Se ha emitido una alerta de inteligencia de amenazas (CTI) tras la publicación de un presunto conjunto de datos masivo que afectaría directamente a un importante organismo nacional de seguros de salud en la República Dominicana. Un actor de amenazas que opera bajo el alias “alecc157”, quien afirma estar afiliado al colectivo cibercriminal “Sociedad Privada 157”, ha publicado una muestra inicial de más de 260.000 registros altamente sensibles, acompañando la filtración con la amenaza explícita de liberar una base de datos completa que, según el atacante, contiene 4,5 millones de perfiles.
Nota de Inteligencia: Al momento de la redacción de esta noticia, la entidad afectada no ha emitido un comunicado oficial y la veracidad de la brecha no ha sido confirmada formalmente por el organismo.
Veredicto Analítico
- Estado: No confirmado (Reclamado por el actor de amenazas en foros clandestinos; pendiente de validación forense y pronunciamiento oficial).
- Confianza: Moderada (Basado en la estructura detallada de las muestras publicadas y los campos de datos presentados, aunque la autenticidad total sigue bajo investigación).
- Riesgo para SOC TDIR / Fraude Institucional: Crítico. El conjunto de datos reclamado cruza la línea entre la Información de Identificación Personal (PII) y la Información de Salud Protegida (PHI). La exposición de datos clínicos junto con identificadores nacionales (cédulas) abre un vector masivo para fraudes de identidad, extorsión médica, y campañas de ingeniería social (Spear-Phishing) altamente dirigidas contra ciudadanos dominicanos.
- Urgencia operativa: Alta. Los equipos de ciberdefensa del sector salud y gubernamental deben asumir que la fuga tiene un grado de credibilidad hasta que se demuestre lo contrario, activando protocolos de contención y análisis de DLP (Prevención de Pérdida de Datos).
- Base del veredicto: Publicación estructurada de bases de datos con campos de validación cruzada y terminología específica del sector salud dominicano por un actor organizado.
Hallazgos Clave
- Sector y Geografía Afectada: Sector de Seguros de Salud Pública / Gubernamental en la República Dominicana.
- Actores de Amenazas: El usuario “alecc157”, actuando presuntamente en nombre de “Sociedad Privada 157”.
- Volumen del Compromiso: 260.000 registros ya liberados como prueba de vida (Proof of Life). Existe una amenaza de extorsión o venta para liberar el archivo completo de 4.5 millones de registros. Se reporta que los datos incluyen tanto a empleados del sector como a personas mayores y pacientes inscritos.
- Naturaleza de los Datos Comprometidos:
- Identificadores Críticos (PII): Números de Cédula de Identidad y Electoral completos, Números de Seguridad Social (NSS) e identificadores internos de afiliados.
- Datos Demográficos y de Contacto: Fechas de nacimiento, edad, sexo, estado civil, nacionalidad, números de teléfono, direcciones residenciales completas e información de geolocalización por provincias, regiones e instalaciones de atención.
- Información Clínica Sensible (PHI): Grupos sanguíneos, registro de condiciones médicas/patologías, historiales de vacunación, niveles de riesgo del paciente.
- Datos de Evaluación Específica: Campos estructurados para evaluaciones geriátricas, obstétricas, ocupacionales y domésticas.
Análisis Técnico
- Vector de Ataque y Acceso Inicial: Desconocido actualmente. Dada la estructura y la amalgama de datos de pacientes y empleados, es probable que la exfiltración se originara a través del compromiso de credenciales de un administrador de base de datos (DBA), una API expuesta y no autenticada, o la explotación de un fallo perimetral en la infraestructura en la nube de la institución.
- Mecanismo de Comercialización/Extorsión: El atacante busca capitalizar la brecha mediante la venta a terceros o la extorsión a la entidad matriz. El fraccionamiento de la base de datos (publicar 260K y amenazar con 4.5M) es una táctica clásica de extorsión para forzar una negociación.
TTPs (MITRE ATT&CK):
- Colección: Recopilación de información desde repositorios de bases de datos centrales (Data from Information Repository).
- Exfiltración: Extracción masiva de datos estructurados (Exfiltration Over Alternative Protocol / Web Service).
- Impacto: Fuga de datos con intención extorsiva, dañando la reputación operativa y violando marcos de privacidad (Data Leakage).
Recomendaciones Operativas
Para Equipos de Seguridad y SOC (Sector Salud / Entidad Presuntamente Afectada)
- Validación de Muestras (Cacería Interna): El equipo de respuesta a incidentes debe adquirir inmediatamente una copia de la muestra filtrada de 260.000 registros y realizar un cruce criptográfico o de texto plano contra las bases de datos de producción (Data Matching). Esto permitirá confirmar o desmentir si los datos son legítimos, si están actualizados, o si provienen de un volcado antiguo o de un contratista de terceros (Third-Party Breach).
- Auditoría de Accesos Perimetrales y Bases de Datos: Congelar de manera preventiva las cuentas administrativas que hayan presentado un volumen de consultas SQL inusualmente alto en los últimos 30 a 60 días. Revisar los registros de transferencia de datos salientes a nivel del firewall perimetral y soluciones CASB.
Para CTI (Inteligencia de Amenazas)
- Perfilamiento del Actor: Iniciar un rastreo sobre “alecc157” y “Sociedad Privada 157” en foros de la Dark Web (como BreachForums o canales de Telegram). Determinar si este grupo tiene un historial de venta de datos legítimos o si han realizado estafas (Scams) vendiendo datos públicos reciclados previamente (OSINT).
- Monitoreo de Cadenas de Fraude: Alertar al sector bancario dominicano. La combinación de Cédula, fecha de nacimiento, teléfonos y direcciones es el “Santo Grial” para eludir las preguntas de seguridad de las entidades financieras y solicitar créditos de forma fraudulenta a nombre de los ciudadanos afectados.
