Sacan a la venta lo que serían 25 millones de datos que podrían pertenecer a usuarios del Sisbén
Su costo es de 900 dólares, vendedor dice tener ocho millones de registros telefónicos. Publican muestra con 12.001 registros.
El pasado 17 de febrero inició la venta de una supuesta base de datos de usuarios del Sisben. Un usuario de un foro anunció que tenía en su control documentos del sistema de identificación de potenciales beneficiarios de programas sociales en Colombia (Sisben), entidad manejada por el Departamento Planeación de Nacional.
En el clasificado de venta se indica que la base de datos contiene 25 millones de registros. Igualmente, 8,5 millones de datos telefónicos únicos y alrededor de 1 millón de correos electrónicos.
Un registro se trata de un dato incluido en una base de datos que al organizarse en una hoja de cálculo puede indicar una celda con cualquier tipo de información.
El atacante cobra 900 dólares por la información y comparte como prueba de los datos robados un archivo en bruto con información privada.
No se ha podido verificar con un tercero si los 25 millones de datos robados son una realidad pero sí se pudo comprobar una muestra 12.0001 datos que representarían 2.940.245 registros o datos que pertenecen a familias de dos localidades en el departamento de Antioquia.
El Bagre, Antioquia
El vendedor de la información robada publicó una muestra de datos en un repositorio llamado Gofile. Allí más de 45 usuarios han descargado la información. La muestra es un archivo en formato TXT, en bruto como se observa en esta imagen.
En el proceso de verificación de los supuestos datos robados se descargó la prueba, se ordenó en columnas y procedimos a verificar qué información fue publicada.
El documento expuesto tiene 245 columnas de datos y 12.0001 filas. Estamos hablando de 2.940.245 datos consignados en un archivo en Excel. Todas las celdas con información podrían pertenecer al Sisben o alguna entidad del Estado. Lo anterior se deduce de cada una de la información consignada en las 245 columnas.
Dos columnas de la base de datos permiten identificar que son datos de personas que viven en el departamento de Antioquia y más específicamente en el municipio del Bagre y Envigado.
Cada entrada tiene más de 245 datos. Esto quiere decir que por una persona se pueden ver información como dirección, georreferenciación, condiciones de vivienda, si tiene servicios públicos o no, entre otros. Todos los datos que podría recopilar una entidad como el Sisben. Por fila se registran 245 datos. Básicamente toda la información posible que se pueda tener sobre una persona.
Por si fuera poco lo anterior están los nombres de supuestos usuarios del sisbén, teléfono y correo electrónico . Se puede leer la cédula, fecha de nacimiento, edad, edad calculada, entre otros datos.
MuchoHacker.lol pudo comprobar que el documento de muestra del ataque contiene 12.0001 datos y aunque existen registros repetidos, ese número puede determinar el alcance de la filtración de datos de personas.
MuchoHacker.lol se comunicó con el Departamento de Planeación Nacional el domingo 22 de enero de 2023 a las 9:28 am. Se usó un mensaje en Twitter. La entidad se comunicó vía dm preguntando dónde se iba a publicar la información. Se les indicó que en el blog. Posteriormente se comunicó un funcionario de la entidad al que se le explicó con detalle técnico el hallazgo. Siendo las 11:26 de la mañana, un día después de levantar la alerta el Departamento Nacional de Planeación no se interesó mostró interés. Funcionario que respondió mensajes indicó que “están revisando el tema”.
Usos de esta información
Básicamente la imaginación es el límite para el uso de tal cantidad de datos de personas. Se pueden ejecutar estrategias de estafa, pishing y ataques digitales de diferentes tipos.
Esta base de datos cobra especialmente relevancia en un periodo de tiempo anterior a las elecciones que afrontará Colombia en los próximos meses. Tan solo saber con detalle las necesidades y precariedades de dos municipios puede habilitar a políticos para ejecutar campañas con mucho detalle.
Tan solo el documento muestra debería alertar a las autoridades de Colombia sobre esta situación pero como en todos los casos que hemos venido denunciando solo existe silencio institucional.
Foto de JacLds
Actualización. Martes 24 de enero de 2023. Hora 3:18.
Un lector de MuchoHacker compartió una base de datos alojada en un repositorio público de datos del gobierno nacional. Por supuesto queda la duda si la base de datos encontrada en la dark web puede ser un conjunto de datos con el que se quiera estafar a alguien que pague los 900 dólares. Para comprobar la información descargamos las dos bases y las comparamos.
La base en el repositorio público pertenece a datos del Sisbén de ciudadanos de la Ciudad de Medellín y tiene 79 columnas. Es un conjunto de datos anónimo. No aparecen nombres o datos privados de personas.
Contrario a la base de datos pública la información robada sí tiene información privada como nombre, cédula, correo electrónico o celular. Igualmente, otra diferencia consiste en los 171 columnas que no tiene la base de datos pública.
Actualización 31 de enero de 2023, 4:06 p.m.
Vía mensaje interno de Twitter una persona con conocimiento técnico de este asunto informó que el 18 de Enero de 2023 informó de esta situación al Colcert.
A pesar de su denuncia ni el DNP ni el Mintic, ni el Colcert se han pronunciado sobre esta filtración que afectaría millones de personas en Colombia.
Si tiene 245 columnas y son 2,940,245 datos en total uno podría estimar algo más de 12 mil usuarios únicos, quizás. Con el respeto y la distancia debida: no son tantos datos, están un poco caros y podrían no ser tan relevantes. Por el funcionamiento de la base de datos de SISBEN podrían ser los datos de un municipio x o suma de municipios chiquitos o si acaso de un departamento mediano.
Tiene razón en parte. Lo que trato de explicar es que son 2,9 millones de registros. Es decir información en una celda. En la verificación se observan datos repetidos o que pueden pertenecer a una sola familia. Determinar el número exacto de afectados no es una tarea mía. Debería hacerlo el dnp. En aras de una comprensión editorial se hace un registro con los datos que se tienen
Su tarea editorial sería tambien aportar opinión experta y poner las cosas en perspectiva. No trabajo con DNP ni estoy vinculado con este asunto pero siento que le ha dado mucha rimbombancia a un dato que puede resultar irrelevante si uno va un poquito más allá. Hay cosas graves que pasan día a día y no debería dejar de estar pendiente de los temas, pero la expectativa de un escandalo nacional por esto, como ha intentado expresar en Twitter, no lo sé… A propósito de la opinión experta y de poner las cosas en perspectiva sería interesante investigar como funciona la base de datos del SISBEN, no solo para evidenciar el posible impacto de esto sino ademas para ayudar a entender que fue lo que pasó. Con respeto, es solo mi opinión no experta.
Antonia. Gracias por el comentario. Sin embargo no estoy de acuerdo.
Yo no soy el que está obligado en “poner en perspectiva”. Se debe entender qué tipo de publicación es esta.
Es un blog, de un periodista independiente, sin ánimo de lucro y con la intención de contar historias de interés público. Su exigencia es injusta. La comprendería si por ejemplo si usted pagara por el contenido que lee en este portal o yo fuera un medio de comunicación masivo o público.
Yo tengo muy claro que situaciones como esta requieren una explicación. Pero yo no soy el que las tiene que dar. La entidad afectada debió responder mis continuas peticiones y son ellos los que “deberían explicar cómo funciona la base de datos del Sisben”. O bien pueda hacer esa exigencia a medios con músculo económico y editorial. Acá no es aceptable esa exigencia. Aunque valoro la idea de dar mejores explicaciones. Sin duda se puede mejorar en eso.
Finalmente su apreciación donde insinúa que estas publicaciones se hacen para generar un “escándalo nacional” son injustas y muestran claramente que no tiene idea cómo funciona la actividad periodística profesional. Por supuesto es una opinión respetable y sumamente injusta.
Para evitar comentarios como el suyo hace meses desarrollé un lineamiento editorial y ético para este blog. Lo puede leer. No se demora.
Ahí explico que nada de lo que usted me acusa es parte del lineamiento ético y editorial de esta publicación. Yo no tengo como criterio editorial “el generar escándalos” o crear publicaciones escandalosas. Eso lo puede leer en Semana, El Tiempo o Caracol Noticias.
De acuerdo con todo.
No entiendo como funciona la actividad periodística profesional. Voy a leer 25 veces el lineamiento editorial y ético de este blog que me mandó a leer y procuraré no demorarme como me promete.
Y por favor, no entienda mis apreciaciones como un ataque a la prensa libre e independiente.
No. De ninguna manera. Yo sí acepto sugerencias constructivas y enmarcadas en la racionalidad.
Las agradezco.
Y no tiene que leer 25 veces.
Con una basta. Igualmente gracias a su comentario tendré que crear las reglas de comentarios. Por supuesto todo es bienvenido lo que no es justo es que se hagan acusaciones por ejemplo bajo el anonimato. Gracias a su mensaje desarrollaré esas reglas ?
En algún momento tuve la estúpida idea de que los hackers tenían ética. Llegué a pensar que eran personas dedicadas a robar información de interés general con el único objetivo de esclarecer verdades. Sin embargo esto del Sisben, más el pasado hackeo a la plataforma de Audiofarma y demás plataformas relacionadas con la salud me dejan claro el tipo de ratas que son.
Es decir, hackean servidores que perjudican el sistema de salud de un país pobre, haciendo que personas con cáncer, por ejemplo, tenga más problemas de los que ya tiene; qué clase de hdp usa su conocimiento para joder enfermos? Que asco.
Pingback: Habrían vulnerado servidor del DNP e instalan en subdominio web de tragamonedas en línea – MuchoHacker.LOL