La web del sitio de noticias Perfil fue hackeada durante la mañana del martes, cuando un atacante denomina Gov. Eth realizó un proceso de «desfiguramiento», a partir del cual reemplazó las imágenes de su home por una foto del DNI del presidente Javier Milei, junto a mensajes antisemitas.
El ataque comenzó poco antes de las 10 de la mañana e implicó el cambio del contenido original del sitio, donde las notas del sitio eran reemplazadas por la foto del presidente que aparece en su DNI, la cual fue tomada de los registros del RENAPER, según indicó Perfil en una nota.
Durante el transcurso de la mañana, desde la editorial pudieron ir recuperando el control del sitio y reemplazando las fotos. Para las 11, el sitio había regresado a su normalidad.
Gov.Eth había sido el mismo atacante que se atribuyó el ataque al sitio oficial del Gobierno en diciembre del año pasado. En lugar de ver el contenido original de las páginas, se veía un video clip y un mensaje recordando hackeos pasados
“Somos dos personas diferentes y no hay ningún grupo involucrado ni mucho menos se trata de política esto. Lo hicimos por diversión. Yo soy gov.eth y, mi compañero, h4xx0r1337”, habían comentado a Clarín vía Telegram.
“No tiene nada que ver con política esto y mucho menos con esas conspiraciones de los libertarios en Twitter. Es cualquiera, leí todo. Somos dos pibes que estábamos aburridos y pudimos hacerlo”, agregó.
En aquella ocasión, al igual que con Perfil, los atacantes hicieron un “defacement” (en inglés, “desfigurado”), que implica el cambio del contenido original de un sitio. El hackeo a nivel técnico fue bastante simple: entraron a un servidor que no tenía segundo factor de autenticación.
La verificación de dos pasos, conocida como MFA o 2FA, implica que no basta con poner una contraseña para acceder a un sistema, sino que hay que corroborar con una segunda medida que uno dice ser quién es: un correo electrónico, una clave de acceso único vía Google Authenticator o datos biométricos (huella digital o reconocimiento facial, por ejemplo).
Los atacantes encontraron que un servidor no tenía segundo factor y pudieron entrar, luego de probar con una clave filtrada previamente: “Accedimos mediante una credencial filtrada que conseguimos de una página de pruebas del Gobierno y entramos con el mismo login de pruebas al back de argentina.gob.ar. De ahí nos pasamos permisos con una cuenta de administrador superior”, había explicado el atacante sobre cómo se infiltró en la web de Argentina.
“Hackeamos la VPS [servidor en la nube], teníamos acceso a absolutamente todo, los códigos backup estaban regalados”, agregaron. Y confirmaron que esa VPS no tenía segundo factor. El segundo factor de autenticación es una medida clave para evitar este tipo de accesos no autorizados
