Ciberseguridad

Advierten falsas llamadas tras el hackeo de datos en las licencias de conducir

Especialistas en ciberseguridad recopilaron una lista de cibersaqueos que se registraron en el sistema público y privado desde 2017; y aconsejaron cómo actuar en el caso de un intento de estafa.

Gabriela Yalangozian
Gabriela Yalangozian miércoles, 17 de abril de 2024 · 15:22 hs
Advierten falsas llamadas tras el hackeo de datos en las licencias de conducir
Especialistas en ciberseguridad dieron consejos sobre cómo protegerse de intentos de estafas luego del hackeo de la base de datos de las licencias de conducir Foto: Shutterstock

El reciente ciberataque que incluyó el hackeo de 5,7 millones de licencias de conducir causó preocupación en todo el país por el uso que se podría hacer de esa información sensible si cae en manos de delincuentes.

De hecho, en las últimas horas surgieron denuncias en las redes sociales advirtiendo que recibieron llamados con artilugios en base a sus datos personales con intentos de estafa o extorsión.

El especialista en ciberseguridad Enrique Dutra explicó que está claro que quienes realizan hackeos en estos portales oficiales no son aficionados. "Si uno se fija en los datos que incluye una licencia de conducir, puede observar que hay mucha información interesante, desde nuestras fotos, nombres y domicilios hasta nuestras firmas y grupos sanguíneos, más allá de conocer qué vehículo tenemos. Se trata de una base de datos 'jugosa' para los ciberdelincuentes, y se presta para un montón de estafas para sacarle dinero a la gente", afirmó.

Además, precisó: "Algunas personas están recibiendo llamadas en las que le avisan que está cerca el vencimiento de su carnet. Aunque la base de datos no se ha hecho pública, los delincuentes comunes pueden aprovechan la movida para tratar de tener un rédito, extorsionar a la gente o generar alguna estafa".

Al respecto, recomendó: "Cualquier duda que tenga un ciudadano, se le recomienda que acceda en el teléfono al portal Mi Argentina. Allí aparecen todas las licencias de conducir y sus datos. Si tiene que renovar el carnet, deberá acercarse a un registro de la Municipalidad que le corresponda, hacer su consulta y realizar el trámite correspondiente. Pero no atienda ni realice ninguna acción a partir de lo que le digan en una llamada telefónica o un mensaje de Whatsapp, porque básicamente son los medios en los que se induce a las víctimas a las estafas", enfatizó Dutra a MDZ.

Antecedentes 

El ciberataque que se conoció este martes con el registro de licencias de conducir no es el primero que afecta a un banco de datos con información de ciudadanos comunes. En los últimos años, se viene repitiendo esta modalidad no sólo en organismos estatales sino también en el sector privado.

La especialista Marcela Pallero recogió diversos incidentes que se dieron en los últimos años y reveló en su cuenta de X lo vulnerable de los sistemas de almacenamiento de datos que se da en los ámbitos tanto público como privado.

Experta en ciberseguridad recopiló los últimos hackeos en el sistema público y privado argentino. Foto: X de @marcelapallero

Dentro del listado se destacan: filtración de datos de la Suprema Corte de Justicia de la provincia de Buenos Aires (2020); incidente en la Dirección Nacional de Migraciones (exfiltración de datos personales, 2020); incidente de datos del Registro Nacional de las Personas, Ministerio de Salud (2021), incidente en Aerolíneas Argentinas (2022), incidente en las Fuerzas Armadas (2022); incidente en la Justicia de Córdoba (2022); filtración de Datos de salud en el hospital pediátrico Garraham (2022); entre otros.  

El abogado especialista en Derecho Digital y diplomado en Cibercrimen y Evidencia Digital, Hugo Pérez Carretta, comentó que en materia penal este delito se denomina "acceso indebido a un sistema informático", lo que se caracteriza por la infiltración sin la autorización de la persona titular al sistema o excediendo la autorización de la misma. "Bajo esas dos circunstancias, el acceso desde el punto de vista penal queda configurado", aseveró.

"Respecto a estas personas que son terceros, comúnmente conocido como hackers, claramente no tienen ningún tipo de autorización para ingresar al sitio. Lo que hacen es básicamente aprovechar vulnerabilidades técnicas tanto de los servidores de los sitios web como de los programas de seguridad de la información. De esta forma, perpetran ataques con distintas técnicas hasta lograr acceder a la información. Inicialmente, lo que hacen es pedir rescate por esa información. En esto hay que aclarar que se desaconseja el pago de ´rescates´ a cambio de información para no seguir alimentando ese negocio. Incluso, en Estados Unidos, ya se condena a las empresas que hayan pagado ´rescates´ por la exfiltración de información", subrayó.

A esta ingeniería del delito, se le suman otras aristas. El abogado, que también es perito judicial informático (UTN Bs.As.) y técnico en sistemas informáticos y hardware, señaló que en el caso del hackeo de las licencias de conducir, la información a la que se tuvo acceso fue sumamente "sensible". "El hacker puede vender estas bases de datos al mejor postor, como en un especie de remate. Quienes acceden a esos datos podrían realizar distintos tipos de actividades delictivas y la más común es la estafa online. Lo que se busca allí es obtener alguna ventaja o beneficio en base a lo que su víctima cede voluntaria o involuntariamente, por desconocimiento; en general, una erogación patrimonial en la creencia de que le están dando esa plata a una persona que legítimamente le está pidiendo pagar por algún servicio", detalló.

En cuanto a las posibles estafas que podrían originarse a partir del ciberataque de las licencias de conducir, el especialista ejemplificó: "Pueden informar sobre una multa de tránsito que en los hechos no existió a partir de la información que consta en el carnet de conductor; pueden extorsionar a la víctima señalando que, teniendo una licencia para conducir vehículos se los vio conduciendo un camión, cuyo carnet no se lo permite. También se podrían cometer delitos en base al grupo sanguíneo ofreciéndole un pago por la extracción de sangre, tras el pago de unos sellados inexistentes. Inclusive, teniendo la dirección de los damnificados, pueden enviar una 'carta notificada', que es un invento que hacen estudios jurídicos de cobranza para intimar y hostigar a estas personas con deudas inexistentes", enumeró.

El abogado Pérez Carretta precisó que en materia penal el ciberataque sufrido constituye un delito denominado "acceso indebido a un sistema informático". Foto: Estudio Pérez Carretta

"Con un carnet, surgen al menos todas estas posibilidades para cometer ilícitos. Lo que tiene que hacer ahora el Gobierno ante esta situación grave es ordenar investigar el ciberataque. Para este fin, existe un organismo especializado en los incidentes de ciberseguridad a nivel nacional, que está obligado a notificar las circunstancias que hayan sufrido con ese incidente. Claramente, a veces eso no ocurre porque no hay un encargado de gestión de datos", comentó.

Penas o sanciones

Respecto de las penas que pueden aplicarse como consecuencia del ciberataque, el consultor en Seguros de Riesgos Cibernéticos aseguró que es muy difícil identificar a los responsables: "los hackers se ocultan bajo el anonimato y pueden estar en cualquier parte del mundo", explicó.

"Por otro lado, es muy difícil hablar de una eventual responsabilidad de personas que no tienen la obligación de saber sobre ciberseguridad y que simplemente se aboca a su trabajo como empleado. Si los elementos de ciberseguridad no se las provee su empleador es difícil que terminemos imputando a una persona por negligencia, cuando evidentemente no hubo intencionalidad", aclaró.

En tanto a las sanciones ante un acceso indebido o exfiltración de información, las mismas están previstas en el Código Penal  Argentino, que establece en los artículos 153 bis y 157bis, prisión de 15 días a 6 meses de pena por el delito de "acceder sin la debida autorización o excediendo la que se posee al sistema informático de uso restringido"; en tanto que "la pena se agrava de 1 mes a un año, cuando el acceso indebido se provoca sobre sistemas informáticos o datos de organismos públicos estatales o de un proveedor de servicios públicos o de servicios financieros como bancos", subrayó Pérez Carretta.

Archivado en