Hackers publican DNIs, tarjetas sanitarias, fotos y cuentas bancarias relacionadas con CRTVG

Ciberdelincuentes mantienen publicadas muestras de los datos robados a la CRTVG. Según comprobó hoy Galiciapress en la Dark Web, los piratas han filtrado DNIs y tarjetas sanitarias de colaboradores, fotos de lo que parecen comidas de trabajadores y datos bancarios e históricos de transferencias de una cuenta bancaria de la empresa, entre otros documentos. 

La publicación de estas muestras es una estrategia para sacarle dinero al ente público. "Si ignoran o rechazan el acuerdo, nos veremos obligados a publicar todos tus datos" amenazaron desde el grupo ALPHV a principios de agosto.

RESPUESTA EN ALGUNOS MEDIOS

Parece que la CRTVG no ha aceptado el chantaje, pues este lunes publicó en algunos periódicos un comunicado para informar a la plantilla de las medidas adoptadas. Este es el comunicado, que la CRTVG no ha querido ampliar tras ser consultada hoy por Galiciapress:

La empresa reconoce que "se detectaron cinco ficheros de los que hubo exposición de datos personales en la Dark Web correspondientes a colaboradores (...) y que fueron debidamente comunicados".

Efectivamente, en la también llamada web oscura Galiciapress encontró escaneados de los DNIs y de las Tarxetas Sanitarias de cuatro personas: L.C.M, A.G.G., D.B.G y E.Z.B. Además en los casos de M.F.C. y A.G.P.  solo se publicó la foto del documento nacional de identidad. Serían por lo tanto seis y no cinco, como dice la CRTVG, las personas cuyos datos personales han sido comprometidos ahora mismo. 

La publicación de sus datos personales supone un evidente riesgo para su seguridad, entre otras cosas porque acceder a los escaneados de sus documentos es muy simple.  Basta buscar portales relacionados con ALPHV y utilizar el navegador Tor para acceder a ellos. 

Además de datos personales, los ciberdelincuentes han filtrados algunos datos empresariales sensibles. Por ejemplo, el numero de IBAN de la CRTVG en uno de los principales bancos españoles. También históricos de transferencias de esta cuenta y otros documentos contables de menor interés, algunos relacionados con el popular Luar.

El volumen de las capturas pantallas publicadas hasta ahora es pequeño y su peligro potencial-más allá del peligro que supone para las seis personas citadas- limitado.

Con todo, no hay que perder de vista que los hackers han publicado dos links en los que prometen que se podrán descargar más de 400 GB de datos de los servidores hackeados, que identifican como "Galicia en Goles" y "Galicia en Goles2". Galicia en Goles es el programa deportivo de la Radio Galega.

Afortunadamente, los links -donde podrían estar alojados miles de documentos de la CRTVG- están rotos, al mnos  por ahora. Sin embargo, hay que recordar que la práctica habitual es ir comerciando con estos datos en foros especializados hasta que, una vez explotados dentro del 'mundillo', se cumple la amenaza y se publica todo en masa, en abierto y para todo el mundo. Esto es lo que sucedió, por ejemplo, en el reciente hackeo de datos de los servidores de R y Euskaltel, que salpicaron a trabajadores de Inditex.

El grupo responsable del ataque a la CRTVG parece diferente al que robó datos de R. El software empleado contra la emisora es el ransomware ALPHV, también conocido como Blackcat. Microsoft explica que la primera vez que se detectó fue en 2021. 

Microsoft añade que que es un ransomware muy potente, capaz de un "doble chantaje",  pues puede extraer datos y también encriptarlos en los ordenadores atacados. Galiciapress preguntó a la CRTVG si sus datos habían sido encriptados, pero esta es una de las preguntas que el ente dejó sin responder.

MIEDO EN LA PLANTILLA

Fuentes del comité de empresa de la TVG consultadas por Galiciapress cuestionan la respuesta de la empresa dependiente de la Xunta.  "O comunicado da empresa fai manter a inquedanza do persoal, unha vez que se constata que se filtraron datos sensibles de persoas que tiveron relación contractual coa CRTVG e que se nos pide ás traballadoras actuais que sigamos pendentes das nosas redes, correos electrónicos e contas bancarias. Ata cando? Iso significa que os nosos datos están en risco?", se preguntan.

Se nos pide ás traballadoras actuais que sigamos pendentes das nosas redes, correos electrónicos e contas bancarias. Ata cando? Iso significa que os nosos datos están en risco?

"Malia que se restauraron case todos os fluxos de traballo, aínda seguimos sofrendo as consecuencias do ataque informático á hora de desenvolver o traballo diario, xa que non todos os arquivos roubados foron recuperados", añaden, lo que da a entender que efectivamente hubo encriptación, no solo robo de datos. Hasta qué punto esos datos son sensibles solo se podrá comprobar si finalmente los piratas cumplen su amenazan y publican todo el enorme caudal de documentos que dicen robaron.

FRANQUICIADOS DEL HACKING

Este tipo de ataques de ransomware son cada vez más frecuentes. Solo en lo que va de año, en Galicia ha transcendido que el Concello de Cangas, R (la filial de Euskaltel - MásMovil) y la CRTVG han sido víctimas.

La proliferación de explica en parte por la 'uberización' del mundo del hacker. Una vez creado el programa malicioso y probada su eficacia, los ciberdelicuentes permiten descargarlo a quien acepte ceder parte de las ganancias. Los chantajes se pagan en criptomonedas que van parar a las carteras de los creadores del software, que después dejan un porcentaje de las ganancias a sus 'franquiciados'. 

Es una estrategia de una complejidad tal que implica, además de importantes conocimientos en ciberseguridad para crear el programa, una estructura muy elaborada para dar soporte a tantos abordajes. Por ejemplo, solo en lo que llevamos de septiembre ALPHV ha publicado muestras de 11 secuestros de datos de empresas de todo el mundo occidental. 

Son datos que apuntan a que detrás de estos programas pueden estar los equipos de piratas informáticos de alguna estructura con soporte estatal, de Corea del Norte por ejemplo, capaz de mantenar estrategias muy complejas si así puede contrarrestar los embargos internacionales de divisas.