‘Hacker’ robó una base de datos del Sisbén; 2,5 millones de personas en riesgo, ¿qué pueden hacer con esos datos?

El año 2023 comenzó con una explosión de ciberataques a empresas de la salud e instituciones estatales. La empresa de ciberseguridad Lumu asegura que hay un incremento del 133 % en la estadística de ataques comparado con el mismo período del año anterior. Colectivos de hackers como Vice Society, Groove RansomEXX, Industrial Spy y Lockbit en incluso Ransom House han logrado infiltrar las redes de empresas reconocidas como Sanitas, Audifarma y EPM, incluso han llegado a infiltrar organismos del estado como la Fiscalía General de la Nación.

El objetivo: robar los nombres, números de cédula, números de tarjeta, correos electrónicos, fotos de la cédula física, que pueden terminar en manos de criminales que ni siquiera se encargaron de robarlos.

Los ataques son tan recurrentes que esta semana la Alcaldía de Medellín registró un ataque contra los servidores del despacho que no terminó en nada grave. Historia que no puede contar la Alcaldía de Cali, que esta semana también denunció que los procesos contractuales de su Secretaría de Educación fueron saboteados.

Sin embargo, el escándalo más grave fue el robo de más de 38 mil carpetas que sufrió la Fiscalía General de la Nación, con correos de imputaciones de cargos, citaciones y hasta resultados forenses. Lo más escandaloso es que sumando todos los ataques no se sabe cuáles ni cuántos datos están en poder de estos cibercriminales que venden la información en foros de internet.

El periodista Camilo Andrés García, creador del blog muchohacker.lol explica que los foros son espacios muy normales en internet y están ligados a la historia de esta herramienta, allí se comparten distintos intereses, como los videojuegos y la música. Además, existen foros en los que también se compra y se vende la información producto de estos ataques. Estos foros se pueden encontrar tanto en la cara visible de internet (Surface web) como en aquella que Google no indexa (deepweb).

El asunto está en que todos quienes habitan en este planeta, y tienen acceso a internet o, al menos, a un celular, son productores masivos de datos. “Son cientos de miles de datos nuestros que están en custodia de entidades públicas y organizaciones privadas que requieren que haya distintas medidas de seguridad para que el acceso a los datos personales sea controlado y legítimo; es ahí donde ocurren este tipo de filtraciones”, aseguró Rafael Alberto Méndez Romero, decano de la Escuela de Ingeniería Ciencia y Tecnología de la Universidad del Rosario.

Según dice, las entidades tienen el deber de resguardar los datos, por eso hay algunas con programas de seguridad bastante robustos que involucran muchas personas, pero “también existen casos de entidades, sobre todo del orden regional, en las que los mecanismos de protección son un poquito escuetos, muy básicos y escasos. De todos modos, es importante saber que ninguna entidad, independiente de ese nivel de madurez, está exenta de incidentes de seguridad”.

Los datos del Sisbén

El 17 de enero una noticia importante pasó desapercibida. Un hacker en un foro anónimo había publicado una base de datos, presuntamente, perteneciente al sistema para identificar beneficiarios de programas sociales en Colombia, el Sisbén. En la publicación se prometen 2,5 millones de números celulares y 8,5 millones de correos. Como muestra de “buena voluntad” el hacker publicó una muestra de 900 mil en poder de SEMANA.

Este ataque tiene algo particular, no lo realizaron grandes colectivos de hackers, fue hecho por una sola persona; pese a que no es claro si el atacante es colombiano, si la base de datos es de este año, o corresponde a registros recientes del Sisbén, lo que sí se sabe es que la muestra del hacker contiene datos de personas reales tal y como lo constató este medio.

El pirata informático asegura que vende la base de datos completa por 900 dólares, un precio mínimo, si se tiene en cuenta que con esa información la cantidad de delitos que se pueden cometer solo depende de la imaginación del criminal. SEMANA llamó a algunos de los nombres que contiene la base de datos y encontró que en su mayoría los números de teléfono corresponden al nombre de la persona.

La base de datos también contiene información personal como ubicación, centro poblado, corregimiento, barrio, además de datos de GPS sobre la ubicación exacta de la vivienda. También se puede ver si la casa tiene paredes, pisos, servicios públicos, cuartos y baños. Además, indica el valor de los gastos de la familia, de los ingresos, si reciben subsidio, así como el nombre y número de teléfono de quienes viven con ella, e incluso registra si en ese hogar viven personas con discapacidad.

Pese a que pueden parecer datos menores, las 245 columnas de la muestra y los cerca de 1 millón de filas contienen datos de personas que hoy viven en El Bagre y Envigado, Antioquia. De hecho, es posible que la muestra total tenga datos de todas las ciudades de Colombia.

Es decir, que en este momento un archivo plano con 2 millones 940 mil datos se puede descargar de un repositorio de internet que está a la distancia de una simple búsqueda en Google; lo peor es que por un poco más de 4 millones de pesos una persona puede adquirir un mar de datos.

El periodista Camilo García asegura que una de las cosas que más preocupación genera es que con esos datos “puede hacerse algo que se llama marketing de microsegmentación y esto fue lo que hizo Cambridge, analítica en Inglaterra. Eso quiere decir que tú en Facebook puedes llegarles a estas personas con el correo, con el nombre y con el teléfono”.

De hecho, advierte que si cualquier político o una agencia de marketing digital se hace con esos datos, más en época electoral, podrían modificar la libertad de los votantes sin ninguna consecuencia, pues a la pauta digital de las campañas políticas no se le hace un seguimiento exhaustivo en Colombia.

El profesor Rafael Méndez, a su turno, advierte que con la información que socavó este hacker se puede, por ejemplo, “suplantar la identidad del titular ante cualquier organismo público o privado; también podrían acceder de manera indebida a información privilegiada o adicional a la que el individuo víctima tiene acceso”.

Agrega que, “incluso, se puede construir una base comercial para el envío de publicidad no solicitada, podrían definir estrategias de fraude robustas que puedan pasar desapercibidas por mucho tiempo hasta que los impactos en las víctimas sean irreversibles”.

El Departamento Nacional de Planeación (que imparte los lineamientos metodológicos, técnicos y operativos necesarios para la implementación, operación y funcionamiento del Sisbén) aseguró, frente a esta información, que no hay ningún tipo de indicio de filtración en la entidad.

“Desde que conocimos una posible filtración de datos desde el DNP, pusimos en conocimiento de las entidades y autoridades competentes como Fiscalía y colCERT, para que analicen e investiguen este caso, cómo corresponde hacerlo en este tipo de denuncias”, agregó mediante un comunicado.

Para combatir a estos criminales, la ley colombiana (1273 de 2009) sanciona acciones como el uso de software malicioso, la violación de datos personales, el acceso abusivo a un sistema de información o a la suplantación de sitios web para la obtención de datos personales. Sin embargo, el delito sigue expandiéndose.

El descaro

El hacker que robó los datos del Sisbén hace una declaración perturbadora en el foro en que los publica. Sostiene que todos quienes están en la base de datos son muy pobres y “mienten al Estado sobre sus ingresos”, por esas razones indica que “pueden ser blanco de un Esquema ponzy (pirámide), una lotería cripto o de estafas de marketing. Mi base de datos contiene la toda la información sobre sus documentos, lo que implica que ellos serán más pobres si alguien inteligente me la compra”.

Lo más preocupante es que sostiene que intentó ponerse en contacto con la entidad, cosa que la entidad niega, para contar cómo obtuvo los datos, devolver los registros y lograr una ‘recompensa’. Sin embargo, “a ellos no les interesa la población. Ellos fueron alertados. Pese a todo, no hicieron nada para cerrar la brecha”.