Más de 1 millón de pasaportes de los ciudadanos rusos que ejercieron su voto en las pasadas elecciones constitucionales están a la venta en la darknet desde principios del mes de julio.
La información se dio a conocer a través de medios locales que reportaron el incidente tras realizar una investigación para verificar los hechos. Meduza, un portal ruso de análisis e informes de investigación, reveló que los miles de pasaportes de los ciudadanos de Moscú y Nizhniy, que participaron en las pasadas elecciones constitucionales a través del sistema «blockchain» de votación en línea Exonum, se encuentran en venta en la darknet.
Además de exponer que la información personal de 1.190.726 de ciudadanos está prácticamente en el dominio público, el informe de Meduza también revela que aproximadamente unos 97 ciudadanos están registrados en el sistema dos veces y que muchos de estos ejercieron el voto tanto de forma electrónica como en las mesas de votación físicas. Así mismo, la investigación del portal señala que entre 4000 y 6000 pasaportes registrados para el proceso electoral no son válidos y que han sido eliminados de la base de datos.
Por otra parte, Kommersant, otro medio de comunicación importante en el país, informó que hasta la fecha los hackers han vendido aproximadamente unas 30 000 líneas del documento filtrado con la información de los ciudadanos. Según el medio de comunicación, cada una de estas líneas tiene un valor aproximado de entre 1 USD y 1,5 USD en la darknet, un precio realmente bajo pero competitivo en un mercado con alta demanda.
Te puede interesar: Varios países implementan la tecnología blockchain para establecer un sistema de voto electrónico justo y transparente
¿Cómo se filtraron los documentos de los ciudadanos?
Exonum, el sistema de votación electrónico utilizado por el gobierno durante las votaciones constitucionales, está basado en tecnología blockchain. Una tecnología que, como todo sabemos, es completamente eficiente, segura, transparente y confiable. Ahora bien, con todas estas y muchas otras más cualidades increíbles, ¿cómo es posible que un sistema basado en blockchain permita la filtración de datos?
La investigación de Meduza señala que un fallo en el portal web del gobierno permitió que la base de datos de los ciudadanos registrados estuviera disponible por varias horas en el sitio web, lo que le permitió a los hackers descargarla fácilmente y luego ponerla en venta en la web oscura.
“El archivo se encuentra en uno de los sitios web estatales. Al mismo tiempo, el acceso al archivo era gratuito: el 1 de julio, al menos de 9:00 a 12:00 hora de Moscú, cualquiera podía descargarlo”.
Para comprobarlo, Meduza obtuvo acceso al archivo degvoter.exe y a la base de datos db.sqlite a través del enlace abierto en la web del gobierno. Estos dos archivos contenían los datos encriptados de los ciudadanos que votaron en línea durante las elecciones. Tras obtener el acceso, Meduza decodificó el archivo y accedió a la información almacenada.
Meduza también señala que la base de datos db.sqlite no estaba protegida por ninguna contraseña de seguridad. Y aunque los números de pasaporte estaban cifrados como una secuencia de hash, el proceso para descifrarlos fue realmente fácil, según revela el portal.
Artem Kostyrko, Jefe del Departamento de Gestión Territorial y Desarrollo de Proyectos Inteligentes del Gobierno de Moscú, negó la filtración de los datos señalando que la base de los votantes no estaba en el dominio público. Aun así, los medios locales confirman lo contrario, demostrando incluso la veracidad y autenticidad de los datos. Por su parte, varios analistas aseguran que este tipo de fallos son cada vez más frecuentes en las bases de datos o recursos de TI estatales, ya que los desarrolladores de estos recursos no prestan la debida atención a la seguridad de la información, pues tienen la creencia de que los datos almacenados no son de importancia ni de interés para los hackers e intrusos.
Repercusiones y posibles consecuencias de la filtración de datos e información en la darknet
Los investigadores estiman que los datos y la información personal de los ciudadanos no se puede utilizar en la darknet para fines que comprometan gravemente la identidad de los ciudadanos, ya que los números de pasaporte en sí no tienen gran utilidad para los compradores de datos. Aunque por otra parte, se estima que esta información le permitirá a los compradores obtener datos privados de las víctimas. Por ejemplo, con los números de documento los compradores de la información pueden acceder a los nombres de las víctimas, sus fechas de nacimiento y obtener información como el historial crediticio de los ciudadanos para hacerse una idea de sus movimientos financieros. Así mismo, los compradores pueden acceder a las direcciones de residencia o de las compañías donde trabajan los ciudadanos afectados, algo que puede desembocar en casos de extorsión o secuestro.
De igual forma, el acceso a información como las direcciones de correos electrónicos de los ciudadanos afectados permite a los hackers o compradores de la base de datos enviar correos electrónicos con promociones falsas para engañar a los usuarios, o incluso realizar ataques phishing o ingeniería social, para que los ciudadanos desprevenidos envíen su información bancaria, claves privadas o alguna otra información de interés para los atacantes.
Kommersant obtuvo una declaración del vendedor de los datos, donde alegó que gracias a que la base de datos es completamente nueva, existe una gran demanda de esta, a pesar de que no hay nada extraordinario en los datos.
Aprende con Bit2Me Academy: ¿Cómo protegerte de ataques phishing y evitar las estafas en internet?
Otros casos de filtración de información en Rusia
En 2019, las elecciones de la Duma en Moscú también tuvieron lugar de forma electrónica y durante este proceso los datos de las elecciones también se filtraron, revelando el voto que ejerció cada ciudadano. Los hackers lograron descifrar los archivos y revelaron por quién votó cada ciudadano que participó en las lecciones, aunque el gobierno negó varias veces este evento, afirmando que se trataba de información falsa.
Continúa leyendo: Coca-Cola integra la tecnología blockchain para garantizar la transparencia en la cadena de suministro