La Guardia Civil y el Ministerio de defensa han sufrido un ciberataque por el que han quedado expuestos más de 100.000 contactos de agentes, funcionarios y trabajadores de ambas instituciones, según figura en un filtración publicada en uno de los foros de darkweb más activos (Breachforums), donde habitualmente se comparte información robada por los ciberdelincuentes de todo el mundo, y desde el que también se pone a la venta los datos al mejor postor. Según fuentes conocedoras de la investigación, la ingente cantidad de datos se han extraído de una plataforma de elearning de la Guardia Civil «con problemas».
La filtración, que se ha producido este martes por la noche y redunda en otro sufrida por las fuerzas armadas y la Guardia Civil el pasado mes de abril, permite que cualquiera se puede descargar con absoluta facilidad los nombres completos, el número de identificación o usuario, los dos apellidos el correo electrónico con la el dominio de la Guardia Civil y «mde» que significa Ministerio de Defensa de España, así como otras terminaciones no corporativas y privadas, como por ejemplo gmail. En algunos casos, al final de la línea aparece también el número de teléfono móvil.
El ciberdelincuente que ha colgado la información, que se identifica en el foro de hackers como nanohub, advierte en la publicación que «hoy (por el pasado día 14) estoy vendiendo tres bases de datos de España. Dos de estas bases proceden de la Guardia Civil (el segundo cuerpo de seguridad de España) y la otra base de datos más procede del Ministerio de Defensa». En cuanto a los detalles, presume de que ambas bases suman un total de 160.000 emails de personal de ambas instituciones, e incluyen los datos personales referidos también de miembros de las Fuerzas Armadas.
Los listados que recogen datos de la Guardia Civil suman un total de 109.000 líneas de información, y cada una de ellas parece corresponder a la información de una persona concreta. Por su parte, los datos que se ha extraido del Ministerio de Defensa suman 84.000 líneas de información, la mayoría de las mismas son también contactos con nombres y apellidos.
Según ha podido conocer MERCA2, el Ministerio de Defensa, a través de su Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC), desde que conocieron la publicación en la internet oscura, analiza que los datos realmente corresponden a agentes y empleados de las dos instituciones defensivas.
LA GUARDIA CIVIL Y DEFENSA, EXPUESTAS POR UN PROVEEDOR
Fuentes conocedoras de la investigación han confirmado a MERCA2 que los datos han sido exfiltrados de un plataforma de e-learning (plataformas de formación online) de la Guardia Civil con graves problemas de ciberseguridad, a la que los ciberdelincuentes han accedido con facilidad. Es decir que, de nuevo, se trata de una vulnerabilidad aprovechada por el cibercrimen en un proveedor o tercero, ajeno a la Guardia Civil y al Ministerio de Defensa, pero que trabaja ofreciendo formación a los agentes y trabajadores de ambas organizaciones.
Este grave ciberataque se produce apenas unos meses después de que en abril de 2024 precisamente las Fuerzas Armadas y la Guardia Civil tuvieran que reconocer que habían sufrido la acción de ciberdelincuentes a través de la empresa Medios de Prevención Externos Sur SL, encargada de los reconocimientos médicos de guardias civiles y militares, con el que se vieron comprometidos datos personales de sus pacientes, entre los que figuraban datos confidenciales, como números de TIP, teléfonos móviles, correos electrónicos, fechas de nacimiento, sexo, puestos de trabajo y resultados médicos.
se trata de una vulnerabilidad aprovechada por el cibercrimen en un proveedor o tercero, ajeno a la Guardia Civil y al Ministerio de Defens
La filtración expuesta este pasado martes, sin embargo, no incluye tantos datos confidenciales, pero sí los suficientes para que quede expuesta la identidad de guardias civiles y militares, o puedan enfrentarse a suplantaciones de identidad al poder «trabajar» con su correo electrónico y su nombre, y que grupos de ciberdelincuentes especializados, y el cibercrimen organizado por Estados, los utilicen para realizar campañas personalizadas de phishing que puedan hacer peligrar y comprometer operaciones judiciales o militares.
Esta aparición de dos organizaciones gubernamentales de la Defensa española ha aparecido en el mismo foro de ciberdelincuentes que apenas cuatro días antes, el viernes día 10, apareciera otra publicación que mostraba cómo a través de un phishing sofisticado un grupo de cibercriminales expertos en ransomwere se habían hecho con 2,3 gigas de información de empleado y clientes corporativos y empresariales de Telefónica, tal y como publicamos en MERCA2.
