El grupo de delincuentes Medusa publicó entre sus víctimas este domingo a la Comisión Nacional de Valores (CNV), el organismo oficial que supervisa los mercados en la Argentina. Se trata del mismo cártel de ransomware que cifró datos de Garbarino en marzo de este año, pide 500 mil dólares y da un plazo de una semana para publicar los datos.
Durante la mañana del domingo, el grupo Medusa subió a su sitio en la Dark Web el anuncio con la CNV como víctima. Allí asegura tener 1.5 TB de datos y solicita U$S 500.000 para no publicar la información.
El organismo asegura que aisló el ataque y está restaurando los datos: "La Comisión Nacional de Valores (CNV) aisló y controló un ataque que se detectó el miércoles 7 de junio. Fue realizado con un tipo de código malicioso del tipo ransomware, conocido como Medusa, que había tomado posesión de equipos informáticos y dejó fuera de línea las plataformas del organismo", según un comunicado oficial.
Juan Brodersen se contactó con la CNV para pedir declaraciones sobre el asunto, pero decidieron no hacer comentarios. Más tarde empezaron a compartir un comunicado con periodistas asegurando que "no se comprometió información sensible".
Es importante remarcar lo de "aseguran que tienen" porque, por el momento, lo único que se puede ver es el file tree, esto es, la representación visual de los archivos y su jerarquía (carpetas, imágenes, PDFs, ejecutables, etc.).
Por eso es incorrecto decir a ciencia cierta que "hackearon a la CNV" como titularon varios medios: lo que sí se puede decir es que aparecen como víctimas en el sitio de Medusa, accesible mediante la Dark Web. Y que se puede ver qué archivos dicen que tienen: de ahí a que los tengan, todavía es algo que resta saber y que el tiempo lo confirmará.
Analizando el file tree, vemos que, en principio, se trataría de una filtración que abarcar 8 volúmenes: uno etiquetado como CNS_MAIN, 5 como FS -filesystems, volúmenes/discos- y 2 como SQL (bases de datos).
En los volúmenes etiquetados como SQL se listan bases de datos cuyos nombres referencian al BackOffice de Prensa, Bolsa de Reportes, CAFirmantes, Calificadoras, Fideicomisos, Fondos Comunes, Invertir, RRHH, Registro, RESOL, CNV y CNVWeb, todas aludiendo también en su nombre que pertenecen a entornos de Producción.
En el volúmen "MAIN" los nombres de directorios y archivos aluden a información financiera, de recursos humanos, escaneos de documentos, y hasta planos en formato CAD.
En los demás encontramos directorios que mencionan Informes de a DyEMC, Intranet de la CNV, Comité de Seguridad, Comunicación Interna, Denuncias, Directorio de Prensa, Fichas de Sociedades, GDE, mesa Fintech, Mercosur, e incluso información sobre CEDEARS.
Particularmente uno de los volúmenes contiene información crítica de seguridad sobre la infraestructura, mencionando Logs de Firewalls y Proxies, incluyendo uno de la DMZ de ARSAT.
Como cierre, una carpeta llamada "hola" lista archivos en texto plano (DOC, PDF, Excel) con claves del organismo. Esto, de corresponderse con contraseñas, reviste una pésima práctica de seguridad informática: guardar contraseñas en archivos de texto.
Responsabilidad legal
La abogada especialista en temas informáticos Bárbara Peñaloza criticó que la CNV no publicó el ataque ni lo informó a las víctimas hasta que no lo hizo público la propia Medusa. El ataque malicioso de sistemas informáticos no es un delito tipificado en el Código Penal argentino, pero sí otros tres delitos que se producen en forma concomitante, coinciden el abogado Ismael Lofeudo y Peñaloza: acceso indebido a sistemas, daño informático y extorsión.
"No debería haber trascendido el ataque por quien comete el ramsomware, sino por la víctima, para que los titulares de los datos personales vulnerados tomen precauciones", enfatiza Peñaloza.
La Ley de Datos Personales actual no obliga todavía a las entidades públicas o privadas cuyos sistemas resulten vulnerados a informar a las víctimas, y el proyecto para actualizar esa norma está frenado. En la Unión Europea, las instituciones deben denunciar en un plazo no mayor a 72 horas y, de lo contrario, son pasibles de multas millonarias.
Fuente: Juan Brodersen - SecOps | iPropUp