"Están vendiendo tu DNI": hackean casi 5 GB de datos para crear cuentas en casas de apuestas
Un hacker conocido como Petr0North ha publicado en la dark web un archivo con más de 15.000 documentos, como DNI, nombre y correo electrónico.
Poco antes de la pandemia, en 2018, la startup Ecertic anunció que había logrado crear una tecnología totalmente disruptiva: la biometría facial basada en aprendizaje automático mediante la identificación del DNI de un usuario en cuestión, para dar de alta, o no, una tarjeta SIM.
Ahora, según han mostrado varias compañías especializadas en ciberseguridad y expertos del sector, un hacker ha publicado en la dark web más de 4,6 gigabytes de datos de dicha compañía, es decir, más de 15.000 documentos altamente sensibles de usuarios.
En este sentido, hackers éticos como Adrián Pérez han asegurado que "están vendiendo tu DNI", en una publicación en su perfil de LinkedIn.
El hacker en cuestión es conocido como Petr0North y, como se puede observar por su publicación en el foro de la comunidad a la que pertenece, se aprecia un ejemplo claro que afecta a usuarios de Lycamobile SL, una compañía que gestionar tarjetas SIM de prepago.
"Hola, comunidad", saludaba el autor del hackeo. "Hoy comparto una hoja de datos con más de 15.000 documentos filtrados de consumidores de lycamobile.es, extraída del agente KYC de Lycamobile, la compañía española de identificación biométrica Ecertic".
En los detalles que se pueden apreciar, aparece un archivo PDF al que se puede acceder mediante un enlace de descarga en la parte inferior, el cual contiene datos sensibles de españoles, como el DNI, tanto la parte trasera como la delantera, selfies, números de teléfono y correos electrónicos.
De esta forma, si has utilizado los servicios de esta compañía, deberías revisar concienzudamente si tus datos personales se han exfiltrado, aunque España no es el único país al que afecta, ya que Petr0North ha confirmado que también hay datos de Estados Unidos y otras países de la Unión Europea.
Además de otras regiones como América Latina, Asia, Japón, Australia y otras zonas que el hacker no ha especificado. Todos estos documentos personales de identificación, adicionalmente, con un registro en compañías de apuestas online.
"La mayor parte de los DNIs con los selfis se han usado para el registro en casas de apuestas online y no han sido utilizados en ningún sitios más", ha añadido Petr0North.
En la misma publicación en dicho foro de la dark web, también se ofrece un ejemplo concreto de un usuario, al que se le ha difuminado la cara y los datos personales. Como se puede apreciar, se ve que afecta al Prestados de Servicios de Certificación Ecertic Digital Solutions SL, en calidad de tercero de confianza.
Compañía con registro en el Ministerio de Industria, Turismo y Agenda Digital, por petición de Lycamobile SL, que expone la certificación del usuario en cuestión. Entre sus datos, nombre y apellidos, tipo de documento, nacionalidad, número de documento, teléfono asociado, PUK o ICCID.
Estos últimos correspondientes a la tarjeta SIM emitida por la operadora. Aunque también otros como el hash, los selfis de verificación biométrica, así como la dirección IP en cuestión y datos de identificación del navegador o el modelo de móvil.
De momento, ni Lycamobile ni Ecertic han realizado ninguna declaración pública, ante una brecha de datos cuyo alcance se desconoce, a pesar de que ya supone una crisis reputacional y, por supuesto, con implicaciones legales importantes.