Resecurity encontró una filtración masiva que involucraba la exposición de información de identificación personal (PII) de más de cinco millones de ciudadanos de El Salvador en la Dark Web.
Resecurity identificó una filtración masiva de información de identificación personal (PII) de más de cinco millones de ciudadanos de El Salvador en la Dark Web, lo que afectó a más del 80% de la población del país.
El actor de amenazas, con el alias de 'CiberinteligenciaSV', publicó el volcado de datos de 144 GB en Breach Forums, escribiendo que la filtración incluía 5.129.518 fotos de alta definición, cada una etiquetada con el número de identificación de documentos (DUI) correspondiente de salvadoreño. Resecurity evalúa que los verdaderos autores intelectuales de esta violación parecen tener interés en ocultar su participación, utilizando el espectro de fondo del grupo Guacamaya y sus representantes no oficiales para formar una nube de incertidumbre en torno a los verdaderos actores de amenazas y la cadena de ataque que causó la fuga de datos.
El volcado de datos incluye los siguientes campos:
– DNI
– Documento de identificación (DUI)
– Nombres/Apellidos
– Fecha de nacimiento
– Teléfono
– Correo electrónico
– Dirección– Foto
de la víctima
En última instancia, esta filtración de datos es significativa porque marca uno de los primeros casos en la historia de la ciberdelincuencia en los que prácticamente toda la población de un país se ha visto afectada por un compromiso de datos biométricos. Un aviso de la Comisión Federal de Comercio publicado el año pasado afirma: "La información biométrica se refiere a los datos que representan o describen rasgos, características o medidas físicas, biológicas o de comportamiento de o relacionadas con el cuerpo de una persona identificada o identificable".
Más allá de la escala masiva de los registros de PII salvadoreños, los actores de amenazas también obtuvieron una foto de la cabeza de cada víctima, lo que representa un marcador de datos biométricos crucial, particularmente en la edad de oro de la IA generativa. En particular, la gran escala de esta violación de datos biométricos y de PII pone a la mayor parte de la población de El Salvador en un riesgo significativo de robo de identidad y fraude. Armados con la moderna tecnología de deep fake, los actores de amenazas pueden aprovechar los disparos a la cabeza de las víctimas y la PII relacionada para organizar fraudes más convincentes en un amplio universo de portales financieros, comerciales y gubernamentales digitales.