Fotos de DNIs y otros documentos confidenciales de R Cable y Euskaltel publicados por hackers

Tras un asalto a mediados de mayo, los hackers dieron al grupo MásMóvil hasta el 5 de junio para pagar un rescate.  De la publicación de parte de los documentos se desprende que la empresa no ha cedido al chantaje,  al menos en términos plenamente satisfactores para los ladrones. 

R YA CONFIRMÓ UNA DENUNCIA ANTE LA GUARDIA CIVIL

Fuentes oficiales de R cable consultadas por Galiciapress indican que por ahora no van a realizar más comentarios y se remiten a declaraciones previas. Estos mismos portavoces reconocieron entre líneas a esta redacción hace unas semanas el asalto, pues indicaron que habían denunciado los hechos en la Guardia Civil.

Por entonces, a principios de mes, los piratas solo habían publicado una muestra de lo robado, exhibiendo una docena de capturas de pantalla, pero ahora han empezado a publicar toda la documentación. En concreto en una carpeta llamada Euskaltel.com hay 29  gigabytes de documentos de texto y bases de datos. Es decir, una cantidad enorme de documentación.

La gran mayoría de la publicada hasta ahora es interna y está referida a las actividades en el País Vasco. Para tranquilidad de los clientes gallegos, Galiciapress no ha podido encontrar pruebas de que se hayan publicado datos de clientes con contrato en R Cable, tampoco de Euskaltel o Telecable. 

Con todo, ya que R Cable es una filial del grupo Euskaltel (ahora controlada por Más Movil)  sí hay documentación de la marca gallega en los datos ya publicados y esa documentación incluye datos confidenciales. Por ejemplo, documentación interna de los concursos públicos  de entidades como la Deputación da Coruña, Autoridad Portuaria de A Coruña, Ayuntamiento de A Coruña. Ayuntamiento de Santiago o Ayuntamiento de Lalín, entre otras. 

¿PUBLICARÁN LO ROBADO DE MUNDO-R.COM?

El peligro para los clientes y trabajadores gallegos no ha pasado. Cuando anunciaron el asalto, los piratas ofrecieron pruebas de que habían robado documentación de los servidores de dos dominios, euskaltel.com y mundo-r.com . Por ahora solo han colgado la documentación robada, dicen, de euskaltel.com .

¿Qué ha pasado con la documentación de mundo-r.com? En el blog de Lockbit3 esta carpeta figura como publicada, pero no hay documentación a descargar, al contrario que en la carpeta de euskaltel.com. 
 

Esto podría deberse a que las bases de datos de mundo-r.como incluirían documentación más valiosa (de clientes y trabajadores por ejemplo), mientras que la desvelada procendente de euskaltel.com es principalmente documentación empresarial. Por lo tanto, en vez de publicarla en abierto, es posible que los asaltantes hayan intentado vender los datos de mundo-r.com, más valiosos, a otros ciberdelincuentes, a través de algunos de los portales de la web profunda donde comercian estos cibermaleantes.

DNIS, CONTRATOS CON CICLISTAS, CURRÍCULUMS

¿Qué documentación han publicado ya? Entre otra, Galiciapress ha comprobado que se puede acceder libremente a:

•  Foto del DNI completo de directivos del grupo de R Cable, o exdirectivos.
• Currículums Vitae de candidatos a puestos de trabajo, que incluyen datos personales de los profesionales, como dirección, correo electrónico, número de móvil e incluso su foto de carné.
• Ofertas de proveedores del grupo, por ejemplo una realizada por bufete Cuatrecasas a Euskaltel y R Cable en 2015
• Documentación interna sobre trabajadores, por ejemplo solicitudes de incremento salarial, que incluyen datos personales y también el escaneo de la firma de operarios y supervisores. 
• Certificados tanto de R Cable, como de Euskaltel y la asturiana Telecable emitidos por administraciones públicas sobre aspectos como impuestos, número de trabajadores, etc. 
• Contratos del Basque Cycling Pro Team, por ejemplo lo que se pagó en 2013 a los ciclistas al rescindir sus contratos, entre otros el del conocido Mikel Landa. 
   

En esos contratos, como en mucha otra de la documentación, hay muchos números de DNIs, direcciones de residencia, etc. Estos documentos pueden ser reutilizados por otros ciberdelincuentes para intentar realizar estafas de suplantación de identidad, pedir préstamos en su nombre etc..

Galiciapress preguntó a la empresa si había denunciado lo sucedido ante la Agencia de Protección de Datos pero no obtuvo respuesta. El sindicato Comisiones Obreras ha pedido una reunión a la compañía para pedir explicaciones sobre la filtración de documentos de los asalariados, informó Radio Euskadi.

MODUS OPERANDI

El blog donde se van publicando los hackeos se llama Lockbit 3.0 Leaked Data. Su nombre hace referencia al software malicioso Lockbit, que los piratas informáticos infiltran en ordenadores y servidores. Tras tomar el control, pueden proceder a una de estas acciones, o ambas:

• Encriptar todos los datos de los ordenadores y pedir un rescate para desencriptarlos. Esto es lo que pasó por ejemplo recientemente en el Concello de Cangas de O Morrazo.
• Robar toda la documentación, hacer una copia  y chantajear con publicarla si no se paga un rescate. Esto es lo que ha pasado en el caso de R Cable y Euskaltel. Del chantaje posterior nace el nombre de esta subclase de programas, ransomware. 

Para demostrar que van en serio y que tienen material valioso, lo primero que publican los piratas son capturas de pantalla de algunos documentos. Galiciapress pudo comprobar la veracidad de esas capturas. Por ejemplo, los datos de las capturas sobre los representantes sindicales y clientes de R Cable coinciden con los datos que esas personas publicaron en sus redes sociales. 

Entre esos datos de muestra hay por lo menos la foto de un pasaporte de una trabajadora. Para acceder a esta documentación tan confidencial, basta usar el navegador Tor y buscar la dirección de Lockbit 3.0 Leaked Data en algunos de los directorios sobre la Deep Web que hay en la ‘internet normal’. 

Los creadores de  Lockbit 3.0  operan como una compleja organización criminal. A cambio de un porcentaje de cada rescate, ‘licencian’ su malware a diferentes hackers afiliados, que ya han asaltado docenas de servidores por todo el mundo. Su afán por ganar dinero ha llevado a algunos expertos a especular que sean norcoreanos, pues el regimen comunista es famosos por mantener un ciberejército que le permita captar divisas y burlar el bloqueo.

CÓMO USAR LA DARK WEB

A diferencia de la web normal, en la web oscura es imposible, o casi, localizar la ubicación de la información colgada. Usando Tor, un navegador de sencilla instalación, también es posible navegar con casi un absoluto anonimato. 
 

Curiosamente, la Dark o Deep Web no fue una creación de delincuentes. Al igual que Internet, nació del aparato militar y de seguridad de Estados Unidos. Preocupados porque la interceptación de mensajes  pudiera relevar el movimiento de tropas a un enemigo, los americanos desarrollaron un sistema que en la práctica impide localizar la localización de los internautas o sus mensajes. Por eso han florecido portales en los que se comercia abiertamente con drogas o se venden datos robados.

¿Si los ciberdelincuentes tienen ánimo de lucro, porqué publican los datos de euskaltel.com gratis? Hay varias posibles explicaciones. La primera, para demostrar que van en serio, y que publicarán también los de mundo-r.com . La segunda es que han publicado los datos de una manera muy farragosa, que permite acceder a todos los documentos pero de forma muy lenta y no sistemática y, hay que recordar, estamos hablando de miles, posiblemente docenas de miles, de PDFs, XLS, DOCs, etc.