Un usuario conocido como «GordonFreeman» ha afirmado haber hackeado el Ministerio de Ciencia, Innovación y Universidades en los foros de DarkForums. En su publicación, indicó que logró acceder a los sistemas gracias a credenciales filtradas, las cuales son susceptibles a un ataque de referencia directa a objetos (IDOR) inseguro, obteniendo así acceso completo como administrador. Además, mencionó su método de exfiltración de datos, que consistió en realizar consultas secuenciales con números de DNI para recolectar información. ¿Te gustaría saber qué datos está comercializando en la dark web?
Este tipo de vulnerabilidad, conocido como IDOR y clasificado como crítico por el proyecto OWASP, permite a un atacante acceder a información sensible simplemente ajustando un identificador en la URL o en una solicitud al servidor, sin requerir autenticación adicional. El hacker asegura haberlo llevado a cabo utilizando números de DNI, debido a su naturaleza secuencial. Aunque el Ministerio de Ciencia, Innovación y Universidades aún no ha corroborado el hackeo, el ciberdelincuente que filtró la información ha presentado algunas evidencias de su acceso, lo que podría ser cierto, aunque requiere de una validación oficial.
Información comprometida
De acuerdo con la publicación en DarkForums, los datos que ha expuesto este usuario incluyen:
- DNI o NIE en formato escaneado.
- Pasaportes en formato escaneado.
- Títulos extranjeros con apostilla.
- Transcripciones y calificaciones certificadas y apostilladas.
- Recibos de pago que revelan datos bancarios del emisor y receptor (el IBAN).
- Planes de estudio y currículums que contienen información privada.
- Comprobantes de matrícula.
- Direcciones de correo electrónico.
Todo este conjunto de información está a la venta al mejor postor. La información más crítica sin duda incluye los DNI/NIE y pasaportes escaneados, que permitirían a un potencial comprador hacerse pasar por la víctima con facilidad. Otro dato de gran relevancia es el IBAN, ya que podría haber una conexión entre este y el DNI/NIE del estudiante, lo que podría ser utilizado en su contra.
Si accedemos al foro de DarkForums donde se ha publicado esta filtración, se puede observar toda la información y capturas de pantalla que muestran lo que «promete» vender al mejor postor. Generalmente, los usuarios que realizan este tipo de filtraciones suelen tener un número limitado de publicaciones:
Adicionalmente, ofrece un archivo descargable de solo 18MB, que incluye documentos PDF con toda la información filtrada como evidencia de su veracidad. Proporcionar pruebas es habitual en este tipo de hackeos, ya que los compradores desean asegurarse de la autenticidad de los datos. En la información filtrada hasta ahora, podemos encontrar lo siguiente:
- Justificantes de pagos.
- Planes de estudio.
- DNI.
- Pasaporte.
- Certificados de notas.
- Solicitudes.
- Títulos académicos.
Como se puede apreciar, la información incluye datos extremadamente sensibles como los DNI escaneados y el pasaporte, que sin duda son lo más crítico. Aún se desconoce la cantidad de afectados, ya que el ciberdelincuente no ha proporcionado detalles al respecto; seguramente en las próximas horas compartirá más información antes de que alguien compre los datos para utilizarlos o filtrarlos, y no sabremos más hasta entonces.
Esperamos que las autoridades del Ministerio de Ciencia, Innovación y Universidades emitan un comunicado sobre esta filtración, dado que hay información privada y personal que ahora está al alcance del mejor postor.
Preguntas clave
¿Qué datos sensibles se habrían filtrado?
Según el atacante, la filtración incluye DNI y NIE escaneados, pasaportes, títulos, expedientes académicos, recibos de pago con IBAN y direcciones de correo electrónico.
¿Ha confirmado el Ministerio la brecha de seguridad?
No, al momento de la publicación de esta noticia, el Ministerio de Ciencia, Innovación y Universidades no ha emitido un comunicado oficial confirmando o desmintiendo el hackeo.
¿Cuáles son los principales riesgos para los afectados?
El riesgo principal radica en la posible suplantación de identidad, ya que los atacantes tendrían acceso a copias de documentos oficiales. También existe el riesgo de fraudes financieros y campañas de phishing muy específicas.
