Un grupo de hackers que se hace llamar Everest puso a la venta en la Deep Web — también mencionada a veces como Dark Web o Internet profunda, entre otros — una serie de documentos que, según aseguran sus integrantes, contienen datos estatales de Argentina. El precio que piden por ese paquete a cambio es el equivalente a USD 200.000 en criptomonedas.
Ante esto, la Casa Rosada inició una profunda investigación para chequear la veracidad o no de lo sucedido. Importa saber qué se expuso y cómo, de dónde proviene todo esto.
Hablando técnicamente, se estaría ante un ataque de ransomware. Es decir, la infección de un equipo/computadora (o más) en donde se ejecutan programas maliciosos que recolectan y roban información local y dedicada. El programa la encripta e imposibilita que el usuario pueda acceder a ella. A cambio se le suele exigir un pago, normalmente en criptomonedas para que sea difícil rastrear al (o los) responsable(s).
El origen
Este presunto robo de datos — aún no está confirmado como tal — trascendió en primera instancia a través del perfil Dark Tracer: Darkweb Criminal Intelligence. El mismo suele publicar alertas referidas al secuestro de datos y otras actividades afines a lo cibercriminal. “La banda de ransomware Everest anunció al gobierno de la Argentina en la lista de víctimas”, se informó desde Dark Tracer.
Everest y su anuncio
La imagen superior a estas líneas es una captura de pantalla de la presentación de la documentación secuestrada. Se encuentra en inglés y dice lo siguiente (traducido):
Argentina GOV
Acceso gubernamental en venta. Acceso a una variedad de servicios de inranet (sic).
Acceso a la base de datos, incluyendo VPN, servidor mysql y varios servicios.
El documento contiene informaciones financieras.
Los documentos no se venden por separado, solo acceso.
¿Qué dice el Gobierno argentino?
Voces autorizadas desde el Gobierno Nacional declararon:
El Equipo de Respuesta ante Emergencias Informáticas nacional (CERT, por su sigla en inglés) está investigando la veracidad del caso informado por redes sociales.
También estamos haciendo monitoreo de infraestructuras y comunicando a todos los organismos públicos recomendaciones y buenas prácticas de seguridad en puntos estratégicos.
La palabra de una experta
El medio Infobae consultó a Martina López, investigadora de ciberseguridad de ESET Latinoamérica. Ella comentó al respecto:
La banda detrás del ransomware Everest es reciente, con poco más de 35 ataques retribuidos en su sitio dentro de la Dark Web. No cuenta con grandes piezas de información sobre su organización o ataques objetivos, como sí lo hacen otros sitios. Es una de las tantas bandas que mediante un ataque de ransomware, ya sea ejecutado por estos o por terceros en un sistema de Ransomware-as-a-Service (o ransomware como servicio, en donde los cibercriminales ofrecen la amenaza a terceros que la despliegan y realizan el ataque en sí), ya no solo cifran la información sino que también es utilizada como herramienta de extorsión.
Los afectados ante este tipo de ataques no solamente son gobiernos, también puede involucrarse a hospitales, aerolíneas, un particular famoso/poderoso y un largo etcétera de posibilidades. “En algunos casos, se ha liberado parcial o totalmente la información robada de manera gratuita debido a, según los criminales, una falta de comunicación por parte de las víctimas”, agregó López.
Lo que sí, en el presente suceso no se han emitido pruebas sobre la tenencia de la información que Everest se autoproclama. “Además, tampoco se aclara qué sub-sitio o sub-entidad fue atacada”, dice López.
Antecedentes
Pocos días atrás el perfil de Dark Tracer notificó que el grupo Everest había puesto a la venta en la Deep Web datos del Ministerio de Economía de Perú por los cuales solicitaba USD 30.000. También ofreció información de la Policía de Brasil (“acceso a todo el servicio de extranet/intranet”) por USD 50.000.
Por otro lado, queda la duda de si el supuesto hackeo que habría sufrido el Registro Nacional de las Personas (Renaper), organismo dependiente del Ministerio de Salud de Argentina, tiene vinculación alguna con lo actual de Everest o cumple como antecedente. Renaper negó en su momento que se hubiese tratado de un hackeo, pero sí reconoció que con “el uso de claves otorgadas a organismos públicos, en este caso el Ministerio de Salud, se filtraron imágenes como perteneciente a trámites personales realizados en el Renaper”.
Sobre ello, el diario La Nación indica que desde el Ministerio de Salud “señalaron que no fue uno, sino que existieron dos accesos que se usaron para consultar parte de los datos del Renaper, donde se encuentran las direcciones, teléfonos, fotos y número de trámite de DNI, entre otras cosas”.
