Tecnología > robo de información
Filtran datos de 200 mil usuarios de la emergencia médica del Casmu y hackers los ponen a la venta en internet
Una filtración masiva del Servicio de Emergencia Móvil 1727 del Casmu fue puesta a la venta en un foro especializado la semana pasada, exponiendo información confidencial de más de 200 mil usuarios.
La filtración, que originalmente tuvo lugar en 2022, incluye datos personales como números de cédula de identidad, nombres completos, fechas de nacimiento, números de teléfono particulares, números de celular, direcciones de correo electrónico y direcciones físicas, según contó a Cromo Mauro Eldtritch, un hacker especializado en descubrir filtraciones de ciberdelincuentes.
Los datos también revelan el tipo de plan asociado al servicio 1727 y si los usuarios poseen beneficios especiales.
Si bien Casmu tiene alrededor de 180 mil usuarios, Eldritch dice que el documento se vende como “casmu_contactos” por lo que pueden haber usuarios repetidos o algunos que ya no están afiliados a la mutualista. La cifra exacta que aparece en ese documento es de 202.574.
Raúl Rodríguez, presidente del Casmu, dijo a Cromo que la la información "corresponde a un evento reportado en el año 2022". "En la investigación de la fecha se determina que se trata de manipulación indebida de una planilla a nivel de usuario. Dicha planilla es el resultado de un proceso complejo ejecutado sobre múltiples bases de datos y la información contenida cuenta con un máximo de tres años", indicó.
Una investigación interna del prestador de salud concluyó "que el incidente NO representa una intrusión a Sistemas de la Institución".
El Casmu realizó una denuncia para conocer quién fue quien filtró esa información. "No se encontró al culpable", apuntó Rodríguez.
La información que fue puesta a la venta está acompañada de otras dos filtraciones que hasta ahora no habían salido a la luz. Son datos de 40.152 docentes, de quienes aparecen su cédula de identidad, nombre, apellido, y departamento donde trabajan. La otra es un volcado de datos sin contexto (no se sabe el origen exacto) que tiene unos 100.152 registros de personas uruguayas que contienen números de cédula de identidad, nombre completo, teléfono celular, fecha de nacimiento.
Todo el lote está a la venta por US$ 120.
La filtración que vio la luz en 2022
Los datos filtrados del Casmu fueron encontrados en un famoso foro de cibercrimen llamado Breached Forums en julio de 2022. Ese foro fue cerrado por el FBI en marzo de este año.
Como es habitual, los ciberdelincuentes se la rebuscan para reubicar la información en otro lugar. Este material volvió a aparecer esta semana en circulación en un sitio web no revelado por Eldritch.
Eldritch dijo que es “frecuente” y una práctica normal que los hackers vuelvan a vender una misma información hackeada en distintos períodos.
Las otras dos filtraciones (la de los docentes y los datos sin contexto) podrían haber sido incluidas para aumentar su valor en conjunto con la filtración de Casmu, como una oferta o un incentivo adicional para los compradores.
También es común que al adquirir ciertas filtraciones, se regalen otras anteriores para fidelizar a los clientes. Todo esto pudo haber sido pensado por el ciberdelincuente.
El experto aclaró que todos los datos puestos a la venta pueden servir tanto para quienes tengan interés comercial sobre cómo funciona la emergencia móvil en Uruguay o por piratas informáticos de cualquier punto del mundo.
¿Quién vende esta información?
El responsable de esta filtración es KelvinSec, también conocido como Kelvin Security o Curious Jackal, un actor con un historial delictivo amplio, originario de Venezuela. KelvinSec se dedica principalmente a filtrar información de organizaciones latinoamericanas, como en este caso el 1727.
En Argentina golpeó a la Secretaría de Energía, al Instituto de Ciberdefensa y a otras instituciones de gobierno.
La exposición de los nombres de estos actores se debe a que su reputación es crucial en este mundo. Aquellos que mantienen una identidad constante, con buenas referencias, contenido interesante y transacciones exitosas, tienen más éxito a largo plazo y pueden acceder a negocios más grandes. KelvinSec, por ejemplo, ha ganado cierta confianza en la comunidad de venta de datos debido a su historial y habilidades demostradas.
El comunicado de CASMU
Este lunes a la tarde, luego de la información divulgada por El Observador, la mutualista emitió un comunicado en el que reconoció que existió un "evento detectado y reportado por la institución en 2022".
"La investigación que se realizó oportunamente concluyó que el incidente NO representó una intrusión a los sistemas informáticos de nuestra institución", agrega el escrito, mientras que señala que los resultados del análisis fueron compartidos con el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERT).
Por último, la mutualista señaló que como parte de su política lleva adelante monitoreos y actualizaciones permanentes de los "criterios de seguridad de información, así como de los procesos asociados al flujo de la misma".
