28 julio 2021

Con un ciberataque roban datos confidenciales a un municipio bonaerense

Aunque el Gobierno minimizó el impacto del hackeo, el análisis de los datos que fueron divulgados por el responsable del ciberataque revela que se trata de información confidencial que el Estado tenía bajo su responsabilidad.

 

La página web de la Municipalidad de San Pedro sufrió un ciberataque mediante el que hackers que dejaron sus firmas identificatorias como “@Sin1peCrew & @NyuSecurity” robaron la base de datos con información de más de 12.500 usuarios que estaban registrados para todo tipo de trámites y tareas internas en el sistema, entre ellos funcionarios, médicos y otros empleados.

El portal local LaOpinión reveló el caso el lunes, luego de que un consultor en ciberseguridad se comunicara desde Uruguay para advertir que había detectado la divulgación de los archivos en un foro donde suele haber venta e intercambio de bases de datos.

El especialista, que se dedica a la “ciberdefensa”, aseguró que es “un hecho gravísimo” y que “sería trabajo del Municipio, de Modernización, de quien está detrás de la administración del sitio decir ‘bueno, tuvimos un incidente’” y revelarlo a los usuarios, algo que oficialmente no ocurrió.

El director de Modernización, Hernán Contreras, dijo en declaraciones radiales que si bien son datos sensibles no había información confidencial de los usuarios y no habían vulnerado más que la plataforma de logueo y “el acceso a una base de datos de un sistema antiguo que se utiliza en Desarrollo Humano, pero no se accedió a Rentas, Salud ni el Estado local”.

Sin embargo, el portal que visibilizó la información accedió a los datos de lo que el hacker robó y pudo establecer que los datos son efectivamente sensibles y que hay información confidencial de los usuarios.

El “sistema antiguo de Desarrollo Humano” al que hizo referencia Contreras es uno de los tantos que aparecen entre los datos hackeados. Allí hay ingresos del año 2014 relacionados con asistencia social, donde los usuarios empleados municipales dejaban anotado qué tipo de intervención tuvieron con quien atendieron.

Por ejemplo hay provistas de mercadería, solicitudes de garrafas, consultas sobre tarjeta del SAF, pasajes a centros de salud, vales de alimentos, frazadas y otros pedidos, en los que el empleado deja anotaciones del tipo “retira tarjeta”, “no posee beneficiarios”, “no tengo sistema”, “debe traer el DNI de la hija”, “pedí todo de nuevo”, “el trámite que necesita tiene que hacerlo en Anses”.

También hay una base de datos que contiene nombre y apellido de cientos de personas que recibieron asistencia alimentaria, algo que no es de público conocimiento como sí lo son los subsidios en dinero que otorga la Municipalidad a personas en situación de vulnerabilidad social.

Otro de los documentos separados contiene nombres y apellidos que corresponden a un usuario registrado con una dirección de e-mail y su clave para ingresar al sistema de la web municipal. No son sólo vecinos comunes. Están los nombres de empleados municipales y de funcionarios del gabinete.

Entre los usuarios de vecinos hay quienes tienen como contraseña su domicilio, su número de teléfono, entre otros datos privados.

Entre los médicos y otro personal de Salud y el Hospital —cuyo listado está completo— es llamativo que el nombre de usuario coincida, en la mayoría de los casos, con la contraseña.

Hay un apartado que incluye denuncias a Defensa del Consumidor en las que aparecen todos los datos de los denunciantes: nombre, DNI, teléfono, domicilio, dirección de e-mail, además de todo lo referido al tipo de reclamo que dejaron asentado. Hay planteos contra Coopser, Correo Argentino, Telecom, Ashira, hoteles, cabañas, IOMA, financieras, etc.