El 7 de marzo, el grupo de inteligencia cibercriminal DarkTracer publicó un informe en el que aseguraba que más de 1,7 millones de credenciales (usuario y contraseña) de más de 49.000 sitios estatales de diferentes países del mundo habían sido infectados con diferentes malwares de tipo stealer, es decir, diseñados para robar contraseñas y datos de acceso de los principales navegadores de internet, concretamente los basados en Chromium (Google Chrome, Opera y Edge) y Gecko (Firefox y otros).

De acuerdo a ese informe, al que tuvo acceso la diaria, en nuestro país fueron afectados por lo menos 1.882 usuarios de 25 sitios hackeados. Esto puede incluir tanto autoridades como usuarios generales de los diferentes sitios del gobierno. Dada la escala del hackeo, no resulta arriesgado asumir que existan ambos casos.

La siguiente es una lista de sitios del gobierno uruguayo cuyas credenciales (acceso y contraseña) de usuarios fueron comprometidas:

Sitio Cantidad de usuarios comprometidos
mintur.gub.uy 364
scp.bps.gub.uy 320
mi.iduruguay.gub.uy 304
servicios.dgi.gub.uy 166
eid.portal.gub.uy 117
sga.gub.uy 75
cambiocontp.bps.gub.uy 74
app1.bps.gub.uy 44
portal.vuce.gub.uy 43
viatrabajo.mtss.gub.uy 42
cgn.gub.uy 41
consultadeuda.bcu.gub.uy 35
sigga.sga.gub.uy 29
comprasestatales.gub.uy 28
campus.msp.gub.uy 23
dnsffaa.gub.uy 23
sede.catastro.gub.uy 21
becas.mec.gub.uy 20
dgr.gub.uy 19
educacion.mec.gub.uy 19
correo.minterior.gub.uy 17
dnassp.minterior.gub.uy 17
rad.miem.gub.uy 16
montevideo.gub.uy 13
comunicaciones.poderjudicial.gub.uy 12

la diaria intentó contactarse, sin éxito, con el Centro Nacional de Respuesta a Incidentes de Seguridad Informática, dependiente de Agesic. Tampoco hubo respuesta desde el área de la Intendencia de Montevideo dedicada a estos problemas.

Javier Smaldone, experto en informática argentino, corrobora que DarkTracer “es una empresa que vende un servicio de reportes de filtraciones a suscriptores, y que son bastante conocidos y consultados en la comunidad, siempre, hasta ahora, brindando información confiable ya que su negocio depende de eso. Es una fuente bastante fiable”.

Smaldone también aclara que no es un “ataque al gobierno”, sino un “ataque a usuarios” por medio de diferentes malwares que roban contraseñas. Smaldone también hace referencia a la repercusión del caso en Argentina, donde la mayor cantidad de cuentas afectadas fue en la Administración Federal de Ingresos Púbicos (AFIP), “lo que no implica una vulnerabilidad en la AFIP, sino en diferentes usuarios que lo usan”.

Sobre las potenciales implicaciones del hackeo, Smaldone opina que en Argentina, “a nivel de un ciudadano común, podrán cambiar las categorías de asignación impositiva, sacar información, hacer algún trámite, no mucho más de eso”. Sin embargo, apuntó, al poder comprometer los correos electrónicos e ir obteniendo información de los usuarios, “estos problemas menores pueden transformarse en más graves al usarse la información y los accesos obtenidos como vector de ataques más grandes, por lo que las organizaciones comprometidas deberían estudiar las cuentas comprometidas, ver si hay accesos sospechosos y qué tipo de información podría haber obtenido el atacante”.

El experto argentino aclara que “en 2022 ninguna organización debería ‘sufrir’ por que se revele el usuario y contraseña de alguien, ya que debería ser obligatorio que en cualquier sistema que maneje información medianamente sensible haya un segundo factor de autenticación [2FA], por ejemplo, el envío de SMS a una línea telefónica de celular o aplicaciones como Google Authenticator y similares”.