Según los investigadores, El Salvador sigue sin cumplir las normas y regulaciones de ciberseguridad básicas, lo que impide a los civiles afectados mitigar los riesgos potenciales que enfrentan.
Este artículo fue publicado originalmente en es.globalvoices.org el 12 de julio de 2024.
Nos ofrecen sus puntos de vista en una entrevista exclusiva
El presidente de El Salvador, Nayib Bukele, se ha convertido en la cara del progreso tecnológico en Centroamérica, a pesar de los implacables ciberataques contra instituciones públicas salvadoreñas que han puesto en riesgo los datos de millones de ciudadanos.
En 2021, Bukele impresionó a los espectadores internacionales cuando convirtió el Bitcoin en moneda legal en El Salvador, y en 2024 anunció la inauguración de una nueva oficina de Google en el país, con la promesa de digitalizar los sectores educativos y de salud. Sin embargo, no ha habido reconocimiento público de más de una docena de filtraciones de datos contra la infraestructura pública entre abril y junio de 2024.
Según los investigadores, El Salvador sigue sin cumplir las normas y regulaciones de ciberseguridad básicas, lo que impide a los civiles afectados mitigar los riesgos potenciales que enfrentan.
A principios de abril de 2024, el medio local La Prensa Gráfica informó que hubo dos nuevas filtraciones de datos en el transcurso de una semana. La divulgación pública de 5,1 millones de números de identificación personal salvadoreños fue la más significativa (antes estaba detrás de una barrera de pago), y afecta potencialmente al 80% de la población del país. La divulgación de fotografías en alta definición que contienen datos biométricos correspondientes a cada ciudadano causó preocupación por robo de identidad y fraude. Junto con otro ataque que afectó al Ministerio de Transporte, la grieta de seguridad no fue reconocida.
Captura de pantalla del ataque al Ministerio de Transporte, divulgada en breached.in. Uso legítimo.
Otro ataque informático Sociedad de Ahorro y Crédito Constelación, institución financiera privada de la que un grupo de secuestradores de datos logró obtener más de 400 gigabytes de datos. La Sociedad de Ahorro y Crédito publicó una declaración en respuesta al ataque en la que confirmó que se había producido un incidente de seguridad, pero negó que los datos de los clientes se hubieran visto comprometidos.
El 1 de mayo se emitió una declaración similar cuando se filtró todo el código fuente de Chivo Wallet, empresa que elabora la billetera oficial de Bitcoin del Gobierno de El Salvador. Stacy Herbert, esposa del presentador estadounidense Max Keiser, que trabaja actualmente como asesora del presidente Nayib Bukele, desmintió todos los informes sobre el hackeo. Sin embargo, en ese momento, varios medios sobre criptomonedas ya habían informado y verificado el contenido de la filtración.
‘No nos detendremos’ dicen los hacktivistas
La mayoría de los ataques han sido orquestados por un colectivo hacktivista llamado CiberInteligenciaSV. En una entrevista exclusiva entre el representante del grupo y Global Voices a través de Telegram, le preguntamos sobre sus motivaciones y objetivos.
Nos dicen que buscan exponer la corrupción gubernamental y desafiar la represión estatal. CiberInteligenciaSV, capítulo salvadoreño del colectivo de CiberInteligencia compuesto por miembros de Latinoamérica y Europa, afirma que han estado activos durante años. Aunque el grupo es reservado sobre sus contactos, admitieron que están afiliados con varios hacktivistas, en particular, Focaleaks. El grupo ha ganado recientemente el reconocimiento en BreachForums por la cantidad de filtraciones de datos que hicieron en un corto periodo.
Captura de pantalla de una lista de ataques en los hilos del perfil oficial de CiberInteligencia en breached.in. Uso legítimo.
Cuando se les preguntó sobre la falta de respuesta del Gobierno a los ciberataques, dijeron: «Hasta ahora, se ha manejado internamente y de manera cobarde», pero a pesar de la falta de reconocimiento, admiten que sus infracciones hacen que el Gobierno parezca incompetente. «Quieren mantener su imagen», comentó el representante del grupo, que pidió permanecer en el anonimato.
La ética de filtrar los datos privados de millones de ciudadanos puede ser cuestionable para algunos, incluidos los miembros de BreachForum que comentaron sobre la filtración de historiales médicos por parte de CiberInteligenciaSV. Cuando se preguntó si los miembros del grupo aluna vez cuestionaron sus acciones, respondieron: «¿Acaso el Estado se cuestiona a sí mismo por dejar la información de todos sin protección?», y agregaron sarcásticamente: «Claro, el Estado invierte en los salarios y beneficios para los políticos, en lugar de invertir en la seguridad digital de las personas».
En declaraciones públicas anteriores, el grupo ha expresado su deseo de exponer los peligros de una sociedad digital moderna y el control de la información, y cita al controvertido terrorista y anarquista estadounidense Ted Kaczynski como pieza fundamental.
Su página de motivación indica: «Buscamos de forma cruda mostrar a las personas los peligros de la sociedad moderna digital, de como unos pocos incompetentes tienen el control sobre la información y la usan para controlar a las masas, además de la forma en la que todos los ciudadanos somos culpables por seguir perpetuando un sistema de manipulación y control».
Captura de pantalla de un hilo de conversaciones en breached.in sobre la ética de CiberInteligencia. Menciona a Alejandro Muyshondt, político salvadoreño que murió en febrero de 2024.
Una filtración de la base de datos del Ministerio de Educación hizo que los maestros instaran a investigar sobre el almacenamiento de datos, y citaron que los datos sensibles relacionados con menores de edad deberían ser motivo de preocupación.
«No pararemos hasta que el Gobierno reconozca su deficiente infraestructura», afirmó CiberInteligenciaSV. «Cuando haya una filtración o un lugar en el que podamos infiltrarnos, lo expondremos y lo pondremos en riesgo».
El 2 de mayo, CiberInteligenciaSV inició una nueva serie de ataques cibernéticos contra el Gobierno, eliminaron varias publicaciones de noticias afiliadas al Gobierno, como Diario El Salvador y El Blog. En respuesta inmediata, el Estado alteró la configuración de seguridad de la plataforma Cloudflare, utilizaron sus servicios de protección contra ataques de denegación de servicio distribuido (DDoS).
El mismo día, CiberInteligenciaSV logró infiltrarse en el portal de servicios ciudadanos digitales de El Salvador a través de su página de inicio de sesión, y provocaron demoras en los servicios públicos durante varios días. Los servicios públicos no respondieron inicialmente al ciberataque y los rumores atribuyeron la caída del sistema a una actualización relacionada con los registros de datos. Al día siguiente se publicó una declaración oficial que negaba los informes de un ciberataque.
Críticas a CiberInteligencia
Los ataques continuaron a lo largo de mayo, y Carlos Palomo de la Asociación de Transparencia, Contraloría Social y Datos Abiertos (TRACODA) instó a los ciudadanos a presentar una queja ante la Sala Constitucional o la Fiscalía para presionar al Gobierno a investigar las filtraciones de datos de acuerdo con la Ley Especial contra Delitos Informáticos y Conexos del país.
Lorax Horne, editor de la organización periodística DDoSecrets, expresó preocupación por la situación actual debido a la cantidad de datos comprometidos. Señaló que la información de los ciudadanos debe estar protegida y que, en última instancia, es responsabilidad de las instituciones afectadas asegurar su infraestructura.
Uno de los críticos más acérrimos de CiberInteligencia ha sido Mario Gómez, ingeniero de software que fue arrestado en 2021 después de que criticó el Bitcoin y varias de las políticas de Bukele. En ese momento, CiberInteligencia había emitido declaraciones para pedir la liberación de Gómez, pero en abril de 2024, Gómez criticó las tácticas y los motivos de CiberInteligencia.
A su vez, CiberInteligencia respondió que seguirían divulgando datos en su totalidad, mientras animan a investigadores y periodistas a revisar las filtraciones publicadas. Ni siquiera el cierre de BreachForums el 15 de mayo disuadió a CiberInteligenciaSV de su objetivo; el grupo simplemente trasladó sus cargas a varios canales de Telegram.
Telegram quedó inaccesible tras nuevas filtraciones
A principios de junio, los proveedores de servicios de internet salvadoreños restringieron deliberadamente el acceso a Telegram, después de que Nayib Bukele comenzó su segundo mandato presidencial, que abogados y periodistas consideran inconstitucional. Los ciudadanos salvadoreños intentaban acceder a las filtraciones de un ataque cibernético a la Corte Suprema de Justicia y el Comité de Ética del Tribunal, e informaron que no podían abrir Telegram a través de datos móviles ni redes inalámbricas. En cambio, se vieron obligados a utilizar redes privadas virtuales (VPN) o algún proxy para poder acceder. El Test de Conectividad Web del Observatorio Abierto de Interferencia de Red (OONI) reveló actividad anormal el 1 de junio.
Netbocks, organización no gubernamental que da seguimiento a la ciberseguridad de internet, corroboró luego que diversos proveedores de servicio de internet habían restringido el acceso a Telegram en El Salvador. Dos de estas compañías, Movistar y TIGO, se vieron afectadas por las filtraciones de datos de CiberInteligenciaSV.
La jefa de la asociación de medios de El Salvador, Angélica Cárcamo, advirtió que este bloqueo podría conducir a la censura, «igual que en Rusia o China».
En junio, el colectivo hacktivista continuó filtrando archivos. Publicaron varios documentos legales relacionados con la polémica muerte de un exasesor de seguridad cuando estaba detenido, la liberación secreta de un líder de alto rango de la pandilla MS-13, y aquellos relacionados con el programa espía Pegasus, antes utilizado para vigilar periodistas y activistas de derechos humanos. Ese mismo mes, las estadísticas obtenidas por el grupo revelaron que la Policía Nacional Civil tenía 183 denuncias de violación desde el 1 de enero al 15 de marzo de 2024, la mayoría de las cuales involucraba a niños, todas sin resolver.
Estas revelaciones han suscitado preguntas sobre la corrupción estatal, y también han dejado al descubierto que el Gobierno salvadoreño es incapaz de mitigar las filtraciones de datos o de enjuiciar a hacktivistas, aunque quisiera hacerlo.
Nota: Esta investigación se realizó bajo el marco del Civic Media Observatory (Observatorio de Medios Cívicos en Global Voices.
Escrito por Abigail Paz