La policía de Seúl imputó a dos jóvenes que supuestamente accedieron ilegalmente a la base de datos del sistema de bicicletas compartidas Ttareungyi y extrajeron información personal de casi la totalidad de los usuarios.
Una investigación policial en Corea del Sur sobre una vulneración masiva de datos personales en el sistema de bicicletas públicas Ttareungyi ha dado este mes un giro importante con la imputación de dos adolescentes, acusados de violar las leyes de comunicaciones y redes tras el acceso no autorizado a la base de datos de la plataforma entre el 28 y 29 de junio de 2024. La Unidad de Investigación Cibernética de la Agencia de Policía Metropolitana de Seúl confirmó que el incidente comprometió la información de aproximadamente 4,62 millones de usuarios, lo que representa cerca del 90 % del total de personas registradas en el servicio.
Los sospechosos fueron identificados únicamente como Persona A y Persona B en los comunicados oficiales. Ambos tenían la condición de estudiantes de secundaria cuando ocurrieron los hechos y se conocieron a través de la aplicación de mensajería Telegram, donde compartían un interés en temas de seguridad informática, dijo la policía. La Persona B supuestamente declaró a la policía que “perpetraron el ataque para probar y demostrar sus habilidades”, mientras que la Persona A ejerció su derecho a guardar silencio.
De acuerdo con las fuentes, el grupo accedió al servidor de Ttareungyi, que está operado por la Seoul Facilities Corporation (SFC – Corporación de Instalaciones de Seúl), y extrajo información sensible de los registros de los usuarios, como identificadores, números de teléfono móvil, direcciones, fechas de nacimiento, género y peso de los usuarios, aunque los nombres y números nacionales no se habrían incluido en la filtración.
La comisión del delito no ocurrió de manera aislada. Según la policía, uno de los jóvenes ya había generado una interrupción en otro proveedor de movilidad compartida en abril de 2024 mediante un ataque que inundó el servidor con 470 mil señales de tráfico masivo (DDoS), lo que llevó a descubrir vulnerabilidades en el sistema de Ttareungyi. Esa información fue compartida con su cómplice, y juntos decidieron explotar la irrupción para descargar la base de datos.
La ley surcoreana prohíbe que menores cometan ciertos delitos de ciberseguridad, pero los procesos judiciales muestran matices particulares debido a su edad. La policía solicitó órdenes de detención en dos ocasiones, pero estas fueron denegadas por los tribunales en consideración a que se trata de menores de edad. En consecuencia, ambos fueron remitidos a los fiscales sin detención preventiva.
A diferencia de muchos incidentes de seguridad, hasta el momento no hay pruebas de que la información sustraída haya sido efectivamente divulgada en foros o mercados clandestinos, ni que haya sido vendida a terceros. Las autoridades, sin embargo, continúan evaluando la situación mientras trabajan con la entidad afectada para contener posibles daños colaterales y mitigar vulnerabilidades futuras.