LockBit: el grupo de ransomware más grande desmantelado en una operación multinacional
22 febrero, 2024
1. ¿AFIP fue hackeado?
NO, siguen leyendo.
2. ¿Dónde y cómo se publicó el archivo?
- Se publicó en un conocido foro de hacking y robo de datos. No está en la Deep Web como han informado algunos medios.
- El archivo se puede descargar desde vario enlaces y se puede visualizar en texto plano.
- NO, no vamos publicar el enlace. Por ahora solo 52 personas (y contando) han descargado el archivo.
3. ¿Cómo puedo saber si mi CUIT y contraseña fueron publicados?
La mejor opción sería acceder al archivo y buscar tu CUIT. Pero, si no puedes hacer eso, cambia tu contraseña de todos modos.
4. ¿Cuántos registros se publicaron?
5. ¿Probaste los usuarios y contraseñas para verificar sin son correctos?
NO, en Argentina esta acción presume el delito de “acceso indebido”, de acuerdo a la Ley 26.388 que modificó el Código Penal en 2008.
6. Entonces, ¿qué datos serían “reales”?
12345678901:Cl4v3_S3gura- 82.708 registros – 100%
- 5.040 basura o desconocidos – 6,10%
- 46.144 duplicados – 55,79%
- Sólo 31.524 registros pertenecen a datos posiblemente reales que muestran la CUIT y la contraseña del usuario (38,11%)
- Existe algunos correos electrónicos y contraseñas, presumiblemente recolectados por error en el mismo archivo
- A vista de pájaro, menos del 1% son claves que se podrían considerar seguras. La mayoría corresponde a palabras sencillas en español con un número y una mayúscula. De todos modos, en este contexto, el uso de una contraseña segura es anecdótica porque pertenece a usuarios infectados.
7. ¿De dónde salieron los datos?
El archivo NO fue robado desde AFIP. Si fuera así, el archivo sería mucho más grande, tendría otro formato y no tendría basura ni datos duplicados. Por otro lado, es de presumir que la entidad almacena las contraseñas de forma hasheada.
Entonces, el archivo parece una recopilación bastante patética realizada desde usuarios infectados y cuyos datos fueron recolectados con un keylogger, passwors stealer o similar, durante algún tiempo.
8. ¿Los datos podrían ser viejos y estar desactualizados?
Sí, pero más vale prevenir que curar. Es tu cuenta, es tu decisión.
9. ¿Qué debo hacer?
Debes cambiar la contraseña y avisarle a todos tus amigos que hagan lo mismo.
Pero, independientemente de si tu contraseña y débil o fuerte, si estas infectado con un malware, de nada sirve cambiar la contraseña. Debes asegurarte que la computadora que utilizas para acceder a servicios sensibles (como AFIP), no está infectada.
10. ¿AFIP dispone de segundo factor de autenticación (2FA)?
Sí, AFIP dispone de una aplicación móvil para Android y iOS, la cual debes activar desde un cajero automático o en una filial del organismo. En caso de activar el 2FA, el mismo se hará sobre el teléfono personal de cada usuario.
11. ¿Debo compartir la contraseña de AFIP con mi contador?
El organismo nacional permite tramitar la posibilidad de delegar algunos servicios puestos a nombre de un titular para que los use otra persona, por ejemplo, tu contador.
Este sería el procedimiento recomendado PERO, ¿qué sucede si la contraseña del contador es comprometida? El atacante accedería a todos los servicios administrados por ese mismo contador. Entonces, ¿no sería preferible cambiar la contraseña cada cierto tiempo y que la seguridad dependa de esa contraseña? Tener en cuenta, que si activas el 2FA en tú teléfono, no podrás compartir el acceso con tu contador y, en este caso, debes delegar los servicios necesarios.
Idealmente, AFIP debería ofrecer un método seguro de autenticación a través de 2FA y passwordless, pero, mientras tanto deberemos seguir dependiendo de este tipo de situaciones.
Actualización: AFIP ha publicado un comunicado oficial.
