criptonoticias.com
El hacker identificado como «GordonFreeman», operando bajo el colectivo cibercriminal «L4TAMFUCK3R$», aseguró este 17 de junio en foros de la dark web haber comprometido y filtrado por completo la base de datos de la Plataforma de Oro Soberano del Banco Central de Venezuela (BCV), según alertó la firma de análisis y ciberseguridad VECERT Analyzer.
La Plataforma de Oro Soberano es un sistema del BCV que permite a ciudadanos y organizaciones registrarse para operar con oro como instrumento de ahorro o inversión respaldado por el Estado venezolano.
Según VECERT Analyzer, el atacante afirma poseer un repositorio de 186.500 registros únicos. Conforme al reporte de esta firma, esos registros contendrían datos de identificación personal de ciudadanos registrados en la plataforma (es decir, nombre, número de cédula, domicilio y otra información que permite identificar a una persona concreta), estructuras de fondos gubernamentales, fondos de ahorro de organismos de seguridad e inteligencia del Estado como el CICPC y el SEBIN, y estados financieros en bancos corresponsales extranjeros.
Las muestras y el análisis de VECERT
De acuerdo con VECERT, el atacante GordonFreeman habría publicado en los foros muestras parciales de los datos, una práctica conocida como prueba de concepto (PoC), mediante la cual un hacker difunde una porción del material robado para demostrar que el acceso fue real sin revelar la totalidad del repositorio.
Según VECERT Analyzer, el análisis forense de esas muestras arroja lo que la firma denomina un «índice de veracidad crítico» que sustentaría la autenticidad del lote completo.
Los indicadores citados por VECERT son los siguientes:
- Primero: los campos de identificación en los registros respetan la codificación legal venezolana: el prefijo V- para cédulas de ciudadanos y J- para personas jurídicas o fondos institucionales registrados bajo el Registro de Información Fiscal (RIF).
- Segundo: los registros de personas jurídicas incluirían perfiles de fondos de ahorro de cuerpos policiales y militares.
- Tercero: los campos de fecha en los archivos emplean marcas de tiempo en formato Unix (un sistema que expresa el tiempo como el número de milisegundos transcurridos desde el 1 de enero de 1970), cuya conversión cronológica, según VECERT, muestra una progresión coherente con un sistema en funcionamiento real.
Sin embargo, el estado de verificación declarado por la propia VECERT en su alerta es «sospechado, no confirmado». El BCV no emitió ninguna declaración pública sobre el incidente al momento de esta publicación.
El vector de ataque según VECERT y las recomendaciones
Según VECERT Analyzer, el vector de ataque probable habría sido la infiltración de servidores perimetrales de subasta o el abuso de endpoints orientados al registro de usuarios en el sistema financiero estatal. Un endpoint de base de datos es el punto de acceso a un servidor que gestiona información estructurada: en la práctica, es la «puerta» por la que las aplicaciones consultan o modifican los datos almacenados. Si esa puerta no tiene los controles adecuados, un atacante puede extraer grandes volúmenes de registros mediante consultas automatizadas.
Entre las recomendaciones técnicas dirigidas a los administradores de red del BCV, VECERT sugiere auditar las llamadas concurrentes a los sistemas de subasta y registro de valores en busca de ráfagas inusuales de solicitudes automatizadas, que podrían explicar la extracción masiva de los 186.500 registros.
La firma también recomienda endurecer las políticas de seguridad perimetral sobre los servidores de correo institucionales.
¿Qué riesgos concretos habilita una filtración de este tipo?
Si los datos son auténticos, las consecuencias para ciudadanos y organismos son directas. Con nombre, cédula, domicilio y vínculos institucionales de una persona, un atacante puede, por ejemplo, construir ataques de phishing altamente creíbles. El phishing es una técnica mediante la cual un atacante suplanta a una persona o institución de confianza usando información real de la víctima para obtener contraseñas, transferencias de dinero o acceso a sistemas.
Cuanto más completo es el perfil disponible, más difícil es que la víctima detecte el engaño. Esa información también puede habilitar ataques físicos dirigidos directamente a las personas afectadas.
Este tipo de incidente no es nuevo en la región. Como reportó CriptoNoticias el 2 de junio, VECERT Analyzer alertó sobre una presunta filtración del Registro Nacional de las Personas de Argentina (RENAPER), donde un atacante habría puesto a la venta una API con acceso a datos de ciudadanos argentinos, entre ellos historiales de domicilio y vínculos familiares.
El patrón subyacente a ambos incidentes es el mismo: cuando el patrimonio o la identidad de una persona depende de un custodio central, una sola falla en ese custodio expone simultáneamente a todos los que dependen de él.