A inicios de abril del presente año, la Dirección General de Control de Armas y Municiones (Digecam), a cargo del Ejército de Guatemala, registró un ataque cibernético en donde fue reportado el robo de información de la institución gubernamental.
Este incidente de ciberseguridad alarmó a la población, por lo que las autoridades tuvieron que salir a aclarar la situación, en donde aseguraron que la información de los usuarios de Digecam “no está en riesgo”.
Estas declaraciones fueron brindadas luego que en redes sociales se empezara a hablar del presunto robo masivo de información, por lo que, ante las inquietudes y el interés por el tema, las autoridades fueron brindando información conforme avanzaban las investigaciones del caso.
Ejército realiza verificación ante supuesto incidente de robo de información en Digecam
LAS ALARMAS EN REDES SOCIALES
Desde el pasado 9 de abril empezó a circular información en distintas redes sociales del incidente de ciberseguridad del Digecam, por lo que el mismo día el ejército publicó un comunicado en donde anunciaban que realizarían una “investigación exhaustiva”.
En dicha ocasión anunciaron que la investigación sería realizada por técnicos especializados, ya que en ese momento aseguraban que no se contaba con la evidencia que confirmara la vulneración de los datos.
Pero, a pesar de eso, también anunciaron que activarían protocolos de seguridad y monitoreos continuos como medida preventiva y explicaron que las contraseñas del sistema no eran almacenadas en texto plano y que se encuentran protegidas mediante mecanismos de seguridad (hash).
CONFIRMACIÓN DEL ATAQUE Y DATOS EN PELIGRO
Un día después de dicho comunicado, La Hora consultó con la vocera del Ejército de Guatemala, Pamela Figueroa, quien confirmó que los protocolos se activaron tras un “hackeo”.
Figueroa también explicó en ese momento que el batallón de ciberdefensa se encontraba realizando una auditoría forense para establecer qué ocurrió y cuál fue el alcance del incidente, por lo que en ese momento le pidieron a todos los usuarios cambiar sus claves de acceso.
“Se hizo un restablecimiento de todas las contraseñas para que los usuarios puedan ingresar una nueva contraseña y volver a acceder al sitio web. Esa es una medida preventiva”, detalló la vocera en dicha ocasión, añadiendo que la información disponible en Digecam es de carácter público y no representa un riesgo para la población.
Ante las declaraciones oficiales, La Hora consultó con expertos en el tema, quienes señalaron que los registros de la institución sí contienen información altamente sensible.
“Cada ciudadano que registra un arma de fuego está exponiendo todos sus datos de identificación, su residencia, su número telefónico, su correo electrónico”, explicó una fuente especialista en temas de armas y que pidió anonimato.
Según detalló, a esto se suma información técnica importante, como el número de serie del arma, calibre, huella balística y número de tenencia.
Para él, estos datos podrían ser utilizados para suplantación de identidad o para facilitar operaciones ilegales para la adquisición de armamento o municiones.
EJÉRCITO DETALLA EL ATAQUE
El pasado 10 de abril las autoridades brindaron más detalles respecto al incidente, en donde, a pesar de las declaraciones de los expertos brindadas anteriormente, el Ejército aseguró que la magnitud del incidente ha sido «sobredimensionada» en redes sociales.
Esta explicación fue brindada en una conferencia de prensa realizada el mismo día, en donde el comandante de la Unidad de Comunicación Social del Ejército, Julio César Taracena, explicó que la intrusión informática se prolongó durante aproximadamente 13 horas, iniciando a las 3:00 horas y concluyendo cerca de las 19:00 horas del 7 de abril, momento en que los atacantes lograron acceder a información del sistema.
“El tiempo que les tomó ingresar responde a los niveles de seguridad con los que cuenta el sitio”, afirmó el vocero, quien también añadió que los atacantes primero obtuvieron credenciales de usuarios y luego utilizaron un bot para conseguir más acceso dentro de la plataforma.
Hackeo a Digecam: Ejército detalla ataque cibernético y afirma que presentó denuncia
Durante la conferencia, Taracena también rechazó las versiones que circulaban en redes sociales sobre un supuesto robo masivo de información, señalando que no existe evidencia de que se hayan extraído 30 gigabytes de datos.
“No hay evidencia que permita identificar que se hayan descargado más de 5GB”, señaló el vocero, y cuestionó la supuesta venta de la información que fue sustraída, la cual, dijo, será anulada por las autoridades.
DENUNCIAN EL ATAQUE MIENTRAS CONTINÚAN CON LA INVESTIGACIÓN
Luego de la explicación, el Ministerio de la Defensa confirmó que fue presentada una denuncia ante el Ministerio Público (MP) por el robo de información, lo que limita las acciones inmediatas de la institución en cuanto al fortalecimiento del sitio, mientras se desarrolla la investigación.
“Tenemos que reducir la brecha que existe, pero ahora no podemos hacer nada mientras dure la investigación del MP”, indicó Taracena.
En ese contexto, también hizo un llamado a la población a informarse por canales oficiales y no dar credibilidad a publicaciones no verificadas.
Sin embargo, como parte de las acciones posteriores al ataque, la Digecam iniciará un proceso para reponer credenciales a los usuarios afectados, lo que permitirá mantener vigente la portación legal de armas.
Además, el Ejército planteó la necesidad de avanzar en un marco legal que reconozca el ciberespacio como un ámbito de operaciones, para que las autoridades puedan responder de manera más efectiva a este tipo de amenazas.
¿EL RESPONSABLE FUE UN PERSONAJE DE VIDEOJUEGOS?
Luego de que continuaran las investigaciones, el pasado 21 de abril el director del Digecam, Otto Rosito, fue citado en el Congreso de la República, en donde indicó que identificaron al hacker, pero desconocen si es una organización o una persona individual.
Según las declaraciones de Rosito, el responsable del ataque informático fue identificado, por lo que señalaron que se hace llamar “Gordon Freeman” y este operaría desde el extranjero.
Según explicó Rosito, el propio atacante se habría atribuido públicamente la intrusión, lo que permitió a la entidad ubicar un alias vinculado al hecho.
No obstante, aclaró que aún no se tiene certeza sobre si se trata de una persona individual o una organización, ni sobre el objetivo detrás del ataque.
El nombre utilizado por el usuario a quien se le atribuye el ataque fue sacado del protagonista de la saga de videojuegos de la desarrolladora Valve, “Half Life”, el cual es un personaje popular entre las comunidades y foros de internet.
“El atacante es conocido como Gordon Freeman porque él mismo se atribuye el ataque a la Digecam”, señaló el director Otto, al tiempo que indicó que este tipo de actores puede operar bajo distintas motivaciones, ya sea por fines económicos, como “soldados de fortuna” contratados para ejecutar ataques, por razones ideológicas o incluso para ganar notoriedad entre dicho sector.
El funcionario también indicó que la institución ya presentó la denuncia correspondiente ante el Ministerio Público, por lo que ahora el ente es el encargado de profundizar en la investigación y establecer responsabilidades, especialmente tomando en cuenta que el origen del ataque sería desde el extranjero.
“GORDON FREEMAN” YA CUENTA CON ANTECEDENTES DE ATACAR A ENTIDADES DE OTROS PAÍSES
Según el portal de análisis de ciberseguridad Vecert Analyzer, la amenaza fue identificada como GordonFreeman días antes de la confirmación de este 21 de abril por la Digecam, y se trata de un grupo de hackers que ha atacado portales electrónicos de instituciones estatales en otros países.
Entidades del Estado en Paraguay, España y una empresa en Venezuela habían sido hackeadas por el mismo grupo que atentó en la Digecam.
El pasado 6 de febrero, otro portal de análisis de amenazas denominado Hackmanac informó de la irrupción en los sistemas del Ministerio de Ciencia, Innovación y Universidades de España, donde se habrían extraído datos personales y académicos.
El 9 de marzo, Vecert Analyzer también detectó una amenaza en el portal electrónico de la aplicación de servicios de taxi denominada Yummy Rides Venezuela, en la cual se habrían robado las identidades de los conductores.
En tanto, el 4 de abril, el portal del tech Nerdpy reportó una amenaza en el Registro Civil de Paraguay que habría puesto en riesgo los datos de identificación de los ciudadanos de dicho país.
