Un grupo de 500 ciberdelincuentes vulneraron el sistema nacional de Bono Universal de Perú, robaron cerca de un millón de soles

Alrededor de un millón de soles (cerca de 230 millones de pesos chilenos) fueron robados por ciberdelincuentes, tras atacar el sistema del Registro Nacional de Identificación y Estado Civil (Reniec), suplantando la identidad de los beneficiarios del Bono Universal de 760 soles. En un primer momento, se informó que el sitio atacado correspondía al del […]

Alrededor de un millón de soles (cerca de 230 millones de pesos chilenos) fueron robados por ciberdelincuentes, tras atacar el sistema del Registro Nacional de Identificación y Estado Civil (Reniec), suplantando la identidad de los beneficiarios del Bono Universal de 760 soles.

En un primer momento, se informó que el sitio atacado correspondía al del Ministerio de Desarrollo e Inclusión Social (Midis), sin embargo, la institución confirmó que el incidente afectó al sistema de Reniec.

Una empresa de seguridad detectó que un grupo de ciberdelincuentes quebrantó la web del Bono Familiar Universal administrada por el Reniec, robando el bono de ayuda otorgado por el gobierno peruano a las personas afectadas por la actual crisis sanitaria.

Según el informe de los investigadores, los ciberatacantes suplantaron la identidad de los beneficiarios. Mediante los datos personales consignados en el Documento Nacional de Identidad (DNI), se procedía con distintos números telefónicos a la obtención la clave de seguridad, entregada por el Banco de la Nación a través de un mensaje de texto. Con toda esta información los delincuentes podían retirar el dinero en cajeros automáticos.

Tras analizar el sistema informático, se identificaron tres problemas. El primero correspondiente a una falla técnica, el sistema estaba mal programado. El segundo problema, debilidad en el diseño del proceso, se solicitaba muy poca información para validar la identidad de las personas. Y el tercer problema no existía una vinculación entre el número telefónico ingresado al sistema con los datos del beneficiario del bono.

Los ciberdelincuentes responsables del robo tenían un chat con 44 miembros en actividad. La empresa investigadora se infiltró en el dialogo y encontró que uno de sus integrantes escribió “me sentí mal al ver a una doña [señora] decir que ella no había cobrado su bono y que ya salía registrado”.

Problema de seguridad de la plataforma Reniec

La grave situación ocurrida con el bono de emergencia se debió de acuerdo con los expertos en ciberseguridad, a que los ciberdelicuentes encontraron algunas vulnerabilidades en el registro Captcha, sistema de comprobación automatizada de validación de datos.

Por lo general, cuando se envía una consulta de DNI, la opción Captcha solicita resolver un desafío basado en imágenes que pertenecen a la misma categoría, una vez resuelto, el formulario puede ser enviado. Sin embargo, el Captcha encontrado en el sitio web de Bono Universal y Bono Independiente no estuvo bien implementando motivo por el cual se podían enviar el formulario de forma masiva usando herramientas automatizadas.

Fernando Lagos, director de NIVEL4, señala que “una de las fallas más recurrentes de los sistemas o aplicaciones web, tiene relación con la enumeración de usuarios. El impacto y el nivel de riesgo de este tipo de debilidades se determina dependiendo de qué cosa puedas hacer con esa información. Por ejemplo, si enumeras los usuarios existentes de un sistema bancario, luego se debe responder la pregunta ¿Qué podemos hacer con esa lista de usuarios obtenida? Si podemos acceder a información sensible tiene un nivel de riesgo e impacto, si podemos realizar operaciones transaccinales el riesgo e impacto cambia. Si tomamos como ejemplo lo que pasó en Perú y lo traemos a nuestra realidad (Chile), es como si un extraño pudiera cobrar tus pensiones, bonos, seguros o cualquiera de los beneficios que se están entregando a raíz de la pandemia“.

Los ciberdelincuentes desarrollaron un programa automatizado de comparación de datos del Reniec, posteriormente los agruparon en 5 mil registros para identificar a los beneficiarios. Tras obtener los números de DNI buscaban los datos personales como la fecha de expedición del
documento y los nombres de los padres de los beneficiarios, es decir, los datos solicitados por el sistema. Por último, para que les llegará el mensaje de texto de confirmación, ingresaban un número telefónico.

Con el programa creado para enviar peticiones masivas, se podía autentificar en el portal N números de DNI sin tener que resolver la adivinanza de imágenes, obteniendo todos los números DNI con bono universal del Perú.

Cabe destacar que el Registro Nacional de Identificación y Estado Civil (Reniec) señalo través de sus redes sociales que la plataforma tecnológica Reniec “cuenta con los más altos estándares de seguridad”.