You have not selected any currencies to display

Bl0ckch41nnewsRENAPER solo expone la deficiencias del Estado Argentino en Ciberseguridad

16


Al Estado argentino nunca le importó la ciberseguridad. En los últimos
20 años las palabras «seguridad», «ciberseguridad», «seguridad informática»,
«seguridad de la información», «datos personales», llámalo como quieras,
simplemente fue una mentira en los políticos y dirigentes de turno.

Nota para monos entrenados: este NO es un problema de Milei, Cristina,
Macri, etc. Este NO es un problema de UN gobierno, es un problema del
Estado Argentino y la desidia respecto al tema.

Este es un capítulo más, para terminar de poner el último clavo al cajón de
los datos personales de TODOS los argentinos y al REgistro NAcional de las
PERsonas (ReNaPer).

Durante 2021, hubo diferentes filtraciones que involucraron a dicho Organismo,
a los DNI y pasaportes de los ciudadanos argentinos. Luego de nuestra
publicación en octubre de 2021 y durante los últimos años ReNaPer se ha
encargado de DESMENTIR en diferentes oportunidades y en cuanto foro público
tuviera la oportunidad, que «dicha filtración de datos era falsa»,
incluso con la evidencia tangible de los archivos y las fotos de los DNIs de
todos nosotros publicados en Internet.
Esta negación se acaba de repetir hace 5 minutos.

Este comportamiento se repitió sistemáticamente durante 2022, 2023 y 2024 para
sistemas de ReNaPer, SISA (salud), DNRPA, y tantos otros y, hoy apareció la
frutilla del postre porque, en el Estado argentino, siempre puede ser peor.
Para muestra vale un botón: ReNaPer solo es uno de los Organismos que
expone la deficiencias del Estado Argentino en Ciberseguridad.

Se acaba de publicar (en un dominio ONION en la Deep Web) una base de datos de
65 millones de registros de los DNI. Podríamos decir «noticia vieja» porque,
¿quién no ha hecho backup de una de las base de datos más importantes del país
y la ha puesto a disposición de cualquier delincuente?

NOTA: lo único que (aún) no se ha publicado de forma completa
son las fotos, huella dactilar y firma de las personas, las cuales fueron
puestos a la venta por el delincuente. De todos modos, parte de estos datos ya
habían sido publicados a principio de año por otro delincuente (¿o el mismo?).

La noticia «nueva» es que, a este conjuntos de datos, se ha sumado el código
fuente PHP de aplicaciones internas del Organismo, los Web Services y APIs que
son utilizados por otras organizaciones, empresas, bancos, fintech,
supermercados, obras sociales, etc. para verificar la identidad de una
persona. Sí, cada vez que alguien te pide tu foto o tu DNI, esos datos son
contrastados contra ReNaPer, a través de un servicio por el cual el Organismo
cobra (sí, cobra por ese servicio).


Dentro del código fuente mencionado también se encuentran las direcciones IPs
de los servidores internos, así como el nombre de usuario y contraseña que
permite acceder a todas las bases de datos del Organismo.

Sería el equivalente a decir que todas las aplicaciones sensibles de la
entidad ahora son Open Source. Dejando las «bromas» de lado, también
expone las vulnerabilidades que tiene el código fuente (por ejemplo, SQLi y
XSS) así como los detalles internos de su funcionamiento.

También es importante remarcar que, si bien los datos se publicaron hoy,
eso no implica que se hayan extraído hoy.

Tampoco implica que el delincuente haya sido bloqueado, detectado, encontrado
o que incluso siga dentro de los sistemas de la Organización o haya logrado
persistencia en los mismos. Pensar de forma tan lineal es ridículo; un trabajo
de este tipo y por el volumen de datos, puede llevar bastante tiempo (y a
veces paciencia) de acuerdo a las técnicas utilizadas por el delincuente (por
ejemplo, se puede observar una webshell en una las imágenes).

En una observación rápida de lo expuesto, hay archivos de código fuente de
JULIO/2022 (día del amigo) y PARECE que los SQL robados fueron grabados a
disco el 9 de marzo de 2024.

En conclusión, ahora los datos de todos los ciudadanos argentinos están
publicados en Internet junto a diferentes APIs y formas de conexión con otros
organismos y empresas y los clientes de los mismos.

  • La recomendación para las empresas es cambiar los accesos a dichas APIs.
  • La recomendación para los ciudadanos… no hay; los datos ya son públicos.
    Cambiar el DNI tampoco es una solución, porque esto puede volver a suceder
    y, en última instancia, la mayoría de nuestros datos personales no cambian
    (el número de trámite es la excepción).

Las implicancias de esta fuga están por verse pero mientras, ¿qué espera el
Estado argentino para tomar acciones, investigar, encontrar a los delincuentes
(internos y externos) y a partir de ahora,
comenzar a pensar en la Ciberseguridad como Política de Estado?

MENSAJE PARA ReNaPer: no nieguen el problema, informen, digan la verdad y
veamos como seguir para adelante desde aquí. El Estado es responsable.

Lic. Cristian Borghello, Director de Segu-Info





Source link

Los comentarios están cerrados.