Esta semana, el “cuento del tío” que tuvo como víctima al humorista Roberto Moldavksy alcanzó amplia repercusión justamente por tratarse de una personalidad del espectáculo, pero diariamente cientos de ignotos argentinos son víctimas de intentos de engaños similares con mayor o menor éxito. En el caso de Moldavsky, todo comenzó con un mensaje de WhatsApp enviado desde una cuenta identificada con una imagen de la aplicación Cuidar anunciando el otorgamiento del turno para la tercera dosis de vacunación. Instantes después, un llamado telefónico -también a través de WhatsApp y con la imagen de Cuidar- de un supuesto médico lo tomó por sorpresa. El impostor tenía todos los datos para acomodar un discurso impecable: nombre completo, DNI, teléfono, correo electrónico, fechas previas de vacunación y cuáles vacunas fueron aplicadas. Con información tan certera, imposible dudar que no se trataba de un funcionario de salud pública. En palabras de Moldavsky, “entró como un caballo”.

ntré como un caballo, dijo el humorista Roberto Moldavski, víctima del vishing

Lo que siguió fueron unas líneas de diálogo de la ingeniería social más pura, un tipo de ataque basado en el engaño telefónico. Fingiendo ser un actor del sistema de salud y para confirmar el turno de vacunación, el simulador logró que Moldavsky entregara el código de confirmación de WhatsApp que acababa de recibir por SMS para dar de alta la cuenta en un nuevo teléfono. Lo mismo hizo con su cuenta personal de Gmail, reseteando la contraseña y tomando control de su correo. Un par de minutos bastaron para que Moldavsky perdiera por completo su identidad digital. El nombre específico de esta técnica de “cuento del tío” es vishing; como el phishing, pero a través de una llamada telefónica. El término, que deriva de la unión de las palabras “voz” y “phishing”, consiste en suplantar la identidad de alguien (en este caso, personal de salud) y a través de un embuste obtener información confidencial.

Ya a fines de enero el gobierno había alertado sobre este tipo de engaño relacionado a la aplicación Cuidar y a la campaña de vacunación. La Secretaría de Innovación Pública emitió un comunicado a través de Twitter advirtiendo sobre este tipo de estafas que busca obtener información personal para realizar fraudes de los más diversos, desde tomar créditos a nombre de los damnificados hasta obtener dinero de sus contactos de WhatsApp y redes sociales.

“Hemos detectado que se encuentra circulando una campaña de fraude digital por medio de cuentas de WhatsApp en donde se hacen pasar por la aplicación Cuidar para robar información personal”, informó la Secretaría de Innovación en un hilo de Twitter. “Queremos advertirle a la ciudadanía que no utilizamos cuentas de WhatsApp para solicitar información personal sobre Covid-19 o cualquier otro tema referido a la salud”. Las advertencias estaban debidamente presentadas.

A fin del mes pasado el gobierno ya había advertido sobre la campaña de fraude con Cuidar

El eslabón más débil en la cadena de la ciberseguridad siempre es el usuario final, tanto en instituciones, empresas y en la sociedad civil. Sin embargo, en la campaña de fraude que simula ser de la aplicación Cuidar, un elemento sumamente relevante es el referido a la custodia de los datos de los ciudadanos que se registraron tanto en la aplicación como en la campaña de vacunación. Los delincuentes que están llevando adelante este engaño tienen información específica de sus objetivos: nombre y apellido, DNI, sexo, provincia, teléfono celular, correo electrónico, vacunatorio, fechas de vacunación asignada y tipo y número de dosis aplicadas; datos que forman parte de la Base de Datos Covid-19, creada mediante la disposición 6/2021 por la Subsecretaría de Gobierno Abierto y País Digital y publicada en el Boletín Oficial el 7 de abril de 2021. ¿Acaso estos actores malintencionados tienen acceso a la versión más actualizada de esta base de datos? Pareciera que sí. 

Información personal que almacena la Base de Datos “Vacunación COVID 19”

El evasivo hacker argentino conocido como [S], que en 2019 accedió a la base de datos de la PFA haciéndose con más de 700 GB de información sensible que luego publicó en la web bajo el nombre de “La Gorra Lleaks”, el mismo que en 2021 obtuvo y puso a la venta la base de datos de IOSFA (obra social de las fuerzas armadas y personal de seguridad) y posteriormente hizo lo propio con base de datos del Renaper, contó en su momento sobre la existencia de una circuito de comercialización de credenciales de acceso a este tipo de bases de datos gubernamentales:

-¿Y respecto a las credenciales de acceso al Renaper? Supongo que habrás entrado con credenciales válidas y descargado la base.

-Si, tengo varias de diferentes entidades, se venden desde hace años. Uno puede dumpear [NdR: copiar, descargar] las bases de datos con diferentes credenciales, ir rotando para no hacer tanto ruido. Como esto no es nuevo, me dio el tiempo suficiente para dumpear todos los registros. Creen que revocando los accesos al Ministerio de Salud solucionaron todo.

En aquella entrevista, [S] contó que estaba ofreciendo -con ánimo de lucro- accesos a tres redes del gobierno, y que tenía en su poder cantidad de credenciales de diferentes entidades. en venta desde hace años.

Chat con [S] donde confirma la existencia de un circuit ... a de credenciales de acceso a bases de datos del gobierno

-¿Cuáles? Entiendo que no me vas a dar esa info, ¿pero de qué áreas?

Una relacionada a comunicaciones y tecnología, otra a una fuerza de seguridad y otra del Estado también. Hablo de accesos completos en dominios del gobierno para hacer algún tipo de ingeniería social.

Más allá de la naturaleza delictiva de estos hechos y de la propensión de las víctimas a proporcionar información confidencial a través de la manipulación verbal, existe un componente fundamental en la cadena de seguridad que sigue fallando en su rol de custodia y administración de nuestros datos: el Estado.

La Ley 25.326 de Protección de los Datos Personales consigna específicamente en el Artículo 9 que “El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado”. Casualmente, todo lo que el Estado no está haciendo.