Xplain hack: miles de salarios y datos personales de la Oficina de Migración de Aargau en línea

El gobierno federal anunció hace unos días que los piratas informáticos habían publicado «datos operativos». Ahora está cada vez más claro qué datos del proveedor de servicios de TI Xplain, que produce software de seguridad para varias oficinas, se ven afectados. La NZZ analizó alrededor de un tercio de los archivos.

Los datos de la Oficina de Migración e Integración de Aargau (Mika) son particularmente sensibles. Contiene tablas con el nombre, la dirección, la fecha y el lugar de nacimiento, el permiso de residencia y, en algunos casos, el número de pasaporte o DNI de los extranjeros residentes en Suiza. Los inmigrantes de Kosovo, Serbia, Sudán del Sur y Congo se ven afectados principalmente. La lista de Kosovo, la lista más grande, contiene solo 35.000 entradas. La oficina no puede confirmar la autenticidad de la lista, todavía está siendo analizada. Sin embargo, la NZZ pudo verificar la precisión de las direcciones individuales.

En la filtración también se puede encontrar una copia de una base de datos de 2021 con permisos de trabajo para empleados extranjeros. Contiene datos personales y salarios de unas 58.000 personas, pero también amonestaciones y multas impuestas a empresas por la autoridad. Cuando se le preguntó por qué no se eliminaron estos datos, Xplain no respondió. Los datos provienen del antiguo software para controles de obras, informa la oficina de Aargau. «Sin embargo, no incluía todos los datos de los extranjeros que trabajan en el cantón de Aargau».

Hace dos semanas, la oficina dijo a «NZZ am Sonntag»: «Según el estado actual del conocimiento, asumimos que, además de la correspondencia comercial, también se ve afectado un pequeño volumen de datos operativos de los registros de errores». Cuando la NZZ le preguntó, la oficina pasó a la ofensiva y escribió un comunicado de prensa. En él, confirma la salida de datos. «Hasta ahora, ha sido posible una revisión aproximada y una indexación de los datos muy extensos. Algunos de estos son datos ficticios que se crearon con fines de prueba como parte de las migraciones de bases de datos, pero también incluyen registros de datos operativos, por ejemplo, en clientes de MIKA”, dice.

Actualmente no es posible decir con certeza cuáles de los datos en cuestión provienen realmente de conjuntos de datos operativos. Sin embargo, se debe asumir que los datos operativos también se verán afectados en mayor medida. “Un grupo de trabajo analizará los registros de datos afectados en detalle durante las próximas semanas y meses para identificar a las personas afectadas. En un paso posterior, estos deben ser informados por el Departamento de Economía e Interior. Sin embargo, esto podría llevar mucho tiempo debido al volumen de datos.

¿Quién es responsable de los delitos de cuello blanco?

Otra víctima del robo de datos es la Oficina Federal de Policía (Fedpol). En 2015, Fedpol entregó un pedido por valor de 9 millones de francos a Xplain solo, es decir, sin licitación. Utiliza el software Orma para gestionar sus expedientes de forma similar al cantón de Aargau.

Se filtraron principalmente datos del proyecto, es decir, documentos que surgen durante el desarrollo del software. Esto también incluye documentación detallada de la arquitectura del sistema, el modelo del software, por así decirlo. Estos datos no son de interés para el delincuente casual. Sin embargo, dicho modelo puede ser valioso para ataques dirigidos.

Armand Portmann, profesor y profesor de seguridad de la información en la Universidad de Ciencias Aplicadas y Artes de Lucerna, lo confirma. “Los datos que una empresa quiere mantener en secreto siempre tienen valor. Si un atacante sabe qué sistemas y productos utiliza una empresa y en qué versión, puede lanzar ataques que exploten específicamente las brechas de seguridad conocidas. Definitivamente no queremos revelar ningún punto débil que aún no se haya solucionado».

Sin embargo, también se pueden utilizar otros datos de Fedpol sin conocimientos de TI. La gestión de derechos del software Orma de Fedpol se almacena en los documentos pirateados. Dice, por ejemplo, qué usuario puede iniciar sesión en qué servicio. Al mismo tiempo, el documento permite sacar conclusiones sobre 1.600 empleados activos y ex empleados, por ejemplo, quién se ocupa de los delitos de cuello blanco y quién es responsable de las operaciones especiales operativas. No fue posible determinar qué tan actualizados y completos están los datos.

La Fedpol no quiso tomar posición y se refiere al Centro Nacional de Ciberseguridad (NCSC). Sin embargo, Fedpol ha presentado una denuncia penal.

Prohibiciones de la casa en el SBB

La fuga de datos no se detiene en Fedpol. Transsicura, el servicio de seguridad de SBB, también se enfrenta al robo de datos que la empresa preferiría no ver en Internet. Incluir listado de apercibimientos, prohibiciones domiciliarias y desalojos emitidos con el nombre y fecha de nacimiento del delincuente y el motivo del desalojo.

Solo se publicaron los delitos cometidos antes de noviembre de 2017. Previa solicitud, la SBB afirma que transmitiría los datos en forma cifrada como parte de la cooperación policial. Sin embargo, SBB no tenía conocimiento de cómo la autoridad pertinente almacenaba estos datos. Esto es parte de la investigación en curso en Xplain y las autoridades. «Si el análisis de datos revela que los datos de SBB han sido procesados ​​incorrectamente por terceros, SBB considerará emprender acciones legales».

La lista de otros afectados es larga. El Hospital Universitario de Basilea, la plataforma federal para el registro de datos biométricos y la Oficina Federal de Aduanas y Seguridad Fronteriza (BAZG) también se encuentran entre los clientes. Los documentos técnicos fueron publicados principalmente por estas empresas; no se pudieron determinar datos personales en la muestra NZZ.

El Comisionado Federal de Información y Protección de Datos (EDÖB) inició una investigación contra Fedpol y BAZG esta semana por «señales de violaciones potencialmente graves de las normas de protección de datos». Sin embargo, Edöb no quiso proporcionar más información sobre el curso del procedimiento.

Xplain informó del ataque de ransomware a la policía cantonal de Berna, dijo el director ejecutivo Andreas Löwinger a pedido. «Debido a que no pagamos un rescate, la pandilla de piratas informáticos publicó los datos robados en la web oscura».

Xplain verifica los datos robados publicados en Darknet en estrecha colaboración con los clientes interesados. Por un lado, se aclarará dónde se ven afectadas las personas, por otro lado, se aclarará si los datos sustraídos y publicados contienen otra información que pudiera afectar la seguridad de los sistemas.

La seguridad se puede certificar

El grupo de ransomware Play, que ha estado particularmente activo durante varios meses, es responsable del ataque de los piratas informáticos; el NZZ también se vio afectado. Defenderse de estos ataques es difícil. «Cuanto más confidenciales son los datos, más medidas debe tomar una empresa», dice Portmann. Si una empresa está procesando datos confidenciales de los clientes, como datos médicos, sería una buena idea obtener la certificación.

Normas como la ISO 27001 definen cómo establecer un sistema de gestión de la ciberseguridad y garantizar su eficacia. Las empresas externas verifican la infraestructura y los procesos de TI y emiten el certificado correspondiente. «Este sello de aprobación muestra a los clientes que el contratista domina la seguridad de la información», dice Portmann.

La empresa no quiso responder si Xplain está certificado según este estándar. Asimismo, Fedpol no se ha pronunciado sobre si la certificación juega un papel en la adjudicación de contratos.

El daño financiero para Xplain podría ser limitado. El año pasado, la empresa contrató un seguro cibernético por CHF 3 millones; esto también es evidente a partir de los datos pirateados. El seguro tiene vigencia hasta 2025. El daño a la imagen, pero también el daño a las personas, empresas y oficinas afectadas no se puede poner en números.