Eduardo Clark, titular de la Agencia Digital de Innovación Pública (ADIP) del gobierno de la Ciudad de México, informó que se investigará la filtración de contraseñas y accesos al portal Llave CDMX Expediente, donde podría haber una afectación que pone en riesgo a 6.3 millones de usuarios que utilizan la plataforma.
De acuerdo con Clark, hasta el momento no han hallado una vulneración al sistema; no obstante, anunció que se implementará la autenticación en dos fases (2FA) para proteger los accesos de los usuarios del sistema más utilizado por los ciudadanos de la Ciudad de México para realizar sus trámites en línea.
El principal riesgo es que, con las credenciales expuestas, cualquier delincuente con los usuarios y contraseñas puede acceder a la cuenta de los ciudadanos y descargar todos los documentos personales que hayan gestionado a través de esta vía, como actas de nacimiento, trámites de licencias de conducir, carta de antecedentes no penales, entre muchos otros.
Pudo ser un ataque dirigido a usuarios
El funcionario capitalino sugirió que la afectación podría deberse a un ataque dirigido a los usuarios del sistema, y no necesariamente a la página web o al sistema de la ADIP que resguarda la información de los ciudadanos. En otras palabras, mediante un programa tipo stealer, se pudo haber llevado a cabo una campaña de malware para robar los accesos de los usuarios infectando sus dispositivos personales.
“Como en múltiples instancias similares de otros lugares, públicos y privados, ocurren más frecuentemente robos a usuarios de sus contraseñas y no del sistema en sí. En cualquier caso estaremos prendiendo 2FAO como default (SMS/mail) en lo que investigamos”
— Eduardo Clark, titular de la ADIP
La hipótesis surge toda vez que, según Clark, el sistema de la ADIP, empleado en Llave CDMX Expediente, utiliza como protocolo una función de encriptación que impediría contar con una lista concreta de usuarios y contraseñas claras en su servidor.
Afectación confirmada
Cabe recordar que el pasado martes 21 de mayo, Publimetro México corroboró que los accesos que estaban siendo compartidos a través de grupos de mensajería encriptada de hackers eran funcionales, permitiendo que cualquier persona con dichas credenciales pudiera ingresar a la cuenta de cada usuario y descargar todos los documentos generados en su historial dentro de la cuenta.
Es por esta razón que la autenticación en dos pasos, en caso de ser activada como aseguró Eduardo Clark, funcionará para evitar el ingreso de personas no autorizadas en las cuentas de usuarios. Sin embargo, es recomendable que todos los usuarios de la plataforma cambien sus contraseñas de forma inmediata, tal como sugirió el experto en ciberseguridad Víctor Ruiz, socio fundador de la empresa SILIKN.
Ah, ¿entonces todo está bien? Hashes o contraseñas: la plataforma ha sido vulnerada. ¿Pueden investigarlo o prefieren negarlo como en otras ocasiones? Recuerden que este incidente afectaría a aproximadamente 6.3 millones de usuarios de la Ciudad de México.
— Víctor Ruiz (@victor_ruiz) May 21, 2024
Credenciales filtradas
Aunque se desconoce el número total de accesos a la plataforma que pudo haber sido sustraído, el analista en ciberseguridad Nicolás Azuara informó a Publimetro México que el pasado 10 de mayo un actor malicioso filtró 2,113 accesos a dicha plataforma.
Previamente, como alertó Víctor Ruiz, otros actores maliciosos habían filtrado ciertas credenciales con el fin de demostrar que poseían dicha información, sin que los datos se hubieran divulgado de forma generalizada en internet.
