Hechos clave:
-
Los hackers ya han vendido unas 30.000 líneas de datos de pasaportes rusos.
-
Los datos fueron descargados debido a una vulnerabilidad en el sitio web de las elecciones.
Los datos de alrededor de 1,1 millón de votantes que participaron en las elecciones electrónicas realizadas en Rusia entre el 24 de junio y el 1 de julio están a la venta en la darknet (web oscura).
Se trata de números y series de pasaportes que los hackers venden en la web oscura por un precio que oscila entre 1 y 1,5 dólares, según informa el medio digital ruso Kommersant.
La nota agrega que los hackers prometen a los compradores cotejar la lista con las bases de datos disponibles, a fin de completar la información de los pasaportes. De esta forma, es posible combinar los números en venta con el apellido, nombre, datos de identificación personal y las compañías registradas de las víctimas.
De acuerdo a las declaraciones ofrecidas al medio ruso por uno de los vendedores, hasta ahora han logrado vender 30.000 líneas de datos. “La demanda es grande debido a la relevancia de la base”, asegura el vendedor.
El equipo de Kommersant también asegura haber recibido un archivo txt del vendedor de la web oscura, con los datos de los pasaportes de los votantes.
Sin embargo, el jefe del departamento para la Mejora de Gestión Territorial y Desarrollo de Proyectos Inteligentes de Rusia, Artem Kostyrko, negó en una entrevista que los datos que los vendedores proporcionaron al medio sean de los votantes.
El funcionario dice que comparó la base de datos de los votantes con los datos proporcionados por el vendedor al medio digital, pero no pudo verificar que se trata de la misma información. Afirma además que la base de datos del sistema electoral no ha sido de dominio público.
No obstante, Ashot Hovhannisyan, fundador de la compañía de seguridad DeviceLock, confirma la autenticidad de los datos. Asegura que sí es la lista de los votantes, la cual se hizo de dominio público a partir de una investigación realizada por la agencia de noticias Meduza durante las elecciones.
La vulnerabilidad estuvo en el sitio web de las elecciones
A principios de julio pasado, al cierre de las elecciones en Rusia, la agencia Meduza reportó una vulnerabilidad en la página web del sistema. Expuso públicamente la forma cómo pudo descifrar los votos antes de que fueran contabilizados, tal como lo reportó CriptoNoticias.
Los periodistas de Meduza tuvieron acceso a una lista con números de pasaporte descifrados, a través de una aplicación que había sido desarrollada para miembros de las comisiones electorales de precinto antes de votar.
La agencia descubrió que los datos de pasaporte de los votantes prácticamente eran del dominio público. “El 30 de junio, una fuente de Meduza nos envió una fotografía de instrucciones sobre cómo acceder a datos de los votantes en Internet”, señala la nota de Kommersant.
Al respecto, Meduza dice que el 1 de julio un archivo anexado en uno de los sitios web estatales estuvo disponible para su descarga gratuita durante unas horas.
La información en sí sobre los pasaportes de los votantes de Internet con las marcas de votación se encontraba en la base de datos db.sqlite, que no estaba protegida por una contraseña. Las series y los números de los pasaportes no estaban a la vista. Se codificaron como secuencias alfanuméricas (sumas hash). Funcionó así: el programa degvoter.exe calculó la suma de hash de la serie y el número de pasaporte ingresados por el usuario, y luego buscó en la base de datos db.sqlite esta suma de hash y la marca de votación correspondiente.
Agencia Meduza
Fue así como, al decodificar el archivo, el equipo de la agencia obtuvo 1.190.726 registros con los datos de los pasaportes de los votantes.
Sobre esta lista y su venta en web oscura, el fundador de la firma DeviceLock cree que no tiene sentido comprar estos datos porque estuvieron disponibles para su descarga de forma gratuita, durante un tiempo. Aun así, indica que se pueden usar para enviar correos electrónicos de phishing con ofertas engañosas.
Las elecciones de Rusia se realizaron tanto en línea como en mesas de votación físicas. El objetivo era aprobar enmiendas a la constitución, eliminando la restricción de dos períodos para los presidentes. Ello permitirá a Vladimir Putin permanecer en el poder por más tiempo.
El proceso utilizó la llamada tecnología blockchain, tal como fue anunciado por el gobierno del país asiático a principios del mes de junio. El sistema estuvo basado en la cadena de bloques de código abierto, Exonum. Fue construido con la ayuda de Kaspersky Lab.
Además de la vulnerabilidad descubierta por Meduza, durante las elecciones el sistema también sufrió un intento de hackeo a través del nodo de un observador electoral.
