El Cazador Cazado: Cómo un Experto en Ciberseguridad Desmanteló una Base de Datos de la DGT Robada
Es famosa la expresión “el cazador cazado”, y eso es lo que deben estar pensando los ciberdelincuentes que robaron la información de la DGT. Un experto en ciberseguridad, activo en Twitter, logró cerrar la base de datos en la que almacenaban datos sensibles de millones de usuarios, incluyendo información de cuentas bancarias.
Recientemente ha sido muy sonado en España el caso de un ciberataque que se realizó a la DGT en España, del cual se consiguió robar una gran cantidad de datos de 34 millones de conductores. El caso es que se consiguió guardar en una base de datos que consta de los siguientes datos:
- DNI
- Coches disponibles o registrados
- Dirección de Domicilio.
- Número y fecha de carnet de conducir.
- Si la persona tiene seguro y, en caso afirmativo, el número de póliza.
Toda esta información se descubrió debido a que apareció a la venta el pasado 13 de mayo en paginas y sitios especializados en compra-venta de información robada llamada BreachForums, que los expertos calculan que podría estar valorada en varios millones.
Según la descripción de los ciberdelincuentes esta habría sido la oferta:
“Tenemos acceso a consultar cualquier matrícula o documento de los conductores. También vendemos la base de datos al completo con 34,5 millones de filas”
Esta información sustraída puede ser muy peligrosa puesto que se pueden llevar a cabo suplantaciones de identidad y campañas de phishing masivas en el caso de que pudieran conseguir, además del número de teléfono, el correo electrónico de la propia persona. Recordemos que la propia DGT sacó un comunicado diciendo que esa misma información no era peligrosa para los mismos usuarios.
Gracias a un experto en ciberseguridad llamado @WinixRun, que ademas tiene un hilo de twitter ( la actual X) que se llama “Molestando a Estafadores”, se ha conseguido descubrir y cerrar la base de datos que se encontraba en posesión de los ciberdelicuentes.
Mediante una herramienta desarrollada por el propio usuario llamada Scam-Hammer se reportaron una serie de mensajes maliciosos que muchos usuarios habían reportado provenientes de la DGT. Estos mensajes eran una estrategia de phising que los ciberdelincuentes habían ideado con el fin de obtener ciertos datos de los usuarios.
Estos mismos datos fueron guardados en una base de datos llamada MariaDB gestionado mediante un phpmyadmin y que, según las palabras del propio WinixRun “Es una forma extremadamente básica”. Para sorpresa del propio experto en ciberseguridad, jugando un poco con las direcciones, entró a la base de datos, puesto que esta misma no tenía contraseña ni login.
Una vez dentro podemos ver que se creó una de las bases de datos que se llama “info_form_profit” o información para beneficio/ monetizar dejando bien claro que los que habían hecho este ataque lo que querian era claramente sacar rédito del mismo. Al acceder a la base de datos, se encontraron registros de aproximadamente 71 personas que habían proporcionado información sensible. Entre estos datos se incluían, entre otros, detalles de cuentas bancarias.
El usuario rapidamente ha notificado al hosting que se encargaba de guardar esta información sobre lo ocurrido y una actuación rápida ha llevado a que se cerrase el acceso a esta misma base de datos.
Se desconoce si de verdad los que perpetraron el ataque a la DGT y los que reenviaron el mail masivo a los emails son los mismos ciberdelincuentes.
Dejo por aquí la cuenta de WinixRun: https://x.com/WinixRun