Luego de que el grupo de ciberdelincuentes Cactus liberara datos de la empresa GEOCOM, que administra terminales POS en Uruguay, analistas en seguridad informática examinaron cada uno de los 77 gigas de información.
Cactus, que se dedica a hacer ataques llamados ransomware (secuestran información de una empresa y luego piden un rescate), decidió liberar los datos porque no hubo un pago por esos datos.
Los analistas en ciberseguridad Mauro Eldtritch y Emmanuel di Battista analizaron en detalle el agujero informático que dejó la empresa y encontró “graves” filtraciones.
“Es la filtración más grave del Uruguay pública y privada”, señaló Eldtritch, que ha detectado afectaciones a varios organismos del Estado el año pasado.
Qué se encontró en el ataque a Geocom
Entre lo hallado, aparecen pasaportes de personas de varias nacionalidades.
Aparecen contratos, facturas, propuestas comerciales de CASMU, SMI, ASSE y el Hospital Evangélico.
Encontraron contratos de confidencialidad y ventas del Instituto Nacional de Calidad. También licitaciones, planes de trabajo y propuestas financieras del Ministerio de Ganadería, Agricultura y Pesca.
Uno de los puntos más llamativos para los analistas es que hay documentación sobre cómo está construida la infraestructura tecnológica de varias instituciones públicas: qué tipo de servidores compran, cómo se conectan entre sí y cómo están distribuidos. “Esto es de muchísima ventaja para un atacante”, señaló Eldtritch porque los ciberdelincuentes tienen más herramientas para atacar. Este tipo de documentos se muestran de ASSE, la Oficina de Planeamiento y Presupuesto, RedPagos, Abitab, y otros organismos públicos y privados.
Geocom arma sistemas para pagos de recaudaciones de organismos públicos. Y parte de esos sistemas también fueron atacados: aparece información de las Intendencias de Canelones, Cerro Largo, Durazno, Florida, Lavalleja, Maldonado, Paysandú, Salto, Río Negro, Tacuarembó y Teinta y Tres. En algunos casos se ve la lista de malos y buenos pagadores, además de personas que están exoneradas de determinados impuestos. Esta información es especialmente sensible porque los atacantes pueden hacerse pasar por un estudio jurídico o por la propia intendencia para intentar cobrar una deuda a una persona, por ejemplo.
Dentro de lo que encontraron los analistas están los llamados “scripts”. Son programas informáticos que fueron creados para que los clientes de Geocom interactúen con la compañía. Quien acceda a descargar esa base de datos, encontrará esos programas y podrá pedirle datos. Por ejemplo, le podrá decir: “Mostrame transacciones hechas con post del BBVA entre tal y tal fecha”.
Además del programa en sí, hay muchos resultados ya realizados de consultas que se hicieron con los programas que muestran algunos datos de clientes de bancos..
“Entonces no solo terminás sabiendo cómo está construido el sistema sino que también tenes a la mano los datos que consultaron, donde se revela mucha información que debería ser confidencial como aquellos de personas o empresas que tienen deudas o quienes hicieron pagos (y cuánto pagaron) usando Scotia, BBVA, BROU o Itaú”, indicó Eldritch.
En la propia filtración de Geocom aparece un informe de la consultora Deloitte, quien les explica las vulnerabilidades informáticas que estaban enfrentando y que demuestran que el sistema “es bastante permeable”.
A su vez, se ven muchos usuarios y contraseñas filtradas para acceder a sistemas de cobro de GEOCOM de intendencias locales. “Esto es peligrosísimo”, dijo Eldritch.
Qué había dicho Geocom sobre el robo
Desde la empresa habían asegurado en un primer momento que el fallo en las terminales se había originado por un “evento operacional”, pero luego se supo (y así lo confirmaron a El Observador fuentes del sistema financiero) que se debió a un ataque cibernético, a través del cual hackers afectaron los servidores, encriptaron información y la robaron.
Ahora, ese lote de datos robados se liberó en internet.