Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1015
)
- ► septiembre (Total: 50 )
-
▼
marzo
(Total:
123
)
- Encuentran puerta trasera en biblioteca XZ en Linu...
- Twitter ha perdido a casi el 25% de sus usuarios
- Los trucos para acelerar rápida y fácilmente tu Ra...
- MSI SPATIUM M580 FROZR, el SSD PCIe 5.0 con hasta ...
- Copilot de Microsoft se ejecutará de forma local e...
- Construyen la cámara más rápida del mundo: 156,3 b...
- Investigadores belgas han estado entrenando una IA...
- "Es como Amazon en esteroides": cómo funciona Temu...
- Robo de cuentas de Apple mediante bombardeo MFA y ...
- Android 15 permitirá compartir la señal de audio v...
- Samsung 990 EVO vs PRO: comparación y diferencias ...
- WhatsApp mejorará su editor de fotos con funciones...
- El trazado de rayos de próxima generación mejorará...
- Microsoft publica un parche de emergencia para los...
- Europa investiga a Apple, Amazon, Meta y Google po...
- China prohíbe el uso de CPU AMD e Intel en PC gube...
- Las operadoras Españolas aún no han recibido la or...
- Vulnerabilidad incorregible en los procesadores Ap...
- Desmantelan los servidores en Alemania del mercado...
- Continúan los anuncios falsos de Broncano y Sobera...
- MacOS 14.4 causa el caos, los programas se cierran...
- Detenidas ocho personas por almacenar y distribuir...
- Android 15 permitirá enviar y recibir SMS vía saté...
- Estados Unidos demanda a Apple por crear un monopo...
- Web del MIT encuentra la IA que necesites
- Vídeo de Nvidia es el primero donde la IA apunta d...
- Cinco detenidos por robar 3,5 millones de euros co...
- La basura electrónica crece más rápido de lo que p...
- Loop DoS: nuevo ataque de DDoS basado en UDP
- Un grave fallo de seguridad del gobierno francés e...
- Microsoft anuncia Office 2024
- Francia multa a Google con 250 millones de euros p...
- Microsoft contrata a Mustafa Suleyman, cofundador ...
- Elon Musk reconoce tomar ketamina para salir de un...
- La inteligencia artificial superará a los humanos ...
- Descubren cómo romper la seguridad de ChatGPT para...
- Tesla pierde ya 600.000 millones en bolsa y sus pr...
- Confirman la condena del informático que dejó una ...
- Hackean a jugadores profesionales de ‘Apex Legends’
- YouTube avisará si un video realista fue creado co...
- NVIDIA presenta Blackwell GB200, su nuevo “superch...
- Llegan los filtros de belleza de Google Meet a su ...
- Sony PlasyStation PS5 Pro
- Historia de las tarjetas gráficas: los inicios de ...
- Detenidos el padre y el novio de una menor por gra...
- Vulnerabilidad de Kubernetes que permite la adquis...
- VLC supera los 5.000 millones de descargas entre e...
- Microsoft trabaja en una función para que escribas...
- Fluorescentes y luces de mala calidad pueden bajar...
- En España los ilustradores exigen a las editoriale...
- Asus Zenfone 11 Ultra
- WebTunnel Bridge, nueva herramienta de Tor contra ...
- Historia del nacimiento de Kazaa después del éxito...
- WPA3: el protocolo de seguridad más seguro para tu...
- Google tiene un agente de IA que aprende a jugar a...
- Cómo compartir archivos confidenciales por interne...
- En España un joven de Murcia robó 40 millones de m...
- Speedometer 3 es la nueva versión del benchmark má...
- OpenAI presenta Sora, la IA que crea vídeos ultrar...
- El Parlamento Europeo aprueba la Ley de inteligenc...
- Denuncian estafas para vender criptomonedas que us...
- ChatGPT, Claude 3 o Gemini Ultra: ¿cuál es la mejo...
- El móvil más barato de Xiaomi llega a España: Redm...
- Más de 12 millones de claves y secretos filtrados ...
- Taringa dice adiós tras 20 años de historia
- Airbnb prohíbe las cámaras de seguridad en interiores
- Bobby Kotick (Activision) quiere comprar TikTok co...
- Distrobox crea imágenes y ejecuta en contenedores ...
- Un informante de Boeing que señaló fallos de segur...
- Elon Musk va a por ChatGPT: su chatbot Grok será d...
- Mejores sistemas operativos para dispositivos NAS
- Actualizaciones en Windows 11 sin reiniciar
- Olivia Casta, la modelo que no existe
- Las ciberestafas ya son el segundo delito más denu...
- Donald Trump se opone al bloqueo de TikTok en EE. UU.
- Aumenta el uso de malware en ficheros PDF
- Microsoft confirma que está bajo el ataque de un g...
- Firefly llega a Adobe Express para Android e iOS
- Ciberdelincuentes aprovechan vulnerabilidades 0-da...
- Fallece Akira Toriyama, creador de series míticas ...
- Alguien se enfadó tanto con que el emulador de Swi...
- Nothing entra en la gama media con el Phone 2A, di...
- Actualizaciones críticas para VMware ESXi, Worksta...
- Microsoft y OpenAI publican una investigación conj...
- Filtrados millones de códigos de verificación de G...
- Un ingeniero de Microsoft advierte que la intelige...
- Haiper, la alternativa gratuita a Sora que mete mi...
- HBO Max prohibirá "enérgicamente" compartir cuentas
- OpenAI tacha de hipócrita a Elon Musk: quería el c...
- Apple trabaja en un MacBook plegable de 20 pulgada...
- Apple cancela la cuenta de desarrollador de Epic G...
- AntiSPAM con SpamAssassin
- En España será ilegal fotocopiar el DNI (Documento...
- Worldcoin ya es ilegal en España: la AEPD bloquea ...
- Vulnerabilidades en los paquetes de software de có...
- La Casa Blanca pidió a la industria que dejara de ...
- Windows 11 abandona el subsistema de apps para And...
- suyu: Yuzu resurge de sus cenizas en otra app sin ...
- Truco para mejorar el rendimiento del Explorador ...
- Claude 3: la nueva IA capaz de superar a GPT-4 y G...
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
En España un joven de Murcia robó 40 millones de matrículas a la DGT con el DNI de su madre
Estuvo extrayendo datos de los sistemas de la DGT durante casi cuatro años sin ser detectado. Llegó a conectarse con el certificado digital del DNI de su madre, sin su conocimiento.
Ciberdelincuente que sustrajo datos de 40 millones de matrículas
- Trabaja en una gran tecnológica y estuvo extrayendo datos del sistema durante casi cuatro años sin ser detectado
- Desde el año 2020 había realizado extracciones de datos de vehículos y sus propietarios a través de la red de servicios informáticos de la comunidad autónoma de Murcia
- Los agentes han recuperado la base de datos que el detenido había creado con información sobre vehículos y sus propietarios, logrando así evitar que pudieran ser utilizadas por organizaciones criminales para la comisión de estafas u otros delitos
- Utilizando el mismo procedimiento, y con el mismo fin, también había accedido a los servicios informáticos de las comunidades autónomas de Andalucía, Baleares y Canarias
Durante cuatro años y haciéndose pasar por su madre sin su consentimiento ni conocimiento. Así ha logrado un joven de Murcia de 27 años robar a la Dirección General de Tráfico (DGT) más de 40 millones de datos de vehículos y sus dueños, creando una ingente base de datos que se disponía a comercializar. Se trata de uno de los mayores ciberataques realizados a la DGT durante los últimos años que demuestra la vulnerabilidad de los sistemas informáticos de las administraciones públicas y, además, otro punto clave: al estar los entes públicos cada vez más interconectados, si un ciberdelincuente hackea uno es muy probable que el resto caiga como fichas de dominó.
La Policía Nacional detuvo el pasado 19 de enero a este murciano en una operación coordinada por la Comisaría General de Información, y con la cooperación de la Brigada de Información de Murcia y del Centro Criptológico Nacional (CCN-CERT), dependiente del CNI. Anunció la detención días después en un comunicado, pero sin ofrecer detalles fundamentales del modus operandi del ciberdelincuente. Estos detalles ayudan a entender cómo es posible que el joven estuviera desde el 2020 exfiltrando datos de la DGT sin ser detectado, cómo logró acceder y qué fallo cometió para ser detectado. Además, da pistas sobre un punto negro de la administración por el que se están colando cada vez más ciberataques: las conexiones entre organismos públicos.
La clave del caso está en un formulario para el pago del impuesto de transmisiones patrimoniales que se puede descargar en la web de la Sede Electrónica de la Administración Pública de varias CCAA. Al rellenarlo, este formulario pide datos en tiempo real a otros organismos, entre ellos la DGT. El joven de 27 años se dio cuenta de una vulnerabilidad en el documento y desarrolló un código que, en lugar de pedir datos de forma individual, los pedía y descargaba de forma masiva. Así arrancó en 2020.
"Hacía peticiones poco a poco, para no ser detectado, de ahí que pasara tanto tiempo infiltrado sin que nadie se diera cuenta", explican fuentes policiales conocedoras de la investigación. El detenido, que se encuentra en libertad con cargos a la espera de la instrucción judicial, vive con los padres y trabaja para una multinacional tecnológica desde Murcia, en modo teletrabajo.
Los datos que fue robando a la DGT contenían todas las características técnicas de 40 millones de vehículos (modelo, antigüedad, matrícula, número de bastidor...), asociados a los datos personales de cada dueño (nombre y apellidos, dirección, móvil...). El objetivo era crear una gran base de datos buscable y montar su propio servicio de comprobación de datos de vehículos.
Antes de comprar un coche de segunda mano, muchas personas quieren tener toda la información al detalle de ese vehículo para evitar riesgos. La DGT vende esos informes por 9 euros, pero también lo hacen decenas de webs conectadas a los sistemas de Tráfico. "Si hubiera ofrecido ese mismo servicio, pero a un precio menor, se hubiera lucrado de forma considerable", explican fuentes policiales, que también apuntan a que el ciberdelincuente no descartaba vender la base de datos directamente a empresas interesadas, como aseguradoras, o subirla a portales de compra-venta de datos robados usados por cibercriminales para realizar estafas online.
Como suele ocurrir en estos casos, el exceso de confianza del joven tras casi cuatro años exfiltrando información sin ser detectado le hizo tomar más riesgos. A comienzos de año, extrajo del tirón más de 80.000 datos de la DGT, algo que hizo saltar la alerta en los sistemas del organismo. Además, usó el certificado del DNI digital de su madre, sin su conocimiento ni consentimiento. La Policía no tardó en rastrear la IP de su domicilio. Al entrar en el mismo para efectuar la detención, el joven reconoció al instante ser autor del robo de datos desde el 2020.
"Desde un ayuntamiento puedes saltar a los sistemas de la AGE. Eso nos obliga a cambiar el modelo de seguridad"
La investigación continúa, pero se descarta de momento que haya más personas implicadas. Durante los últimos años, el detenido usó el mismo sistema para hacerse con los datos de otras comunidades autónomas. Al estar las competencias de tráfico descentralizadas, intentó colarse, y lo consiguió, en los sistemas de Andalucía, Baleares, y Canarias. El hecho de que el CCN-CERT, dependiente del CNI, se haya tenido que involucrar en la investigación, da pistas sobre el alcance del problema.
El propio jefe del departamento de ciberseguridad del CCN, Javier Candau, advirtió hace unos meses del reto al que se enfrenta este organismo y la Administración del Estado. "Tras la pandemia, cada vez hay más usuarios trabajando en remoto, funcionarios trabajando desde sus casas. Robar sus credenciales se ha vuelto más sencillo que nunca. La interconexión entre organismos públicos hace además que saltar de uno a otro sea cada vez más fácil. Desde un ayuntamiento puedes saltar a los sistemas de la Administración General del Estado. Eso nos obliga a cambiar el modelo de seguridad", explicaba Candau en las jornadas del CCN-CERT el pasado diciembre.
Para otras fuentes consultadas involucradas en las investigaciones del CCN y la Policía Nacional en materia de ciberataques, sorprende la intervención de la Comisaría General de Información, cuyo principal objetivo es el antiterrorismo. "Choca que en los últimos años estén liderando cada vez más casos de ciberataques que poco o nada tienen que ver con la investigación antiterrorista o con la seguridad nacional", señalan estas fuentes. "Es verdad que las cosas han ido cambiando y nos hemos ido adaptando", reconocen fuentes de la Policía Nacional. "Todo lo que sea ciberseguridad de las administraciones del Estado e infraestructuras críticas, es algo en lo que a partir de ahora vamos a estar más y más involucrados junto a la Brigada Central de Investigación Tecnológica".
El caso de Murcia recuerda en su modus operandi a otro aún más sonado: el hackeo del Punto Neutro Judicial (PNJ), llevado a cabo, entre otros, por José Luis Huertas, Alcasec. El PNJ fue solo la puerta de entrada para saltar a su verdadero objetivo, las bases de datos de la Agencia Tributaria. Ahora, el sistema de Sede Electrónica de varias CCAA fue la vía de acceso para saltar a la DGT. No es la primera vez que ocurre y, seguro, tampoco será la última.
Durante cuatro años y haciéndose pasar por su madre sin su consentimiento ni conocimiento. Así ha logrado un joven de Murcia de 27 años robar a la Dirección General de Tráfico (DGT) más de 40 millones de datos de vehículos y sus dueños, creando una ingente base de datos que se disponía a comercializar. Se trata de uno de los mayores ciberataques realizados a la DGT durante los últimos años que demuestra la vulnerabilidad de los sistemas informáticos de las administraciones públicas y, además, otro punto clave: al estar los entes públicos cada vez más interconectados, si un ciberdelincuente hackea uno es muy probable que el resto caiga como fichas de dominó.
Fuentes:
https://www.policia.es/_es/comunicacion_prensa_detalle.php?ID=16095#
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.