Se han identificado varios usuarios sospechosos que han intentado entrar en la base de datos para recabar información
28 jun 2024 . Actualizado a las 13:06 h.El Ministerio del Interior sufre el mayor varapalo en cuanto a ciberseguridad de su historia. Ayer, la Guardia Civil informó que se encuentra investigando un asalto informático acontecido durante la primera quincena del año por el que se sustrajeron de la base de datos de la Dirección General de Tráfico (DGT) información de 34,4 millones de conductores y vehículos, entre los que figurarían los nombres, documentos de identidad, direcciones y matrículas de los conductores. Una materia prima que en la deep web se compra por cientos de miles de euros y que podría ser utilizada para llevar a cabo operaciones con identidades suplantadas, conocidas como phishing.
«Tenemos acceso a consultar cualquier matrícula o documento de los conductores. También vendemos la base de datos al completo con 34.418.270 de filas», menciona el usuario PeTu en la web BreachForums, un foro de jáqueres que el FBI ha intentado cerrar en varias ocasiones. Un rápido vistazo a otras publicaciones de la web saca a relucir que los usuarios de esta plataforma también han conseguido datos de usuarios de plataformas de conciertos como Live Nation o Ticketmaster y de trabajadores de oenegés como UNICEF, cuyo precio ronda aproximadamente los 500.000 dólares. Si bien los datos de la DGT no tienen precio, se estima que sea cercano a esa cifra. Además, dicha información puede no comprarse y simplemente ser consultada por otro precio que, aún así, sería elevado.
La DGT supo del ataque el 13 de mayo, y pudo identificar varios intentos de acceso a la base de datos de la central de Madrid, por lo que puso en conocimiento de la Guardia Civil dicho intento de ataque. El Grupo de Investigación y Análisis de Tráfico (GIAT) de la Guardia Civil se hace cargo ahora de la investigación y ya tiene en su poder los datos de los usuarios sospechosos del intento de irrupción al archivo de Tráfico.
De momento, lo que sí descarta la Policía es que el caso esté relacionado con la detención de un joven murciano de 27 años que el pasado mes de febrero se hizo con los datos de 40 millones de matrículas en un período de cuatro años al conseguir acceder a los datos de la DGT con el certificado digital de su madre sin su consentimiento.
Un negocio en alza
La información recopilada por los jáqueres de BreachForums es un caramelo para las personas que se dedican al phishing, un tipo de suplantación de identidad para realizar estafas. Un experto en ciberseguridad consultado asegura que «junto con estos datos, si consiguen el número de teléfono o el correo electrónico de las personas afectadas, podrían hacerse con las contraseñas de las cuentas bancarias y las redes sociales de los defraudados. Sería más difícil si tienen autentificación de dos factores en sus cuentas, pero aún así habrá quien tenga suerte», asegura.
El Informe de Seguridad Nacional del 2023 indicó que el año pasado se produjeron 107.777 ataques cibernéticos en nuestro país. Una cifra que supone un incremento del 94 % respecto al 2022 y del 1.385 % desde el 2014, aunque la mayoría serían leves.
Un asalto sin cesar a empresas, Gobierno y Poder Judicial
La DGT se suma a una larga lista de instituciones atacadas cibernéticamente en los últimos meses, desde empresas a bancos e instituciones políticas, con cientos de miles de datos robados.
El pasado 7 de mayo, un ataque de jáquers afectó a 600.000 clientes de Iberdrola, en el que se sustrajeron nombre, apellidos, número de DNI y datos de contacto de los afectados. También se filtraron los datos de otros 250.000 asociados con Curenergía, empresa vinculada a la energética. «Tan pronto como fue detectado el ataque, lo neutralizamos y activamos medidas de refuerzo para evitar su repetición. Adicionalmente, pusimos los hechos en conocimiento de las autoridades competentes, entre ellas la Agencia Española de Protección de Datos», indicó en un comunicado Iberdrola, que luego vería los datos filtrados a la venta en Telegram en forma de paquete común de 1,5 gigas de tamaño.
En marzo, fue Telefónica la que sufrió presuntamente el acoso de los jáqueres y reveló que 120.000 usuarios habrían visto vulnerados sus nombres completos, teléfonos y direcciones postales, información no sensible para los usuarios. La mayor empresa de telecomunicaciones del país se encuentra verificando el alcance real del ataque, ya que la información fue publicada primeramente en la deep web y ahora la compañía quiere saber si hubo más, si el robo de información fue real o si se robaron más datos.
Del Gobierno al CGPJ
El mismo marzo, Air Europa también se vio perjudicada por un ciberataque que dejó al descubierto nombres, DNI o pasaportes, direcciones postales, códigos de viajero frecuente, fechas de nacimiento, números de teléfono y direcciones de correo. La compañía no quiso informar del número de personas afectadas, pero se situó en un punto delicado, ya que en octubre del 2023, unas 100.000 personas que utilizaron sus servicios fueron contactadas por la aerolínea para cancelar sus tarjetas, ya que los datos de estas fueron filtrados.
La política también se vio afectada. El grupo ruso NoName057 dejó el pasado 23 de julio inoperativas de forma momentánea las páginas web del Ministerio del Interior, el Instituto Nacional de Estadística (INE), la Moncloa, Renfe y Socibus. El grupo reivindicó a través de un comunicado que la agresión se produjo por «el apoyo al régimen de Zelenski por parte de las autoridades rusofóbicas de España con el dinero de sus contribuyentes. El ataque ocurrió durante la votación de las elecciones generales. «No nos importa si la derecha o la izquierda llegan al poder en este país hoy: ambos lados se adhieren a una posición proeuropea», subrayaron.
En marzo del 2023, el Hospital Clínic de Barcelona sufrió la misma suerte y otro grupo de piratas informáticos sustrajo hasta 4.000 gigas de información del centro y canceló cirugías no urgentes y consultas externas de pacientes. Además, Alcasec, un joven de 20 años, consiguió jaquear en el 2022 la base de datos del CGPJ y robó los datos de unos 500.00 contribuyentes, por lo que fue detenido la semana pasada.
La carrera de BreachForums: dos golpes del FBI y unos líderes millonarios
La filtración de datos de la DGT es el último golpe del portal BreachForums, pero no el primero. Su extensa red de jáquers ha conseguido montar un negocio de compraventa de datos personales en distintos sectores comerciales que les ha llevado a estar bajo la lupa e incautación del FBI en al menos dos ocasiones.
El portal es heredero del ahora extinto RaidForums, que estuvo activo desde el 2015 al 2022, cuando el buró federal estadounidense consiguió arrestar a su jefe, Diogo Santos Coelho, un joven portugués de 24 años cuyas brechas en la red habrían causado un daño de 400 millones de libras según el Mirror. Ahora enfrenta un proceso de extradición desde el Reino Unido a Estados Unidos para afrontar hasta 52 años de cárcel por múltiples delitos cibernéticos, aunque su defensa trata de impedirlo y alega que es «especialmente vulnerable» porque padece de autismo.
Su sucesor y fundador de BreachForums como plataforma heredera de esta compraventa de información fue Connor Brian Fitzpatrick, de 21 años y que utilizaba el alias de Pompompurin, que también fue detenido. Fue puesto en libertad al pago de una fianza de 300.000 dólares y nuevamente condenado a 20 años de libertad vigilada y la prohibición de utilizar equipo electrónico avanzado en enero. Ahora, la web, incautada en dos ocasiones por el FBI, está en manos de los usuarios ShinyHunters y Baphomet.