Infraestructura digital del Estado comprometida por diversos ataques digitales realizados durante el 2022
Dos hospitales, dos ministerios, un municipio y una entidad del distrito fueron víctimas de robo de información que se vende en mercado negro.
Cualquier persona que quiera entrar a la plataforma de gestión de nómina del municipio de Plato, Magdalena, Colombia, puede acceder sin problema gracias a que la URL, el nombre de administrador y correo electrónico de la plataforma que gestiona el personal del municipio se encuentra en línea.
La información, que debería ser secreta, circula sin ningún control en canales de venta de datos y como nadie la compró está disponible gratuitamente para quien quiera entrar al aplicativo.
Esta información está disponible en línea desde el pasado mes de febrero. La información de los datos robados y compartidos muestra el bajo nivel de seguridad que tiene quien implementó el aplicativo ya que el nombre de usuarios es admin@admin.com.
La información para el acceso a la plataforma incluye una URL de la forma http://181.49. (Incluye más números que no se comparten) que lleva a donde está instalado el aplicativo de gestión de nómina. Allí se puede leer la frase Treasury, Gestión de Recursos públicos, y aparecen los espacios para introducir los datos para acceso. Una vez se introduce el nombre del administrador y la contraseña se ingresa al sistema.
Como prueba el atacante publicó imagen una vez tuvo acceso al aplicativo.
Este es tan solo uno de los 11 casos que MuchoHacker.lol identificó consultando diferentes fuentes donde, en diversos ataques, se compromete infraestructura digital pública y que podrían ser el inicio de ataques posteriores.
1. Posible acceso a WordPress instalado en dominios .gov.co
Un atacante denominado Baran Blackhat publicó para la venta un supuesto acceso al gestor de contenido WordPress que esté instalado sobre el dominio Gov.co que estarían utilizando diferentes entidades del Estado.
El atacante probó que tiene acceso al popular sistema de gestión de contenido publicando un pantallazo donde se demuestra acceso a la plataforma. En teoría la imagen muestra una sección a la que solo se puede acceder con una clave de administrador del sistema.
MuchoHacker.lol se comunicó con el vendedor en condición de periodista y el delincuente pidió dinero por responder unas preguntas. Se le explicó que éticamente no era posible hacer una entrevista por dinero y aceptó responder unas preguntas.
Indicó que no tiene acceso a todos los WordPress instalados en el dominio y precisó que solo tiene acceso a los que son vulnerables. Igualmente contó que lo hace por dinero. “Gobiernos pagan buen dinero por información de sus vecinos” agregó.
No se ha podido verificar con un tercero si la información publicada por esta persona es real.
2. Correos en venta
Según la compañía de ciberseguridad LUMU los correos del Ministerio de Industria y Comercio, Departamento Nacional de Planeación y la Secretaría Distrital del Hábitat en Bogotá están siendo comercializados en el mercado negro.
En una alerta emitida por parte de esta organización las tres entidades de carácter público pudieron sufrir un incidente digital y producto de estos sus correos electrónicos se encuentran a la venta.
Aparte de las tres grandes entidades también aparece en el listado http://escuelanaval.edu.co que pertenece a la Escuela Naval de Cadetes Almirante Padilla que se encuentra ubicada en Cartagena e IndeportesAntioquia.gov.co
No se ha podido verificar con un tercero la información publicada por la organización LUMU.
3. Base de datos pertenecientes a dos hospitales
El 10 de diciembre fue publicado en un foro de venta de datos una serie de supuestas bases de datos robadas al Hospital Universitario San Rafael de Tunja.
El atacante llamado amn3s1a publicó una muestra de una base de datos llamada Contenido_hurst que contiene información de correo, nombre y clave de supuestos funcionarios de la entidad. Dentro de la información que se compartió como muestra también están los datos del correo citasweb@hospitalsanrafaeltunja.gov.co.
Igualmente el atacante publicó en PasteHub cuatro muestras de bases de datos con más de 2.060 datos de personas. Se pueden leer sus correos electrónicos, cédula, EPS, nombre, teléfono, dirección, fecha de nacimiento, año de registro, entre otros datos.
Amn3s1a publicó el mismo día otro ataque pero esta vez al Hospital Local Ese Hospital San Juan de Dios de El Santuario, Antioquia. Al igual que Tunja se compartió información del Admin de la página web.
A diferencia de los datos compartidos en Tunja en esta oportunidad están en línea datos personales de 108 supuestos funcionarios. En los datos se incluye el correo institucional, nombre, apellido, password de acceso y dependencia.
MinHacienda
Finalmente un supuesto ciberdelincuente japonés vendió acceso a información del Ministerio de Hacienda de Colombia. El aviso de venta de los datos se publicó el 27 de noviembre. No se conoce qué información pudo ser vendida y si realmente se hizo la transacción. Tampoco existen pruebas del supuesto ataque. Esta publicación donde se dio a conocer el hecho es uno de los foros más importantes del mundo en venta y compra de datos robados.
Caso igual sucede con supuesta información robada a Corpoamazonía. Un ataque asegura tener 25.8 gigas de la entidad que habría robado finalizando el mes de octubre de 2022.
Estos 11 casos muestran una vez más la vulnerabilidad del entorno digital en Colombia. Con varios de los datos que pudieron ser extraídos se pueden realizar otros ataques ya que dentro de esta lista se encuentran hasta contraseñas de administradores de páginas web de entidades.
Listado de 11 entidades atacadas
- http://181.49.247.(XXX) Plato, Magdalena.
- Worpdress instalados en .gov.co
- https://www.mincit.gov.co
- https://www.dnp.gov.co
- https://www.habitatbogota.gov.co
- http://escuelanaval.edu.co
- IndeportesAntioquia.gov.co
- https://www.hospitalsanrafaeltunja.gov.co
- http://www.hospitalelsantuario.gov.co
- https://www.minhacienda.gov.co
- https://www.corpoamazonia.gov.co
También está la EPS Sanitas y El DANE