Ciberataque (Tickantel): información interna y archivos ligados a Peñarol.

Los incidentes informáticos que afectan a plataformas de uso masivo no siempre comprometen datos bancarios o compras realizadas, pero pueden abrir otros riesgos relevantes cuando dejan al descubierto estructuras internas, diseños de comunicaciones y componentes utilizados para desarrollar servicios digitales.

En este caso, el material divulgado corresponde a Tickantel, la ticketera de ANTEL, y aparece como consecuencia del ataque sufrido por HG, subsidiaria del organismo encargada de desarrollos tecnológicos para distintos organismos del Estado.

¿Cómo avanzó la intrusión hacia Tickantel?

De acuerdo con una investigación de BCA LTD -a la que accedieron los colegas periodistas de El Observador-, esta empresa especializada en análisis de amenazas y ciberataques en Uruguay y la región, entiende que los atacantes aplicaron una técnica conocida como “movimiento lateral”.

Primero ingresaron a HG y, desde allí, se desplazaron hacia sistemas de Tickantel.

Ese recorrido les permitió acceder al servidor de desarrollo de la plataforma, es decir, al entorno donde se crean y prueban servicios, funciones, páginas web, aplicaciones, correos electrónicos y otros componentes internos.

No se trata del servidor de producción que utilizan directamente los usuarios para operaciones reales, cuentas, pagos o servicios activos, sino de un ámbito técnico vinculado al funcionamiento interno de la plataforma.

¿Qué clase de archivos quedaron expuestos?

Entre los materiales comprometidos aparecen bases de datos, archivos internos y elementos utilizados para desarrollar los sistemas de Tickantel, con información que va desde 2013 hasta la actualidad.

La investigación también identificó archivos en formato FTL, sigla de FreeMarker Template Language, utilizados en desarrollo web para definir partes de páginas, formularios, secciones de usuarios y correos automáticos.

En términos simples, estos archivos funcionan como plantillas: indican cómo debe verse y comportarse una comunicación digital o una sección determinada de una plataforma.

¿Por qué preocupa la filtración?

Aunque la información disponible indica que no estarían en riesgo datos personales, tarjetas de crédito ni compras ya realizadas por usuarios, el episodio genera preocupación por otro motivo: el posible uso del material para campañas de phishing.

Un programador consultado también por El Observador advirtió que la filtración de estos archivos puede exponer “partes sensibles del sistema”.

Con esa información, un ciberdelincuente podría construir correos, formularios o sitios falsos con una apariencia muy similar a la original.

Cuanto más fiel sea la imitación, mayor puede ser la posibilidad de engaño.

¿Qué vínculo aparece con Peñarol?

Dentro de los archivos filtrados figuran plantillas vinculadas al sistema de venta de entradas de Peñarol, institución que tiene tercerizado ese servicio mediante Tickantel.

Aparecen modelos utilizados para correos de confirmación de registro de usuarios y comunicaciones relacionadas con la compra de entradas por parte de hinchas.

También se detectaron otros archivos FTL asociados a la gestión de entradas para eventos generales y para Peñarol.

¿Qué precauciones recomiendan los especialistas?

Los atacantes -según la precitada empresa- tuvieron acceso durante un tiempo indeterminado a servidores donde se desarrollan aplicaciones y plataformas de ANTEL, por lo que no puede garantizarse que no hayan sido modificados, infectados o manipulados de forma maliciosa.

Además, el mercado criminal cuenta ahora con diseños usados en plataformas y comunicaciones por correo electrónico de Tickantel y Peñarol.

Por esa razón, los usuarios deben extremar cuidados ante mensajes, enlaces o gestiones digitales vinculadas a estas entidades.

La recomendación principal es verificar que las comunicaciones provengan de los mismos correos utilizados oficialmente hasta ahora y evitar ingresar datos personales desde enlaces dudosos.

¿Qué dijo ANTEL sobre el episodio?

Tras la difusión pública del caso, ANTEL aseguró que, según la información publicada en redes sociales, “no hay información crítica que esté en riesgo”.

De todas formas, el organismo indicó que todavía no accedió al total de la información comprometida y que continúa investigando el alcance de la filtración.