Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Involucran Alcasec en el mayor hackeo a Telefónica con el robo datos personales de 1,6M clientes


Informes internos de la investigación a los que ha tenido acceso El Confidencial concluyen que Huertas estaría también involucrado en el hackeo masivo a Telefónica del pasado octubre en el que se sustrajeron los datos de configuración de los routers de más 1,6 millones de clientes de la operadora. De momento, Alcasec no ha sido formalmente imputado por el ciberataque a Telefónica o Iberdrola, pero puede ser solo cuestión de tiempo.



Alcasec se encuentra en prisión provisional en el penal de Alcalá Meco desde el lunes 3 de abril, decretada por el juez de la Audiencia Nacional, José Luis Calama, al considerar que existe un alto riesgo de fuga, de destrucción de pruebas y de reiteración delictiva. La investigación, declarada secreta, detalla cómo Huertas accedió en octubre de 2022 al Punto Neutro Judicial, el sistema del Consejo General del Poder Judicial (CGPJ) que conecta los juzgados con otras instituciones del Estado para consultar datos, por ejemplo, de la Agencia Tributaria, la Dirección General de la Policía o el Servicio Público de Empleo (SEPE). Una investigación posterior de Telefónica y el Instituto Nacional de Ciberseguridad (Incibe), con ayuda del CNI, ha encontrado exactamente el mismo modus operandi entre el hackeo a la operadora y a otras empresas y el del Punto Neutro Judicial. Y todos los indicios apuntan a un mismo culpable: Alcasec y su grupo de colaboradores. 

 La primera alarma sonó en marzo de 2022. Iberdrola reveló haber sido víctima de un ciberataque el día 15 de ese mes en el que accedieron a los datos personales (nombres, apellidos, DNI, domicilio, email y teléfono) de 1,3 millones de clientes. La compañía aseguró que los ciberdelincuentes no habían accedido a su información financiera ni de consumo. Se inició una investigación, pero no se supo más. Hasta finales de octubre.

Ese mes, Telefónica reveló también una grave brecha de seguridad tras la que se habrían llevado los datos de configuración de los routers de "algunos" clientes. El ataque se produjo durante el mes de septiembre, pero no se hizo público hasta el 28 de octubre. La operadora inició una investigación interna y envió un email a los afectados con instrucciones para que cambiaran la clave de su wifi. El asunto quedó solo en un susto. La sangre no había llegado al río. O eso parecía.

El 18 de octubre se detecta un acceso ilegal al Punto Neutro Judicial. El Centro Criptológico Nacional (CCN), dependiente del CNI, se pone rápidamente en marcha a investigar lo ocurrido. También lo hace el Incibe, que empieza a cruzar datos con ayuda del CCN. Las primeras conclusiones no tardan en llegar. Los ataques anteriores a Telefónica, Iberdrola y varias entidades financieras eran casi idénticos al que acababa de sufrir el Punto Neutro Judicial. Las unidades de ciberdelincuencia de la Policía Nacional y la Guardia Civil se ponen también en marcha para seguir el rastro digital de los posibles autores.

Casi medio año después, la Comisaría General de Información de la Policía Nacional precipita la detención en su domicilio de José Luis Huertas Rubio, acusándole de estar detrás del hackeo al Punto Neutro Judicial. Según el auto de prisión, al que ha tenido acceso este medio, Alcasec consiguió mediante una campaña de envíos de SMS fraudulentos (Smishing) las claves de dos funcionarios de un juzgado de Bilbao para entrar en el sistema judicial. Para ello utilizó dominios registrados por el proveedor Eranet, con sede en Hong Kong. Una vez dentro, se conectó a la Agencia Tributaria por primera vez el 18 de octubre para robar durante cinco horas los datos bancarios de 438.000 contribuyentes. Dos días después, hizo la misma operación y exfiltró los datos de otros 137.186 contribuyentes. Toda esa información la almacenó en servidores de la compañía Cherry Servers, alojados en Lituania.

Alcasec y varios colaboradores, aun por identificar, usaron más tarde la plataforma uSMS para vender los datos a otros ciberdelincuentes. Obtuvieron más de medio millón de dólares por ellos, cobrados en bitcoin en diferentes monederos, todos conectados digitalmente con Alcasec. El auto de prisión explica también cómo en los servidores de Cherry Servers se guardaban varios documentos personales de Huertas, además de una base de datos elaborada por él llamada Udyat (el Ojo de Horus), compuesta por miles de datos de ciudadanos robados en diferentes ciberataques a sistemas de la Policía Nacional. El propio Alcasec reconoció en un podcast haber creado esa base de datos en la que podía encontrar información privada "del 90% de los españoles".

Lo que ni Alcasec ni el auto de prisión mencionan es su relación con los robos de datos a Telefónica, Iberdrola, y otras compañías españolas. El hackeo a Telefónica está siendo investigado en el juzgado de primera instancia número 31 de Madrid. Un informe interno de la operadora al que ha tenido acceso El Confidencial confirma que un atacante externo logró acceder a una aplicación corporativa denominada Magia. ¿Cómo? Enviando SMS fraudulentos a dos empleados de la empresa para obtener sus contraseñas. Los dominios usados para esa campaña de Smishing, igual que en el caso del Punto Neutro Judicial, estaban alojados en el proveedor Eranet, con sede en Hong Kong.

El informe detalla también cómo el atacante accedió a los datos de configuración del router de 1,6 millones de clientes. Esos datos se almacenaron en servidores de la empresa Cherry Servers, y se usó la plataforma uSMS para la venta posterior de los mismos a cambio de bitcoins. Telefónica recibió ayuda del Incibe en las indagaciones. Un informe interno del organismo revisado por este diario confirma que el dominio falso usado para colarse en el Punto Neutro Judicial "comparte características técnicas con otros dominios usados en ataques recientes a Operadores de Servicios Esenciales del sector privado". Traducido, a Telefónica, Iberdrola y diversas entidades financieras.

"La información adquirida por los atacantes podría poner en grave riesgo el secreto y la intimidad de las comunicaciones de un gran número de domicilios y empresas"

El hackeo a Telefónica es el mayor de los sufridos por la compañía a nivel individual en los últimos años. No hablamos de "algunos" clientes, como se comunicó inicialmente. Se trata de 1,6 millones de clientes, tanto consumidores como empresas, cuyos datos de configuración del router han quedado expuestos. En su informe interno, la empresa reconoce que "la información adquirida por el/los atacantes podría poner en grave riesgo el secreto y la intimidad de las comunicaciones de un gran número de domicilios, empresas o administraciones públicas". ¿Por qué?

"Es muy, muy gordo. Con los datos que han robado a Telefónica es muy sencillo localizar a gente, acercarse en coche a su domicilio, conectarse desde la calle a su wifi y, desde ahí, entrar a cualquier dispositivo que esté conectado a esa red, a los ordenadores Windows o Mac, móviles incluidos", explica a El Confidencial un especialista en ciberseguridad con años de experiencia en las Fuerzas y Cuerpos de Seguridad del Estado que pide mantener su anonimato."Puedes cambiar los DNS del router y redirigir tráfico para robar todos los datos. Si eres una empresa, ni te cuento. No podrás acceder a las comunicaciones de WhatsApp, están cifradas, o al email, eso sería más difícil. Pero da igual. Si te metes en un ordenador, puedes ver su pantalla o saber exactamente qué teclea la persona. Y que nadie piense que tienes que estar todo el día metido en el coche cerca del rango de la wifi. No. Entras una vez, y ya dentro, te vas a tu casa, y te pones a robar todo lo que pilles desde allí". 

Otra fuente consultada apunta a fallos y "puñaladas" entre la Comisaría General de Información de la Policía Nacional, responsable junto a la Fiscalía de la Audiencia Nacional de la última detención de Alcasec, y las unidades de ciberdelincuencia de la propia Policía Nacional y la Guardia Civil. Ambos cuerpos, junto con la Fiscalía General del Estado, anunciaron una operación conjunta el pasado 5 de abril: la desarticulación de Genesis Market, una web de compra venta de contraseñas en todo el mundo. Fue una operación global coordinada por Europol y en la que participaron 17 países, entre ellos el FBI por parte de EEUU. Fuentes de la investigación señalan que Alcasec y varios de sus colaboradores iban a estar entre los 119 detenidos de la mega redada. La Policía Nacional y la Guardia Civil ya lo tenían todo listo, pero la Policía Nacional se adelantó y detuvo a Alcasec solo 3 días antes, truncando el operativo. Alcasec está ahora en prisión y la Comisaría General de Información se ha colgado una medalla, pero quedan demasiadas incógnitas por resolver. 

Fuentes:
https://www.elconfidencial.com/tecnologia/2023-04-14/alcasec-telefonica-routers-datos-iberdrola-ciberseguridad_3608822/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.