En el incidente, atribuida al grupo Brigada Cyber PMC y facilitada por el infostealer Redline, se utilizaron las credenciales robadas del dispositivo de un funcionario del gobierno conectado a un dominio del Ministerio de Salud Pública en abril de 2023, para infiltrarse en los sistemas críticos del país y robar la extensa base de datos
Una de las filtraciones de datos más significativas en la historia reciente de Paraguay ha revelado información personal de al menos 7,4 millones de personas, luego de que un grupo de actores de amenaza accediera de forma no autorizada a sistemas gubernamentales mediante malware de tipo infostealer, según informaron las firmas de ciberseguridad Resecurity y Hudson Rock.
La fuga fue atribuida al grupo denominado Brigada Cyber PMC, que presuntamente comenzó a vender la información robada en foros de la dark web por un valor de 7,4 millones de dólares, esto después que el gobierno de Paraguay se negara a pagar un rescate, lo que llevó a la publicación de los datos el pasado 13 de junio.
Investigadores de la firma Hudson Rock detallaron que uno de los vectores clave del ataque fue la infección de un dispositivo de un funcionario del Ministerio de Salud Pública y Bienestar Social con el malware Redline Infostealer, un software que permite extraer credenciales y datos sensibles sin que el usuario lo detecte. La infección habría ocurrido en abril de 2023 y dio a los atacantes una puerta trasera para extraer información durante meses.
“En este caso, las credenciales comprometidas brindaron acceso persistente a la infraestructura gubernamental de Paraguay, demostrando el poder devastador que tienen los infostealers cuando logran infiltrarse en cuentas con altos privilegios”, explicaron los investigadores.
Además del Ministerio de Salud, la Agencia Nacional de Tránsito y Seguridad Vial fue otra de las entidades vulneradas, según la firma Resecurity. La compañía asegura que los datos robados incluían nombres completos, números de cédula, fechas de nacimiento, profesiones, certificados y más. Parte de la información estaría duplicada o correspondería a personas fallecidas o extranjeras, y algunas capturas de pantalla compartidas por los atacantes mostraban acceso al portal de vacunación contra la COVID-19.
Aunque el gobierno paraguayo no confirmó oficialmente la autenticidad de los datos filtrados, algunos funcionarios señalaron al Organized Crime and Corruption Reporting Project (OCCRP) que la información podría haberse obtenido hace años y estaría siendo redistribuida ahora. Por su parte, CERT-PY, el equipo de respuesta ante emergencias informáticas de Paraguay, indicó que fue alertado por Resecurity sobre las publicaciones en la dark web, y que continúa investigando su legitimidad.
La filtración se suma a una serie de ciberincidentes recientes en el país. A principios de año se reportaron brechas que afectaron al Tribunal Superior de Justicia Electoral, al Ministerio de Hacienda y al Banco Central del Paraguay. En ese contexto, hace algunas semanas atrás el gobierno de Paraguay anunció una nueva Estrategia Nacional de Ciberseguridad, lo que no amilanó la acción de los atacantes.
Durante este mes de junio, 19 instituciones del gobierno paraguayo y la cuenta en redes sociales del propio presidente de la república Santiago Peña fueron comprometidas, situación tras la cual la Cámara de Diputados de ese país aprobó una declaración de “estado de emergencia en materia de ciberseguridad”, con la cual instaron al Ministerio de Tecnologías de la Información y Comunicación (Mitic) a tomar medidas en la brevedad posible “para enfrentar este grave riesgo a la seguridad nacional”. El documento también solicita al Ejecutivo y otros poderes del Estado trabajar de “manera coordinada y transparente para garantizar la seguridad cibernética del Paraguay”.
“El Estado debe ser un escudo, no un riesgo. Mi idea como presidente es que cada institución estatal proteja los datos y derechos de los ciudadanos con la misma seriedad con la que resguarda sus recursos físicos”, afirmó el presidente de la república Santiago Peña en un discurso la semana pasada.
Este fin de semana, el CERT-PY reportó nuevos incidentes que habrían afectado al Ministerio de Salud y a un departamento judicial. Aunque las autoridades aseguran que los ataques “están contenidos”, el análisis continúa mientras se intenta restablecer la normalidad en los sistemas comprometidos.