Qué información robaron los ciberdelincuentes que hackeron Migraciones y las sospechas de colaboración interna

0
18

Hackeo a migraciones SF

En Gobierno ya circula un memo interno que registra la información que se robaron los ciberdelincuentes de la Dirección de Migraciones de la Argentina. Ese memo -al que accedió Infobae– permite entender porqué bajaron abruptamente los niveles de preocupación en el primer piso de la Casa Rosada. Sin embargo, el respiro institucional y político no es absoluto: hay sospechas de complicidad interna con los hackers que amenazaron la seguridad nacional del país.

Mientras tanto, en unas pocas horas, vence el plazo que impusieron los hackers que vulneraron el sistema informático de Migraciones para publicar los archivos que robaron a fines de agosto. La información se daría a conocer exactamente mañana jueves a las 9.16 AM.

Los delincuentes encriptaron 22 carpetas con información que hace referencia a la AFI (Agencia Federal de Inteligencia), flujos migratorios, consulados y embajadas. Para este ataque utilizaron un software malicioso llamado Netwalker.

Para volver a otorgarle a Migraciones el acceso a esos archivos que ahora están cifrados y son inaccesibles, solicitaron el pago de 4 millones de dólares. En caso de que no se abone ese rescate, difundirán públicamente el contenido de los archivos robados.

El Gobierno ya anticipó que no pagaría el dinero que se pide ya que se niega a negociar con los atacantes. Además, ya se radicó la denuncia penal por extorsión, daño informático y acceso ilegítimo.

A qué información accedieron

Según una captura de pantalla que subieron los criminales a un sitio en la dark web secuestraron 22 carpetas con diverso material. Desde Gobierno compartieron con Infobae más detalles sobre parte del contenido afectado. A continuación, los títulos de las carpetas y los datos que se incluyen en ellas con las fechas correspondientes a los documentos mencionados:

1. ABM (9 PDF, 1 JPG y 1 BASA DATA FILE): formularios de solicitudes de altas, bajas y modificaciones (ABM) de accesos a aplicaciones para diversos usuarios de la DIM (2016).

2. AFI (2 PDF y 1 Word): memo y nota formal de la Operacional de Inteligencia sobre Terrorismo y Delitos contra el Orden Constitucional de la AFI, solicitando reseteo de claves.

3. CAJA (1 Word y 7 PFD): 5 archivos con Tickets (2015) y escaneo de libro de guardia (2015).

4. CAPACITACIÓN INTERPOL (7 PDF): formularios de inscripción de agentes de la DIM en una capacitación de Interpol (11/2016) y formularios para participar en una reunión operativa (15 al 17 de noviembre de 2016).

5. CHINOS CORRIENTES (37 PDF y 1 Word): informe sobre posible cohecho en la Delegación Corrientes/Chaco, con descripción de modus operandi, forma de pago, listado de empleados que participarían del hecho y nómina de 78 ciudadanos chinos que iniciaron radicación entre febrero/marzo del 2014. (Existe causa judicial en trámite).

6. CONSULADO DE COLOMBIA (5 PDF): escaneo de expediente del año 2016, procedente del Ministerio de Relaciones Exteriores solicitando información sobre colombianos en algunas provincias, a pedido del Cónsul General de Colombia en Argentina para evaluar la instalación de Consulados Móviles.

Nota formal del Cónsul General de Colombia en Argentina con la solicitud. Cuadro estadístico con radicaciones resueltas e iniciadas de ciudadanos colombianos en dichas provincias. (8/2016)

7. DELEGACIÓN ENTRE RIOS (14 PDF): memo remitiendo nota de la GNA y PNA solicitando datos estadísticos. Nota del Centro de Reunión de Información “Concepción del Uruguay” de la GNA, solicitando datos estadísticos de la situación migratoria de extranjeros en la provincia de Entre Ríos, en los años 2015 y 2016. (6/2016)

8. EMBAJADA DE EEUU (6 PDF y 1 Word): nota formal (expte.) del Vicecónsul Derek Wright solicitando datos de cantidad de ciudadanos estadounidenses que ingresaron al país en calidad de turistas.

9. EMBAJADA DE MEXICO (6 PDF y 1 Word): nota formal (expte.) del Encargado de Negocios, Alejandro Alba solicitando datos estadísticos de mexicanos que se encuentran viviendo en la Argentina.

10. EMBAJADA DE RUMANIA (4 PDF y 1 Word): nota formal (expte.) de la Embajadora de Rumania Carmen Podgorean solicitando datos estadísticos de ciudadanos rumanos que se establecieron en la Argentina

11. EMBAJADA FILIPINAS (8 PDF): nota formal (expte.) de la Cónsul Ma. Carmela Teresa A. Cabreira solicitando cantidad de ciudadanos filipinos residentes en la Argentina.

12. INFORME INTERPOL FLUJOS MIGRATORIOS (7 PDF y 1 Word): nota de Interpol a la Directora de la DIM remitiendo un documento denominado “Apreciación de flujos migratorios por grandes eventos en Sudamérica”. Está el informe de Interpol escaneado (7/2015).

13. INICIATIVA INTERNACIONAL DE ACELERACION DE LOS TRAMITES DE VIAJE PARA EXTRANJEROS (6 PDF): escaneo de la Declaración Conjunta Relativa a la Cooperación entre el Ministerio de Seguridad y el Ministerio del Interior, Obras Públicas y Vivienda de la República Argentina y la Dirección de Aduanas y Protección Fronteriza de los Estados Unidos del Departamento de Seguridad Nacional de los Estados Unidos tendiente a elaborar una iniciativa internacional de aceleración de los trámites de viaje para pasajeros. GLOBAL ENTRY (8/2016).

Escaneo de dos tarjetas personales de funcionarios de la Embajada de la República Popular China en la República Argentina.

14. MEMOS internos de trabajo y procedimientos varios

La presencia de Netwalker en el mundo (McAfee)
La presencia de Netwalker en el mundo (McAfee)

Sospechas de colaboración interna

Para afectar el sistema informático y secuestrar información el software malicioso Netwalker tuvo que haber recurrido, principalmente, a una de estas dos opciones: phishing o suplantación de identidad, que consiste en engañar a un usuario interno de la organización para que ingrese a un sitio en apariencia genunino pero que en realidad es fraudulento y deje sus credenciales de acceso. Con esos datos, el atacante logra obtener contraseñas que utiliza para entrar al sistema y plantar el software malicioso (malware) que cifra la información.

La otra opción es que un usuario interno de Migraciones o con acceso privilegiado a la infraestructura informática de la entidad haya sido quien plantó el malware. En este caso, entonces, el atacante no sería externo sino interno. Y ésta es una de las sospechas que crece en el seno de la Casa Rosada.

Qué medidas de seguridad se tomaron tras este incidente

Como primera medida, se limitaron y se revalidaron las claves de acceso a la información de las bases de datos de migraciones: para los usuarios externos se estableció un ámbito de coordinación con un representante de cada una de las policías migratorias (Policía Federal, Policía Metropolitana, Gendarmería, Prefectura y Policía de Seguridad Aeroportuaria) y se le redujo la cantidad de claves de acceso a cada fuerza. Por ejemplo en el caso de la Policía Metropolitana se pasó de 19.000 claves a 100 claves.

Además, para los usuarios internos, se limitaron las claves de cada uno de los empleados de la Dirección Nacional de Migraciones, avalada con la conformidad de los superiores inmediatos y de los directores generales del área donde presta servicio.

Por otra parte, la Directora Nacional decidió que todas las claves caduquen anualmente por lo cual el solicitante debe acreditar que sus funciones siguen teniendo incumbencia relativa a la solicitud realizada, al menos una vez al año.

SEGUÍ LEYENDO:

Qué es un ataque de “ransomware” y cómo prevenirlo

Nuevo ciberataque: llega por SMS y secuestra archivos del celular