Ransomware Netwalker: Security for the privacy of citizens

El 4 de septiembre se conoció la noticia de que, unos días atrás -el 27 de agosto-, un ataque de ransomware conocido como NetWalker había secuestrado información de la Dirección Nacional de Migraciones (DNM) y que pidió 76 millones de dólares para no hacer públicos esos archivos (finalmente, el pedido fue de 4 millones de dólares, en bitcoins).

Este ransomware en particular, además de bloquear la información encriptándola, la copia, y utiliza esa copia para extorsionar a cambio de un pago. En este caso, amenazaban con publicar toda la información el 10 de septiembre si la DNM no pagaba.

Ayer se supo que la Dirección Nacional de Migraciones decidió no ceder a la extorsión y se publicaron alrededor de 20 carpetas robadas. Los nombres de los archivos indicarían que puede tratarse de información sensible, algo que había sido descartado por el organismo que depende del Ministerio del Interior. Después del ataque, la directora de Migraciones, Florencia Carignano, le pidió la renuncia al director general de Sistemas, Juan Carlos Bacchi.

Desde el Ministerio ya presentaron la denuncia, que tramita en el juzgado de Sebastián Casanello, y la investigación fue delegada al fiscal Guillermo Marijuán, que pidió la asistencia de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), a cargo del fiscal Horacio Azzolin.

En la denuncia judicial consta que el malware afectó los sistemas de archivos basados en MS Windows (ADAD SYSVOL y SYSTEM CENTER DPM principalmente) y los archivos de Microsoft Office (Word, Excell, etc) existentes en los puestos de trabajo y carpetas compartidas de los usuarios.

Según publicó Luciana Bertoia en Página 12, los atacantes secuestraron 22 carpetas que podrían contener la siguiente información:

La lista de carpetas que difundió NetWalker de la Dirección Nacional de Migraciones. Foto NetWalker Blog
La lista de carpetas que difundió NetWalker de la Dirección Nacional de Migraciones. Foto NetWalker Blog.

1. ABM (9 PDF, 1 JPG y 1 BASA DATA FILE): formularios de solicitudes de altas, bajas y modificaciones (ABM) de accesos a aplicaciones para diversos usuarios de la DIM (2016).
2. AFI (2 PDF y 1 Word): memo y nota formal de la Operacional de Inteligencia sobre Terrorismo y Delitos contra el Orden Constitucional de la AFI, solicitando reseteo de claves.
3. CAJA (1 Word y 7 PDF): 5 archivos con Tickets (2015) y escaneo de libro de guardia (2015).
4. CAPACITACIÓN INTERPOL (7 PDF): formularios de inscripción de agentes de la DIM en una capacitación de Interpol (11/2016) y formularios para participar en una reunión operativa (15 al 17 de noviembre de 2016).
5. CHINOS CORRIENTES (37 PDF y 1 Word): informe sobre posible cohecho en la Delegación Corrientes/Chaco, con descripción de modus operandi, forma de pago, listado de empleados que participarían del hecho y nómina de 78 ciudadanos chinos que iniciaron radicación entre febrero/marzo del 2014. (Existe causa judicial en trámite).
6. CONSULADO DE COLOMBIA (5 PDF): escaneo de expediente del año 2016, procedente del Ministerio de Relaciones Exteriores solicitando información sobre colombianos en algunas provincias, a pedido del Cónsul General de Colombia en Argentina para evaluar la instalación de Consulados Móviles.
Nota formal del Cónsul General de Colombia en Argentina con la solicitud. Cuadro estadístico con radicaciones resueltas e iniciadas de ciudadanos colombianos en dichas provincias. (8/2016)
7. DELEGACIÓN ENTRE RIOS (14 PDF): memo remitiendo nota de la GNA y PNA solicitando datos estadísticos. Nota del Centro de Reunión de Información “Concepción del Uruguay” de la GNA, solicitando datos estadísticos de la situación migratoria de extranjeros en la provincia de Entre Ríos, en los años 2015 y 2016. (6/2016)
8. EMBAJADA DE EEUU (6 PDF y 1 Word): nota formal (expte.) del Vicecónsul Derek Wright solicitando datos de cantidad de ciudadanos estadounidenses que ingresaron al país en calidad de turistas.
9. EMBAJADA DE MEXICO (6 PDF y 1 Word): nota formal (expte.) del Encargado de Negocios, Alejandro Alba solicitando datos estadísticos de mexicanos que se encuentran viviendo en la Argentina.
10. EMBAJADA DE RUMANIA (4 PDF y 1 Word): nota formal (expte.) de la Embajadora de Rumania Carmen Podgorean solicitando datos estadísticos de ciudadanos rumanos que se establecieron en la Argentina.
11. EMBAJADA FILIPINAS (8 PDF): nota formal (expte.) de la Cónsul Ma. Carmela Teresa A. Cabreira solicitando cantidad de ciudadanos filipinos residentes en la Argentina.
12. INFORME INTERPOL FLUJOS MIGRATORIOS (7 PDF y 1 Word): nota de Interpol a la Directora de la DIM remitiendo un documento denominado “Apreciación de flujos migratorios por grandes eventos en Sudamérica”. Está el informe de Interpol escaneado (7/2015).
13. INICIATIVA INTERNACIONAL DE ACELERACION DE LOS TRAMITES DE VIAJE PARA EXTRANJEROS (6 PDF): escaneo de la Declaración Conjunta Relativa a la Cooperación entre el Ministerio de Seguridad y el Ministerio del Interior, Obras Públicas y Vivienda de la República Argentina y la Dirección de Aduanas y Protección Fronteriza de los Estados Unidos del Departamento de Seguridad Nacional de los Estados Unidos tendiente a elaborar una iniciativa internacional de aceleración de los trámites de viaje para pasajeros. GLOBAL ENTRY (8/2016).
Escaneo de dos tarjetas personales de funcionarios de la Embajada de la República Popular China en la República Argentina.
14. MEMOS internos de trabajo y procedimientos varios.

Esto se suma a la noticia de hace apenas un mes en la que se supo que una base de datos con el registro de más de 115.000 argentinos que aplicaron para permisos de circulación en el contexto del Aislamiento, Social, Preventivo y Obligatorio (ASPO) fue expuesta en la web sin ningún tipo de seguridad, clave o mecanismo de autenticación de acceso. Los datos filtrados correspondían a una base de datos que pertenece a la Provincia de San Juan y el Ministerio de Salud de la Nación e incluían nombres, DNI, identificación tributaria así como las razones por la cual estaban solicitando el permiso de circulación.

Como indica Beatriz Busaniche en su editorial del boletín semanal, publicado el 17 de agosto: “La prensa experta en policiales da voz a la versión oficial que suele buscar culpables afuera para tapar así sus propias responsabilidades en la administración de un bien bajo su custodia, pero que no les pertenece: la información de la ciudadanía.”

Tanto en el caso de la Dirección Nacional de Migraciones, como en el de la base de datos de permisos de circulación, resulta evidente la negligencia en la administración de bases de datos y activos digitales en poder del Estado. Así, se reafirma “la falta de una política integral de protección de activos digitales que el Estado debe custodiar de manera apropiada y con máximos niveles de responsabilidad. La construcción de esa política de protección de activos digitales es una de las tareas más complejas y desafiantes de este presente. Requiere compromiso no sólo de la sociedad civil involucrada, la comunidad de seguridad de la información (Infosec) sino y muy especialmente un trabajo sostenido de la Administración Pública Nacional, que pueda construir una política de Estado que trascienda las gestiones de gobierno.”

Archive