En las últimas horas se ha publicado un archivo que contiene CUIT y contraseñas de usuarios de AFIP. A continuación algunas preguntas y respuestas.
1. ¿AFIP fue hackeado?
NO, siguen leyendo.
2. ¿Dónde y cómo se publicó el archivo?
-
Se publicó en un conocido foro de hacking y robo de datos. No está en la
Deep Web como han informado algunos medios. -
El archivo se puede descargar desde vario enlaces y se puede visualizar en
texto plano. - NO, no vamos publicar el enlace. Por ahora solo 52 personas (y contando) han descargado el archivo.
3. ¿Cómo puedo saber si mi CUIT y contraseña fueron publicados?
La mejor opción sería acceder al archivo y buscar tu CUIT. Pero, si no puedes
hacer eso, cambia tu contraseña de todos modos.
4. ¿Cuántos registros se publicaron?
5. ¿Probaste los usuarios y contraseñas para verificar sin son correctos?
NO, en Argentina esta acción presume el delito de «acceso indebido», de
acuerdo a la
Ley 26.388
que modificó el Código Penal en 2008.
6. Entonces, ¿qué datos serían «reales»?
pero, de acuerdo al archivo, se puede considerar que cualquier registro con
este formato es correcto:
12345678901:Cl4v3_S3gura
- 82.708 registros – 100%
- 5.040 basura o desconocidos – 6,10%
- 46.144 duplicados – 55,79%
-
Sólo 31.524 registros pertenecen a datos posiblemente reales que muestran la CUIT y la
contraseña del usuario (38,11%)
-
Existe algunos correos electrónicos y contraseñas, presumiblemente
recolectados por error en el mismo archivo -
A vista de pájaro, menos del 1% son claves que se podrían considerar
seguras. La mayoría corresponde a palabras sencillas en español con un
número y una mayúscula. De todos modos, en este contexto, el uso de una
contraseña segura es anecdótica porque pertenece a usuarios infectados.
7. ¿De dónde salieron los datos?
El archivo NO fue robado desde AFIP. Si fuera así, el archivo sería
mucho más grande, tendría otro formato y no tendría basura ni datos
duplicados. Por otro lado, es de presumir que la entidad almacena las
contraseñas de forma hasheada.
Entonces, el archivo parece una recopilación bastante patética realizada desde
usuarios infectados y cuyos datos fueron recolectados con un
keylogger, passwors stealer o similar, durante algún tiempo.
8. ¿Los datos podrían ser viejos y estar desactualizados?
Sí, pero más vale prevenir que curar. Es tu cuenta, es tu decisión.
9. ¿Qué debo hacer?
Debes cambiar la contraseña y avisarle a todos tus amigos que hagan lo
mismo.
Pero, independientemente de si tu contraseña y débil o fuerte, si estas infectado con un malware, de nada sirve cambiar la contraseña. Debes asegurarte que la computadora que utilizas para acceder a servicios sensibles (como AFIP), no está infectada.
10. ¿AFIP dispone de segundo factor de autenticación (2FA)?
Sí, AFIP dispone de una aplicación móvil para Android y iOS, la cual debes activar desde un cajero automático o en una filial del organismo. En caso de activar el 2FA, el mismo se hará sobre el teléfono personal de cada usuario.
11. ¿Debo compartir la contraseña de AFIP con mi contador?
El organismo nacional
permite tramitar
la posibilidad de delegar algunos servicios puestos a nombre de un titular para
que los use otra persona, por ejemplo, tu contador.
Este sería el procedimiento recomendado PERO, ¿qué sucede si la contraseña del
contador es comprometida? El atacante accedería a todos los servicios
administrados por ese mismo contador. Entonces, ¿no sería preferible cambiar
la contraseña cada cierto tiempo y que la seguridad dependa de esa contraseña? Tener en cuenta, que si activas el 2FA en tú teléfono, no podrás compartir el acceso con tu contador y, en este caso, debes delegar los servicios necesarios.
Idealmente, AFIP debería ofrecer un método seguro de autenticación a través de
2FA y passwordless, pero, mientras tanto deberemos seguir dependiendo
de este tipo de situaciones.
Actualización: AFIP ha publicado un comunicado oficial.