atacantes, sin necesariamente comprometer los sistemas críticos de la organización.
Según BCA LTD, el episodio fue presentado públicamente como si se hubiera vulnerado la infraestructura principal de Buquebus, cuando en realidad el alcance habría sido bastante más limitado y focalizado en un portal viejo que seguía accesible en internet.