AtaquesNacionales

Atacan empresa de desarrollo de software contratista del Estado y debido a incidente habrían logrado vulnerar 12 entidades 

Desde el pasado 7 de agosto circula libre en Internet un documento bautizado Colombian Government Leaks donde se comparten públicamente documentos con información privada del funcionamiento digital del Estado. 

Chat en el que se comparte a más de 1.500 personas la información de acceso a varios activos digitales del Estado colombiano.

Los 13 documentos, que se descargan de un servicio en la nube, contienen información con la que se podrían vulnerar 715 correos electrónicos de funcionarios de nueve entidades de carácter público y dos privadas. 

Servicio en la nube de carácter público desde donde se descargan todos los datos de acceso a activos digitales de nueve entidades de carácter público

La identificación del correo de los funcionarios está acompañado junto a un código que representaría el intento de encriptación de claves bajo un método – que algunos expertos consideran obsoleto –  llamado MD5. 

Junto a los correos electrónicos y otros datos personales se encuentran nueve direcciones de sitios de Internet donde diversas entidades prestan o prestaron un servicio llamado Sistema de Gestión de Calidad. De las siete URL, cinco tienen la misma contraseña.

Este ataque digital a infraestructura digital del Estado tiene como hilo conductor que las instituciones atacadas tuvieron como proveedor de servicios a una empresa llamada ITS Soluciones Estratégicas Sas. 

Nos comunicamos vía Whastapp con la entidad cuestionada para conocer los alcances del posible ataque que sufrió pero nos dejaron en visto.

Comunicación con la empresa contratista del Estado. Según el RUE esta empresa tiene o ha tenido 92 contratos con entidades públicas. La evolución del ataque sugiere que el principal afectado es la compañía que presta servicios y luego las entidades que la contrataron.

Dentro de la documentación compartida se pueden observar información de accesos a lo que serían 513 correos que pertenecen a  funcionarios de  ITS Soluciones Estratégicas. 

Según el RUE, la empresa ha tenido un total de 92 contratos con el Estado. Algunos de ellos actualmente están activos.

Las entidades cuya información privada de funcionamiento está en línea son: La Superintendencia de Industria y Comercio, Universidad de Antioquia, Ministerio de Educación, la Agencia Nacional de Hidrocarburos, Agencia Nacional de Defensa Jurídica del Estado, Consejo Superior de la Judicatura y Fopep. 

Igualmente, estuvieron o están afectadas las Cámaras de Comercio de Cartagena, Casanare y Caquetá. 

La ubicación temporal de este ataque es uno de los datos más importantes para dimensionar su impacto, sin embargo, ninguna de las entidades consultadas quiso hablar del tema.  

Lo único comprobable hasta el momento es que el chat donde se comparte todo tiene fecha del 8 de agosto de 2022. 

La SIC deberá informarle a la SIC

Uno de los documentos creados por la SIC para guiar a las entidades públicas y privadas en caso de un incidente digital recomienda que se debe informar a los afectados.

Precisamente esto es algo que debió hacer o debe hacer la entidad pero no lo ha hecho o al menos la oficina de prensa de la entidad no sabe qué pasa.

Base de datos robada donde se observan el correo, username y el intento de salvaguardar contraseñas.

En este documento se compartió una base de datos llamada bd_sic. En este documento que se encuentra en formato TXT se encuentra 186 datos de funcionarios que harían parte de la entidad o que tuvieron alguna relación laboral en el pasado. 

Aparte de los nombres con apellido se puede identificar el nombre de correo asignado, y la contraseña en formato de encriptación MD5. 

MuchoHacker.Lol seleccionó un correo para verificar su relación con la entidad y encontró que una funcionaria de apellido Gamboa Pacheco trabajó o trabaja en la entidad ya que es una de las persona que firma una resolución publicada. 

Aparte de los 186 correos con sus contraseñas en MD5 se encuentra un dirección web que redirecciona al Sistema Integral de Gestión Institucional de la entidad y aunque es una URL pública  aparecen los nombres del usuario y la contraseña. 

URL que pudo ser vulnerada.

MuchoHacker.lol pudo verificar con un servicio de comprobación de contraseñas expuestas de Google que la clave hace parte de datos que hacen parte de un leak de información. 

Nos comunicamos para conocer la opinión de la Sic al respecto e hicimos un cuestionario para la entidad. Oficina de prensa escuchó la situación e indicó que tenían que hacer averiguaciones internas. Al cierre de este post no se tuvo respuesta.

La Gestión Institucional de la justicia ‘hackeada’

Otros de los activos digitales posiblemente vulnerados es una página web en donde las entidades realizan algún tipo de gestión institucional interna. 

Este es el caso del Sistema de Gestión de calidad de la Rama Judicial. El Consejo Superior de la Judicatura tiene una web que sirve como “instrumento de gerencia en la Administración de Justicia, esencial para el mejoramiento continuo de las estrategias de planeación, gestión y seguimiento de las políticas públicas de la Rama Judicial”

La clave de este sistema fue compartida en línea. Lo más ridiculo de la situación que tanto el nombre de usuario como la contraseña es la palabra que jamás debe usarse para este sistema.

La URL de este sistema está en línea junto con su clave. La contraseñas disponibles públicamente son precisamente las que nunca se deben usar en un sistema público.

En la revisión que hizo MuchoHacker.lol se pudo comprobar que el sitio está en línea y tiene visitantes. Igualmente que fue desarrollado por la empresa ITS Soluciones Estratégicas Sas. 

Para indagar sobre este servicio enviamos un mensaje al Consejo Superior de la Judicatura sobre el incidente detectado vía Twitter. Se realizaron una serie de preguntas para que la entidad respondiera pero no fue posible. 

Este mismo sistema de Gestión de Calidad lo tiene el Ministerio de Educación. Desarrollado por la misma empresa ITS Soluciones Estratégicas. Aunque la URL que se compartió en el chat de los atacantes ya no funciona el aplicativo está en línea. 

Este sistema de gestión de calidad también lo tienen la Agencia Nacional de Hidrocarburos y la Agencia Nacional de Defensa Jurídica del Estado. Aunque las URL ya no funciona las entidades tiene en línea información del sistema. Se pudo recuperar la URL publicada en su momento y se comprobó que efectivamente estuvieron en línea los aplicativos. 

Debido a la falta de repuestas de entidades consultadas para saber más sobre este tema se decidió no llamar a Mineducación, ANH y Agencia Jurídica del Estado. Toda la información de acceso a estas entidades está en un documento TXT.

Correos y claves

Sumado al ataque a las empresa desarrolladora que posiblemente permitió acceso a los sistemas de gestión de calidad MuchoHacker.lol encontró 578 correos de diferentes entidades que pudieron ser vulnerados o que al menos están en un repositorio público. 

Un total de 130 correos de funcionarios de la Universidad de Antioquia están expuestos. La base de datos contiene el correo personal, el username asignado y la clave encriptada en MD5. 

Base de datos de funcionarios de la Universidad de Antioquia.

También se encuentran 160 correos de funcionarios del Fopep, una entidad encargada de un tema pensional que curiosamente en su portal advierte de posibles estafas alrededor de su quehacer.  Igualmente están usernames, correos en MD5, y nombres. 

Base de datos de funcionarios del FOPEP.

Aparte de las instituciones públicas MuchoHacker.lol encontré que se liberaron datos personales de las Cámaras de Comercio de Cartagena, Casanare, Florencia. Tal y como sucedió en los anteriores casos están disponibles en línea información como el correo institucional, username, y claves. 

Base de datos de funcionarios de la Cámara de Comercio de Cartagena.

Md5

Una explicación no técnica de qué significa MD5 indica que es un protocolo criptográfico que se usa, entre otras cosas, para salvaguardar las claves que podrían usarse para acceder a los correos electrónicos.  Aunque esta explicación es minimalista y no explica con detalle el funcionamiento de este protocolo sirve periodísticamente para entender un tema de complejidad técnica.

Originalmente Md5 fue diseñado para saber si un archivo fue alterado. Tiene muchos usos pero el más común tiene que ver con la savaguarda de contraseñas. 

Un algoritmo hashing lo que hace es convetir datos en una cadena de 32 caracteres. Según Avast, por ejemplo, la palabra “frog” es la siguiente cadena de caracteres 938c2cc0dcc05f2b68c4287040cfcf71.

De tal manera que cada hash puede contener una clave. Ténicamente es imposible devolver la cadena de caracteres para saber a qué se refiere pero existen mútliples técnicas que permiten adivinar la clave. Varios expertos coinciden en afirmar que el uso de MD5 ya no es un protocolo recomendado para salvaguardar datos como una contraseña ya que se pueden usar técnica como la fuerza bruta para revelar el mensaje detrás de la cadena de caracteres.

De hecho, existen en Internet diccionarios donde uno introduce la cadena de caracteres y automáticamente detecta la palabra o frase detrás del código. 

Usando varios de estos diccionarios MuchoHacker.lol pudo verificar que sí se pudo conocer la palabra o contraseña que estaría detrás de correos electrónicos que hacen parte de esta filtración. 

2 comentarios en «<strong>Atacan empresa de desarrollo de software contratista del Estado y debido a incidente habrían logrado vulnerar 12 entidades </strong>»

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *