Se ha identificado una publicación en foros de la dark web donde un actor de amenazas afirma haber obtenido un conjunto de datos masivo perteneciente al sistema nacional de seguro de salud de la República Dominicana. El incidente, que de momento se clasifica como un supuesto hackeo no verificado, involucraría la exposición de información personal sensible, registros médicos y detalles de identificación de millones de ciudadanos de ese país.
Veredicto Analítico
- Estado: No verificado / Bajo investigación (Reclamado por el actor de amenazas, pero sin confirmación oficial).
- Confianza: Media-Baja (Basado exclusivamente en publicaciones de monitoreo de la dark web y declaraciones del atacante; el reclamo no ha sido validado de forma independiente).
- Riesgo para SOC TDIR: Alto (Indirecto). Para las organizaciones del sector salud y gubernamentales en la región del Caribe, este incidente eleva el riesgo de campañas secundarias de ingeniería social, phishing dirigido y fraude de identidad utilizando los datos presuntamente extraídos.
- Urgencia operativa: Media. Se recomienda activar protocolos de monitoreo de credenciales y reforzar la concientización sobre fraude, especialmente para entidades asociadas o que interactúan con el sector salud de dicha región.
- Base del veredicto: La ausencia de una postura oficial o análisis forense independiente que confirme el compromiso de la infraestructura, manteniendo la alerta en un estado de reclamación por parte de un tercero.
Hallazgos Clave
- Sector Afectado: Sector Salud / Seguro Médico Nacional.
- Ubicación Geográfica: República Dominicana.
- Identidad del Atacante: Un actor de amenazas conocido en el ecosistema clandestino como alecc157, operando en conjunto con otros colaboradores.
- Volumen de Datos Reclamado: El atacante afirma poseer una base de datos de aproximadamente 18.8 GB que contiene registros de alrededor de 3,099,000 personas, además de asegurar que tiene a la venta un lote adicional de 4.5 millones de registros relacionados.
- Naturaleza de la Información Expuesta (Según el atacante): El paquete supuestamente incluye números de identificación nacional (cédulas), nombres completos, fechas de nacimiento, género, estado civil, nivel educativo, direcciones físicas, datos de contacto, tipos de sangre, religión, así como registros médicos y de vacunación.
Análisis de Inteligencia de Amenazas (CTI)
- Vector de Ataque Potencial: Al no estar confirmado el hackeo, los vectores típicos en este tipo de incidentes del sector salud suelen involucrar la explotación de aplicaciones web vulnerables expuestas, configuraciones incorrectas en repositorios de almacenamiento en la nube (Buckets de AWS o Azure mal protegidos) o el uso de credenciales legítimas obtenidas mediante infostealers a empleados.
TTPs (MITRE ATT&CK):
- Reconocimiento: Búsqueda de víctimas y datos expuestos (Data Content Resource Discovery).
- Exfiltración: Exfiltración de datos hacia repositorios u operaciones del atacante (Exfiltration Over C2 Channel).
- Impacto: Fuga de datos a gran escala y extorsión por publicación (Data Destruction / Exfiltration for Impact).
- Contexto de la Amenaza: El sector salud en América Latina y el Caribe se ha convertido en uno de los blancos más lucrativos para los actores de amenazas debido a la alta densidad de datos de carácter permanente (como números de identificación y registros médicos) que no pueden ser cambiados fácilmente por los usuarios, lo que otorga a los datos un alto valor de reventa en el mercado negro para la ejecución de estafas dirigidas.
Recomendaciones Operativas
Para Administradores de Sistemas / Equipos de Seguridad en la Región (Acción Preventiva)
- Auditoría de Exposición de APIs: Verificar que todas las interfaces de programación de aplicaciones (APIs) y portales médicos que procesen datos de ciudadanos cuenten con controles de autenticación robustos y tasas de limitación de peticiones (rate-limiting) para evitar la extracción automatizada de datos.
- Cifrado de Datos en Reposo: Garantizar que los campos que contienen datos de identidad personal (PII) y registros médicos estén cifrados de extremo a extremo en las bases de datos, minimizando el impacto en caso de un acceso no autorizado.
Para el SOC (Monitoreo y Detección)
- Monitoreo de Phishing Geográfico: Calibrar las reglas de detección del correo electrónico para identificar un posible aumento en correos sospechosos que utilicen jerga, logotipos o temáticas institucionales de salud de la República Dominicana dirigidos hacia los colaboradores.
- Vigilancia de Credenciales Expuestas: Ejecutar búsquedas proactivas sobre las cuentas de correo institucionales de la organización en servicios de monitoreo de brechas para identificar si algún acceso ha sido expuesto en filtraciones paralelas.
Para CTI (Inteligencia de Amenazas)
- Seguimiento del Repositorio de Leak: Monitorear de forma pasiva los canales de distribución del actor alecc157 para verificar si efectivamente se libera la muestra (sample) prometida y realizar un análisis de estructura de datos que permita validar la autenticidad del reclamo.
- Evaluación de Riesgo de Terceros (Third-Party Risk): Analizar si la organización posee conexiones de red directas, integraciones de software o intercambio de datos con entidades del sector salud en la región afectada, evaluando la necesidad de aplicar un aislamiento temporal preventivo de las conexiones compartidas.
