Especialistas en protección de datos reportan que un actor de amenazas no identificado está subastando en foros de dark web una base de datos con registros de más de 90 millones de ciudadanos brasileños. El ofertante afirma que cada registro es único y 100% real, con lo que es posible realizar un perfil detallado de alguna de las personas afectadas con fines maliciosos.
Es posible participar en esta subasta mediante diversos mercados web clandestinos a los que sólo es posible acceder siendo invitado por alguno de los miembros actuales o bien mediante el pago de una cuota.
La plataforma especializada BleepingComputer tuvo acceso a algunas de las publicaciones en uno de estos foros clandestinos, donde se pudo comprobar de primera mano que la base de datos que está siendo subastada por el o los criminales cuenta con 16 GB de información y está en formato SQL. La oferta inicial es de 15 mil dólares y cada nueva oferta debe incrementar mil dólares como mínimo, reportan los expertos en protección de datos.
El vendedor (autonombrado X4Crow) especifica que los registros están organizados por provincia e incluyen detalles personales como:
- Nombres completos
- Fechas de nacimiento
- Claves de identificación de contribuyentes (conocido en Brasil como Cadastro de Pessoas Físicas), entre otros detalles
Después de obtener una pequeña muestra de la base de datos y compararla con el sitio web de Ingresos Federales de Brasil, BleepingComputer determinó que la información en realidad pertenece a ciudadanos brasileños.
El vendedor de esta información no ha revelado su fuente, aunque acorde a los expertos en protección de datos, los detalles incluidos en cada registro sugieren que se trata de una base de datos del gobierno de Brasil. Aunque el vendedor afirma que la base de datos incluye más de 93 millones de registros únicos, los expertos consideran que esto es casi imposible, pues estos registros deben pertenecer a la población económicamente activa en Brasil, que acorde al gobierno actualmente ronda los 90 millones de habitantes, por lo que es altamente probable que la base de datos sí incluya registros duplicados.
La oferta de X4Crow también incluye un servicio de búsqueda enfocado en la población de Brasil; en el sitio de la subasta, el actor de amenazas menciona que, ingresando una pequeña porción de datos (como nombre completo, clave de identificación de contribuyente, etc.), es posible obtener información relevante sobre los habitantes de Brasil. Hasta el momento se ignora cómo es que este usuario obtuvo acceso a esta base de datos o si ya ha recibido alguna oferta.
Expertos en protección de datos del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que, a pesar de que no se conocen registros de actividad anterior vinculada a X4Crow, es probable que quien sea que esté detrás de este alias no sea nuevo en el negocio.”Este hacker o grupo de hackers ha demostrado habilidad para llevar a cabo diversas tácticas propias de este tipo de incidentes, como la presencia en distintos foros de dark web. En otro de estos foros, X4Crow también afirma contar con capacidades para ofrecer otra clase de servicios, como pruebas de penetración, programación y asesorías en temas relacionados con malware.