Hacktivists Reveal Government’s Digital Vulnerability — Hacktivistas revelan vulnerabilidad digital del gobierno

May 17, 2024

In recent months, a group of hacktivists have published information, which they claim to have obtained through hacking, and have also taken responsibility for failures in government websites. — El los últimos meses un grupo de hacktivistas han publicado información, la cual aseguran han sido conseguida por medio de hackeos, también se han adjudicado las fallas de páginas web gubernamentales.

The lack of measures by the state to protect the personal data of Salvadorans and the limited response capacity to breaches have been exposed through the leaking of personal data, information from government institutions, and a series of cyberattacks on websites affiliated with the ruling party in recent months.

The hacking actions have been claimed by a collective of hacktivists calling themselves CiberInteligencia SV.

The hacktivists make public, through deep web forums (websites accessed through other security protocols), public chat groups, and social networks, the information and data they extract from government websites.

Some data and information are public by law, as established by the Law on Access to Public Information (LAIP); however, the current government keeps them confidential.

One of the leaks carried out by the group of digital activists, which went viral a few weeks ago, is related to information from the Attorney General’s Office of the Republic (PGR), which was leaked to a deep web forum, meaning a hidden web that is not traceable by conventional search engines.

Regarding this, La Prensa Gráfica confirmed that it had access to the leak of 40 gigabytes containing files from the Attorney General’s Office and credentials to access the institution’s servers.

“La Prensa Gráfica was able to verify that this information is available online and can be downloaded freely, which, according to experts in this type of leaks, represents a danger due to the exposure of personal data of Salvadoran citizens that may be contained in the databases of public institutions such as the PGR,” the newspaper published.

The social network account X (formerly Twitter) @AtlacaltES, which has been following the activities of the hacktivists, reported that the leak included credentials to access the Attorney General’s network of systems.

“The credentials to access the PGR’s system network have been leaked. The most critical information has been edited. The IPs shown are private, so there is no problem in displaying them. VPN must be enabled for it to work,” the publication states. The Attorney General’s Office did not comment on the matter through their official channels, despite their website being offline for a few hours on April 29th.

Likewise, CiberInteligenciaSV claimed responsibility for the attack on the Municipal Office of the National Registry of Natural Persons (RNPN), the institution responsible for vital and family registration, which paralyzed the delivery of documents for several days.

However, the RNPN stated in a press release published on May 3rd that the suspension of document issuance in several municipalities was due to the transition caused by territorial reorganization.

“It is important to clarify that the lack of family registration services in some municipalities is not due to system failures or cyberattacks on the RNPN, but to the transition process,” reads the statement published by the institution.

On May 2nd, several news websites affiliated with the ruling party and the government’s newspaper El Salvador experienced difficulties in their operation and were offline abroad for several hours.

Three days later, the hacktivist collective leaked information on more than 11,000 students from the recently created School of Innovation and Technology (ESIT), which was available on a deep web portal.

“Last night, #CiberInteligenciaSV, a group of hackers, exposed another database from the School of Innovation and Technology of El Salvador,” they claimed through X.

According to their explanation, the leak consisted of a list of names and emails of all the students enrolled in ESIT. After the attack, the website was offline for several days.

Published Information

The group of hacktivists has also brought to light information regarding alleged awards, contracts, debts, and expenses made by state institutions, municipal governments, and public officials.

For example, they revealed a series of alleged multi-million dollar contracts made between 2021 and 2024 by the Salvadoran Social Security Institute (ISSS).

“#CiberinteligenciaSV has made another security breach that has exposed confidential data from the ISSS (Salvadoran Social Security Institute),” reported @atlacatlSV.

The same X account published a small list of alleged ISSS contracts totaling $184 million for dialysis and hemodialysis services, technical-financial feasibility studies, the adaptation of medical units and palliative care centers, vehicle acquisition, and drug purchases, among others.

However, the list published on the social network is only a small part of the entire ISSS information leak, they assured.

The collective also published alleged amounts of purchases made by the Chivo Wallet company, some municipalities, and the government’s newspaper El Salvador.

The data allegedly published by Diario El Salvador corresponds to the maintenance and purchase of photographic equipment for an amount of $8,000.

They showed invoices for communication from the San Salvador municipality in the name of former mayor Ernesto Muyshondt dated 2024, despite him being detained since June 2021.

“The #CiberInteligenciaSV group has revealed invoices totaling over $19,000 USD monthly, associated with 850 telephone numbers registered in the name of Ernesto Muyshondt,” they stated.

Regarding the hacktivists’ publications that reveal information that is public by law, Ruth Eleonora López, the Legal Anti-Corruption Chief of Cristosal, said on X: “In El Salvador, only through leaks made by hacktivists, citizens have access to information that is public by law, such as purchases, superfluous expenses, official income, or expenses that the ruling party refuses to reveal.”

Carlos Palomo, a technician at the Transparency, Social Control, and Open Data Association (Tracoda), when asked about it, argues that the best way to guarantee access to information is for state entities to recognize their duty to publish the data and information they hold and that citizens should not have to find out through breaches or disclosures that cannot be confirmed.

“It’s somewhat complicated because citizens do have the right to know about public procurement information, and there is no legal basis for restricting access to it,” he said.

On the other hand, on May 11th, the group of hacktivists confirmed that they used a DDoS attack to saturate the servers of the Ministry of Finance, Customs, and Fiscal Transparency website. As could be confirmed that afternoon, all three sites were out of operation.

A DDoS attack consists of saturating a website’s server, preventing site visitors from accessing it.

The hacktivists explained that the incident forced the Ministry of Finance to change its name server records, which would imply a significant cost to the government.

“Due to this change, the DNS propagation process can take approximately 48 hours, and during this time, many government sites may be inaccessible (…) this change could imply a significant cost to the government, increasing government expenses due to the attack,” they assured.

The former executive director of the National Association of Private Enterprise (ANEP), Leonor Selva, reacted to this on her X account, explaining that “in terms of business climate, vulnerability to cyberattacks is one of the country risk criteria that have become a priority in the world.”

“If this (and other attacks) are true, it is very serious. Both companies and the government must prioritize the issue,” wrote Selva.

Revelation of Personal Data

The CibeinteligenciaSV group also made available on a breach forum a personal database of more than 5 million Salvadorans, including names, surnames, addresses, photos, among other information, without the government having commented on the matter so far.

At this point, the Tracoda representative believes that this demonstrates the lack of measures by the state to protect the personal data of Salvadorans and the limited response capacity to incidents of this nature.

“It is the government’s and the state’s duty not only to take proactive measures to prevent this from happening again but also to inform how it will compensate the victims because, in the end, the state is responsible for safeguarding personal information, and having the data leak occurred under its administration or guardianship, it has to answer for it,” he explained.

The latest information is that the FBI (Federal Bureau of Investigation) of the United States intervened, blocked, and took possession of the deep web site where these leaks were being made.

What is hacktivism?

From academia, this term is defined as an emerging form of social action that seeks to question and transform the existing social order through technological activism. This activism is based on the principles of knowledge socialization, technological cooperation, and communicational self-management.

— Edixela Burgos PINO, Ph.D. in social sciences

EDH: https://www.elsalvador.com/noticias/nacional/hacktivistas-revelan-vulnerabilidad-digital-gobierno/1142955/2024/

Hacktivistas revelan vulnerabilidad digital del gobierno

La falta de medidas por parte de Estado para resguardar los datos personales de los salvadoreños y la poca capacidad de respuesta ante una vulneración, han quedado al descubierto con la filtración de datos personales, información de instituciones de gobierno y una serie de ataques cibernéticos de sitios web afines al oficialismo, en los últimos meses. 

Las acciones de hackeo se las ha adjudicado un colectivo de hacktivistas que se denominan CiberInteligencia SV.

Los hacktivistas hacen públicos a través de foros de deep web (sitios web a los que se accede a través de otros protocolos de seguridad), grupos públicos de chat y redes sociales, la información y datos que extraen desde los sitios web gubernamentales. 

Algunos datos e información son de carácter público, según lo establece la Ley de Acceso a Información Pública (LAIP); sin embargo, el actual gobierno los mantiene bajo reserva. 

Una de las filtraciones realizadas por el grupo de activistas digitales, que se viralizó hace unas semanas, está relacionada a información de la Procuraduría General de la República (PGR) la cual fue filtrada a un foro de deep web, es decir una web oculta que no es rastreable por los buscadores convencionales. 

Al respecto, La Prensa Gráfica confirmó que tuvo acceso a la filtración de 40 gigabytes que contenían archivos de la Procuraduría y credenciales para ingresar a los servidores de la institución. 

“La Prensa Gráfica logró comprobar que dicha información está disponible en línea y que puede ser descargada libremente, lo que según expertos en este tipo de filtraciones representa un peligro por la exposición de datos personales de ciudadanos salvadoreños que puedan estar contenidos en las bases de datos de instituciones públicas como la PGR” publicó el matutino. 

La cuenta de la red social X (antes Twitter) @AtlacaltES que ha dado seguimiento a la actividad de los hacktivistas, publicó que la filtración incluía las credenciales para acceder a la red de sistemas de la Procuraduría.

“Se han filtrado las credenciales para acceder a la red de sistemas de la PGR. La información más crítica ha sido editada. Los IP que se muestran son privados, por lo que no hay problemas en mostrarlos. Es necesario tener activado el VPN para que funcione”, indica la publicación. Por su parte, la Procuraduría no se pronunció al respecto en sus canales oficiales a pesar que su página web estuvo fuera de línea por algunas horas el 29 de abril.

Asimismo, CiberInteligenciaSV se adjudicó el ataque a la Ventanilla Municipal del Registro Nacional de las Personas Naturales (RNPN), institución encargada del registro de estados vitales y familiares, la cual paralizó la entrega de documentos algunos días.

Sin embargo, el RNPN aseguró en un comunicado de prensa publicado el  3 de mayo que la suspensión de emisión de documentos en varias alcaldías se debía a la transición debido al reordenamiento territorial.

“Es importante aclarar que la falta de servicios de registro familiar en algunas alcaldías no se debe a fallas en el sistema o ciberataques al RNPN, sino al proceso de transición”,  dice el comunicado publicado por esa institución.

Asimismo el 2 de mayo varias páginas de noticias afines al oficialismo y el portal del diario gubernamental El Salvador presentaron dificultades en su funcionamiento, según se pudo constatar por varias horas estuvieron fuera de línea en el extrajero. 

Tres días después, el colectivo de hacktivistas filtró la información de más de 11,000 estudiantes de la recién creada Escuela Superior de Innovación y Tecnología (ESIT), los cuales estuvieron a disponibilidad en un portal de la deep web. 

“Anoche, #CiberInteligenciaSV, un grupo de hackers, expuso otra base de datos de la Escuela Superior de Innovación y Tecnología de El Salvador”, aseguraron a través de X.

Según explicaron, la filtración consistía en el listado de los nombres y correos de todos los estudiantes inscriptos en la ESIT. Tras el ataque la página pasó varios días fuera de línea.

Información publicada

El grupo de hacktivistas también ha sacado a la luz  información con respecto a supuestas adjudicaciones, contratos, deudas y gastos realizados por instituciones estatales, alcaldías municipales y funcionarios públicos. 

Por ejemplo, revelaron una serie de supuestas contrataciones millonarias realizadas entre 2021 y 2024 por el Instituto Salvadoreño del Seguro Social (ISSS).

“#CiberinteligenciaSV ha hecho otra brecha de seguridad que ha expuesto datos confidenciales  del ISSS (Instituto Salvadoreño del Seguro Social)”, informó @atlacatlSV.

La misma cuenta de X  publicó un pequeño listado de supuestos contratos del ISSS que ascienden los 184 millones de dólares por servicios de diálisis y hemodiálisis, estudios de viabilidad técnicos-financieros, la adecuación de unidades médicas y centros de cuidados paliativos, adquisición de vehículos y compra de medicamentos, entre otros. 

Sin embargo, el  listado publicado en la red social solo es una pequeña parte de toda la filtración de la información del ISSS, aseguraron. 

Asimismo el colectivo publicó supuestos montos de compras realizadas por la empresa Chivo Wallet, algunas alcaldías y el diario gubernamental El Salvador.

Los datos publicados supuestamente de Diario El Salvador corresponden al mantenimiento y compra de equipo fotográfico por un monto de  8,000 dólares. 

De la alcaldía de San Salvador mostraron facturas de comunicación a nombre del exalcalde Ernesto Muyshondt con fecha de 2024, a pesar que él se encuentra detenido desde junio de 2021.

“El grupo #CiberInteligenciaSV ha revelado facturas que ascienden a más de $19,000 USD mensuales, asociadas a 850 números de teléfono registrados a nombre de Ernesto Muyshondt”, señalaron.  

Sobre las publicaciones de los hacktivistas que revelan información que por ley es pública, la Jefa Jurídica Anticorrupción de Cristosal, Ruth Eleonora López, expresó en X: “En El Salvador solo a través de filtraciones que realizan hacktivistas, la ciudadanía tienen acceso a información que es pública por ley como compras, gastos superfluos, ingresos de funcionarios o gastos que el partido oficial se niega a revelar”.

Carlos Palomo, técnico la Asociación Transparencia, Contraloría Social y Datos abiertos (Tracoda), al ser consultado al respecto, sostiene que la mejor forma de garantizar el acceso a la información es que las entidades estatales reconozcan su deber de publicar los datos y las informaciones que tienen y que la ciudadanía no tenga que enterarse a través de vulneraciones o divulgaciones que no pueden ser confirmadas.

“Es un tanto complicado porque la ciudadanía sí tiene derecho a saber sobre la información de las compras públicas y no hay base legal para restringir el acceso a las mismas”, manifestó. 

Por otra parte, el 11 de mayo el grupo de hacktivistas confirmó que utilizaron un ataque DDoS para saturar los servidores del portal web del Ministerio de Hacienda, Aduanas y Transparencia Fiscal. Según se pudo constatar esa tarde los tres sitios estaban fuera de funcionamiento. 

Un ataque DDoS consiste en la saturación del servidor de una página web que evita que los visitantes del sitio puedan ingresar. 

Según explicaron los hacktivistas el incidente obligó al ministerio de Hacienda a cambiar los registros de servidor de nombre, lo que implicaría un costo significativo para el gobierno. 

“Debido a este cambio, el proceso de propagación de DNS puede tomar aproximadamente 48 horas, y durante este tiempo, muchos sitios del gobierno pueden estar inaccesibles (…) este cambio podría implicar un costo significativo para el gobierno, incrementando los gastos del gobierno debido al ataque”, aseguraron. 

La exdirectora ejecutiva de la Asociación Nacional de la Empresa Privada (ANEP), Leonor Selva, reaccionó al respecto en su cuenta de X explicando que “en términos de clima de negocios, la vulnerabilidad a ciberataques es uno de los criterios de riesgo país que se han vuelto prioridad en el mundo”. 

“Si este (y otros ataques) son ciertos, es muy grave. Tanto empresa como gobierno deben priorizar el tema”, escribió Selva.

Revelación de datos personales

El grupo CibeinteligenciaSV además puso a disposición en un breach forum una base de datos personales de más de 5 millones de salvadoreños que incluye nombres, apellidos, direcciones, fotos, entre otros, sin que el gobierno se haya pronunciado hasta ahora al respecto.

En ese punto el representante de Tracoda considera que esto demuestra la falta de medidas por parte del Estado para resguardar los datos personales de los salvadoreños y  la poca capacidad de respuesta que se tiene ante incidentes de esta naturaleza. 

“Es deber del gobierno y del Estado no solo tomar medidas proactivas para evitar que esto vuelva a ocurrir, sino también informar cómo va a reparar a las víctimas, porque al final el Estado es el encargado del resguardo de la información personal y al haber ocurrido la fuga de datos, bajo su administración o bajo su tutela tiene que responder por ello”, explicó. 

Lo último que ha trascendido es que FBI (Buro Federal de Investigaciones), de los Estados Unidos, intervino, bloqueo y tomó posesión del sitio en la deep web donde se estaban haciendo esas filtraciones.

¿Qué es el hacktivismo? 

Desde la academia este término se define como una forma emergente de acción social que pretende cuestionar y transformar el orden social existente a través del activismo tecnológico. Dicho activismo, se sustenta en los principios de la socialización del conocimiento, la cooperación tecnológica y la autogestión comunicacional.

— Edixela Burgos PINO, doctora en ciencias sociales

EDH: https://www.elsalvador.com/noticias/nacional/hacktivistas-revelan-vulnerabilidad-digital-gobierno/1142955/2024/