La compañía estatal de telecomunicaciones uruguaya Antel sufrió un ciberataque sobre la plataforma de autenticación digital TuID. Según circuló en un posteo publicado por la cuenta @IBreaches en su perfil de la red social X, el hackeo habría sido perpetrado por el grupo de hackers La Pampa Leaks, que lo anunció en un foro de la dark web, una parte de la web a la que no se puede acceder comúnmente.
Desde la empresa estatal manifestaron que “el ataque no vulneró las claves de autenticación de TuID ni datos especialmente protegidos de la ciudadanía ni de la empresa”. El grupo asegura haber recopilado números de cédula de identidad, nombres y apellidos, fechas de nacimiento, direcciones de correo electrónico, números de teléfono, domicilios, estados de validación biométrica e incluso datos relacionados con firmas digitales. En su mensaje, el actor de amenazas sostiene haber accedido a información de “cientos de miles de uruguayos”.
Las muestras divulgadas indican que la filtración incluye registros con fechas de actualización, lo que sugiere que el acceso podría haberse producido varios meses atrás. De hecho, fuentes de Antel señalaron que el incidente se habría originado en marzo y que ya fue subsanado.
La información salió a la luz a través de la cuenta especializada en ciberseguridad Indian Breaches (@IBreaches), que difundió en la red social X las capturas del mensaje original publicado en un foro de la dark web. En ese posteo, el grupo LaPampaLeaks afirmó haber mantenido acceso prolongado a la infraestructura de TuID Digital mediante “credenciales API expuestas” y “archivos backend” alojados en servidores de la estatal Antel.
Según su relato, explotaron una vulnerabilidad en el servidor para extraer 8 GB de documentación interna, entre la que se incluirían propuestas, documentos legales, información sobre infraestructura tecnológica, documentación de backend y frontend, y datos de portabilidad numérica. Como prueba de sus afirmaciones, los atacantes publicaron imágenes con datos de personas públicas:
Según circuló en un posteo que también la cuenta @IBreaches publicó en su perfil de X, en el foro los integrantes del grupo afirman haber ingresado a la plataforma de autenticación del ente, lo que les permitió extraer un conjunto de datos e información personal de las personas que se registraron en el servicio, que incluye sus nombres, fechas de nacimiento, números de teléfono, correos electrónicos, datos de validación biométrica y la dirección de sus hogares.
Como prueba, adjuntaron imágenes de los supuestos datos, en las que se puede reconocer –si bien están difuminados– fotografías del periodista Eduardo Preve, el exdirector de la Agencia del Gobierno Electrónico y la Sociedad de la Información y el Conocimiento, Daniel Mordecki, y la senadora del Partido Nacional Graciela Bianchi, entre otros.
El ente estatal reconoció un incidente en su plataforma de identidad digital y denunció el hecho ante la Justicia. Los atacantes, el mismo grupo que ya vulneró sistemas de Ceibal -centro de innovación educativa con tecnologías digitales del Estado uruguayo, al servicio de las políticas públicas educativas- y otros organismos, aseguran haber extraído información personal de cientos de miles de ciudadanos. Antel afirma que no se comprometieron claves ni la firma electrónica avanzada.
No es la primera vez que PampaLeaks se atribuye un ciberataque ocurrido en Uruguay; el año pasado, el grupo filtró bases de datos de usuarios de Ceibal y la plataforma Crea, así como de la Dirección Nacional de Aviación Civil e Infraestructura Aeronaútica. También había hackeado los sitios web de la Fiscalía General de la Nación y la Masonería Uruguaya.
En el comunicado de prensa, al que accedió la diaria, desde el ente explicaron que se pusieron en marcha “los procedimientos correspondientes para este tipo de situaciones”, y aseguraron que las investigaciones determinaron que “el ataque no vulneró las claves de autenticación de TuID ni datos especialmente protegidos de la ciudadanía ni de la empresa”. Es así que manifestaron que “la confiabilidad del sistema de firma electrónica avanzada” permanece intacta.
Sin embargo, en el foro el grupo afirma haber obtenido una serie de archivos internos en el servidor de la estatal telefónica Antel, incluidas APIs –interfaz de programación de aplicaciones, código que permite interactuar con el servicio– y claves privadas, que permitirían “cambiar contraseñas o configuraciones, efectivamente ganando control sobre las identidades digitales de cientos de miles de uruguayos”.
“En cumplimiento de la normativa se realizó una contención inmediata del ataque y se aplicaron las medidas correctivas necesarias para detener la actividad ilícita”, explicaron desde Antel, e informaron que “se realizaron las denuncias correspondientes ante la Fiscalía General de la Nación y el Ministerio del Interior”.
Por último, desde la compañía estatal solicitaron a la ciudadanía “ignorar solicitudes de datos personales, códigos o contraseñas” para mitigar fraudes, y recordaron que se encuentra disponible un portal informativo en la página web.
Especialistas en ciberseguridad consultados por radio Monte Carlo señalaron que el incidente pone de manifiesto “fallas en la plataforma” que permitieron a los delincuentes acceder a la información, aunque reconocieron que la reacción de Antel fue rápida y que los protocolos de contención funcionaron según lo previsto. Sin embargo, advirtieron que la exposición de datos, incluso aquellos que el ente considera no “especialmente protegidos”, constituye un riesgo significativo para los ciudadanos afectados, ya que esa información puede ser utilizada para campañas de suplantación de identidad o fraudes dirigidos.
Si bien la firma electrónica avanzada no fue vulnerada, la credibilidad de los sistemas de autenticación digital depende en gran medida de la percepción de seguridad que generan en la ciudadanía. Según los expertos, la confianza es el activo más importante de una plataforma de identidad digital. Cada incidente de este tipo erosiona esa confianza, aunque los datos más críticos no hayan sido comprometidos.
Los analistas señalan que mientras este acceso estuvo vivo, el atacante tuvo la oportunidad de scrapear la base de datos entera de probablemente todos los usuarios de identidad digital. Ahí es donde radica el verdadero problema.
Esa base de datos consolidada no está pública aún. Teniendo en cuenta el perfil del atacante, lo más seguro es que termine monetizando esto como un servicio de búsqueda de información como ya ha hecho en el pasado. Asimismo recuerdan que no se puede avanzar hacia la digitalización total sin antes demostrar aptitud en ciberseguridad básica.
*Periodista uruguayo, analista asociado al Centro Latinoamericano de Análisis Estratégico (CLAE, www.estrategia.la)
Los comentarios están cerrados, pero trackbacks Y pingbacks están abiertos.