El Incibe niega un ciberataque pero reconoce que hay datos de trabajadores circulando de forma fraudulenta en la red

El Instituto Nacional de Ciberseguirdad (Incibe) ha salido al paso este miércoles de las informaciones que apuntan a que habría sufrido un ciberataque tras el que un paquete con información sensible y personal de altos cargos y trabajadores del centro, al que ha tenido acceso la web especializada RedesZone, ha sido publicado abiertamente en la red. Desde el instituto ubicado en León niegan haber sido víctimas de un ciberataque y rebajan el suceso a un caso de lo que se conoce como "doxing" que, de facto, viene a reconocer que la circulación de información sensible del centro es cierta pero negando que su sustracción se haya debido a un ciberataque o robo.

"Incibe ha tenido conocimiento de publicaciones en plataformas de doxing que exponen datos personales atribuidos a antiguos y actuales empleados", reconocía este miércoles el centro estatal de ciberseguridad. "Un aspecto clave para interpretar correctamente estos casos es que la aparición de datos de una persona vinculada a una entidad concreta no demuestra, por sí sola, que haya existido una brecha en los sistemas de esa entidad. En la práctica, estas publicaciones suelen basarse en agregación de datos procedentes de antiguas publicaciones de datos personales (nombres de usuario, contraseñas, etc.) en Internet que periódicamente circulan, pero que no corresponden necesariamente a datos reales", añadieron en un comunicado publicado en su página web.

No se reconocen errores

De esta manera, el Instituto de Ciberseguridad no arroja luz sobre cuál es la fuente de la información pero sí reconoce que ha sido revelada. En su comunicado, el Incibe tampoco reconoce ningún tipo de error ni adelanta ningún tipo de acción más allá de recomendar a las personas cuyos datos personales habrían sido revelados y publicados que actúen con "criterio y agilidad" para "cambiar sus contraseñas", que soliciten la retirada de los datos a la plataforma que los publica y que, "si procede", pongan los hechos en conocimiento de la Policía. Además, piden a los profesionales de los medios de comunicación y redes sociales que "eviten difundir publicaciones de este tipo para no alimentar el propósito malicioso de sus creadores".

Según la información publicada este miércoles por RedesZone, los datos filtrados han aparecido en un "popular foro donde los ciberdelincuentes muestran datos robados o listados de ataques realizados". El autor de la publicación, según las mismas fuentes, actuaría bajo el pseudónimo 'Police-ESP-Doxed'. Entre la información revelada aparecen nombres, direcciones, teléfonos y correos electrónicos de trabajadores y altos cargos del Instituto así como de antiguos empleados del mismo.

¿Qué es el 'doxing'?

El Incibe explicó también que el denominado 'doxing' es la "práctica de revelar información personal de una persona en Internet sin su consentimiento (por ejemplo, teléfonos, direcciones, documentos identificativos o detalles familiares), normalmente con fines de intimidación, acoso o extorsión". "En cualquiera de los casos, son fuentes no autorizadas que no ofrecen fiabilidad", añaden para subrayar que "en el ecosistema de estas publicaciones existen plataformas o repositorios donde se suben fichas o dosieres con datos personales. Estas plataformas suelen presentar varios rasgos operativos relevantes para comprender su impacto", como favorecer la viralidad, integrarse con canales de difusión externos o mezclar información incompleta y desactualizada. "Esto no reduce el riesgo: incluso datos parciales pueden habilitar campañas de fraude y suplantación", añade el Incibe.

Además, el comunicado del Incibe hace hincapié en que "la mayoría de publicaciones de doxing de este tipo no se generan 'desde cero', sino que "suelen surgir de la industrialización del robo y reventa de datos: se filtra un conjunto de información en una brecha de cualquier entidad, se redistribuye, se cruza con otras fuentes y, finalmente, se presenta como una ficha orientada al impacto".

Los datos revelados

En términos prácticos, hay tres vías especialmente frecuentes: la reutilización de datos procedentes de filtraciones anteriores (brechas en servicios ajenos a la organización, o fugas de información publicadas en repositorios clandestinos); el abuso de usuario/contraseña (credenciales) robados, un patrón que se denomina credential stuffing: el atacante prueba automáticamente credenciales filtradas en múltiples servicios, aprovechando que muchas personas reutilizan contraseñas; y el uso de malware infostealer (ladrón de información) como herramientas capaces de robar datos desde navegadores y aplicaciones, incluyendo credenciales y otra información sensible, que después se comercializa en mercados criminales. "En resumen, en muchos casos, extraer datos significa agregar y correlacionar información ya comprometida (en brechas ajenas), y complementarla con accesos logrados por reutilización de credenciales o por robo en el dispositivo de la víctima", explicó el Incibe.