Organismo del gobierno francés confirma una intrusión mientras un hacker ofrece vender datos

 (bleepingcomputer.com)
1 puntos por GN⁺ 6 일 전 | 1 comentarios | Compartir por WhatsApp
  • Se detectó un incidente de seguridad en el portal ANTS, que gestiona documentos de identidad y de registro en Francia, y podrían haberse expuesto datos de cuentas personales y profesionales
  • La información confirmada como potencialmente expuesta incluye ID de inicio de sesión, nombre completo, correo electrónico, fecha de nacimiento y un identificador único de cuenta; para algunos usuarios también podría incluir dirección, lugar de nacimiento y número de teléfono
  • El organismo indicó que con esta información por sí sola no es posible acceder sin autorización al portal, pero puede aprovecharse para ataques de phishing e ingeniería social, por lo que se recomienda tener cuidado con contactos sospechosos por SMS, llamadas o correo electrónico
  • En una actualización publicada el 24 de abril, confirmó que la cantidad de cuentas afectadas es de 11.7 millones, y ya está en marcha el proceso de notificación a las personas afectadas
  • En un foro de hackers, breach3d se atribuyó el ataque y publicó hasta 19 millones de registros para su venta, aunque al momento del artículo los datos no se habían filtrado de forma generalizada

Confirmación de la intrusión y alcance del impacto

  • France Titres, es decir, ANTS, informó que detectó un incidente de seguridad en el portal ants.gouv.fr y que podrían haberse expuesto datos de cuentas personales y profesionales
    • El organismo administra documentos oficiales de identidad y registro en Francia, incluidos licencias de conducir, documento nacional de identidad, pasaportes y documentos de inmigración
    • El ataque ocurrió la semana pasada y la investigación sigue en curso; no se ha revelado cuántas personas estuvieron expuestas
  • ANTS anunció que detectó el incidente el miércoles 15 de abril de 2026 y está llevando a cabo el proceso de notificación a las personas cuya afectación fue confirmada
    • En el aviso de ANTS puede consultarse la confirmación del incidente y la recomendación de extremar precauciones
  • En una actualización publicada el 24 de abril, confirmó que la cantidad de cuentas afectadas es de 11.7 millones

Datos que podrían haberse expuesto

  • ANTS indicó que podrían haberse expuesto varios tipos de información de cuenta
    • ID de inicio de sesión
    • Nombre completo
    • Dirección de correo electrónico
    • Fecha de nacimiento
    • Identificador único de cuenta
  • En algunos usuarios también podría incluir información adicional de identificación personal
    • Dirección postal
    • Lugar de nacimiento
    • Número de teléfono
  • Indicó que con esa información por sí sola no es posible acceder sin autorización al portal electrónico de ANTS
    • Aun así, se requiere precaución porque esos mismos datos pueden aprovecharse para phishing y ataques de ingeniería social

Aviso a usuarios y respuesta

  • ANTS no pidió a los usuarios que realicen acciones adicionales, pero sí exhortó a estar especialmente atentos ante mensajes sospechosos o contactos inusuales que suplanten a la entidad
    • Entre los contactos a vigilar se incluyen SMS, llamadas telefónicas y correos electrónicos
  • Como parte de la respuesta, notificó a la CNIL, a la fiscalía pública de París y a la agencia nacional de ciberseguridad ANSSI
    • También advirtió que la venta o difusión de los datos es ilegal

La afirmación del hacker sobre la venta

  • El 16 de abril, en un foro de hackers, un actor de amenazas llamado breach3d afirmó haber atacado a ANTS y dijo poseer hasta 19 millones de registros
  • Ese actor aseguró que los datos robados incluyen nombre completo, información de contacto, datos de nacimiento, dirección del domicilio, metadatos de cuenta, género y estado civil
  • Los datos fueron publicados en un anuncio de venta por una suma no revelada, por lo que al momento del artículo no se habían filtrado de forma generalizada
  • BleepingComputer consultó a ANTS sobre esta afirmación, pero no había recibido respuesta al momento de publicar el artículo

Lecturas relacionadas

1 comentarios

 
GN⁺ 6 일 전
Comentarios en Hacker News

  • Si la información filtrada es solo nombre, fecha de nacimiento, dirección y número de teléfono, ya ni siquiera es algo nuevo
    En los últimos 2 o 3 años, mis datos ya se filtraron varias veces, y mientras el castigo para empresas u organismos sea apenas un correo de disculpa, esto nunca va a cambiar

    • Para empezar, el gobierno no debería obligar a hacer KYC por cada cosa mínima
      No entiendo por qué hace falta verificar la identidad hasta para comprar bananas o pedir una entrega a domicilio, y si las filtraciones son inevitables, el propio KYC parece una ilegalidad aún mayor
      Se suponía que era para prevenir fraude y lavado de dinero, pero en la práctica ni siquiera lo evita bien; si buscas "largest money laundering settlements", siguen apareciendo grandes bancos y fraudes con criptomonedas
    • A los organismos públicos las multas no les pegan mucho
      Al final se pagan con impuestos y no generan incentivos, así que mejor habría que tener una agencia gubernamental dedicada a hacer pentesting agresivo contra otras agencias, hospitales, bancos, infraestructura y grandes empresas, pagándoles sueldos al nivel del sector privado
      Habría que imponer plazos legales para corregir los problemas, y aplicar sanciones reales: multas al sector privado y degradación del responsable de infosec en el sector público
      Eso sería mucho mejor que una checklist de compliance o una auditoría estilo KPMG: hackers financiados por el gobierno intentando entrar como lo haría un atacante real
      Francia ha tenido demasiados hackeos gubernamentales a varios niveles durante el último año, así que es aún más urgente
    • Tampoco hay que olvidar el monitoreo de crédito gratis por un año
      Ya me llegaron tantas ofertas de esas que, si me inscribo en todas, siento que solo voy a duplicar la cantidad de lugares hackeables donde están mis datos personales
    • Ver otra filtración así me hizo volver a pensar en local-first software, y también me recordó a https://lofi.so
      Si queremos reducir filtraciones masivas, primero hay que romper a nivel de arquitectura la idea de por qué tienen que existir estos gigantescos almacenes de datos centralizados
      Incluso si el gobierno necesita tener autoridad central, igual se puede pensar en formas de almacenamiento que reduzcan el radio de daño
      Claro que habrá muchas objeciones, pero si la alternativa dominante ahora mismo es solo desesperanza e impotencia, entonces el avance tendrá que venir aunque sea desde innovaciones periféricas
    • Ni siquiera parece que vayamos a recibir monitoreo de crédito gratis, no ya por un año, sino ni por un mes

  • Hoy me llegó el correo diciendo que fui afectado
    Irónicamente, hace unos años el organismo de subsidio por desempleo ya filtró esos mismos datos, así que para mí no cambió nada
    Igual me siento medio tonto por no haber borrado esa cuenta después de conseguir un nuevo trabajo

    • Para fines de registro, estaría bueno tener una copia del correo
      Así también terminará en los datasets de Anthropic y OpenAI :)
    • Me pregunto si vino de ANTS
      Yo todavía no recibí nada

  • Es absurdo que, incluso en una situación así, sigan empujando una ID centralizada para internet
    Lo único que hacen es crear un enorme honeypot para grupos de hackers de todo el mundo y empresas de IA, y en la práctica hay filtraciones cada dos meses

  • Si el gobierno trata mis datos personales como si no valieran nada, yo tampoco pienso tratar el material con copyright como si tuviera valor
    Si van a construir una sociedad de la información, no pueden dejar afuera al grupo más importante

    • Enfrentarse al gobierno de frente por principios probablemente sea, en la práctica, una batalla perdida
      Aunque haga falta un cambio, seguramente hay mejores maneras de lograrlo que esa

  • Siento que ya pasamos la etapa de preocuparnos por el ransomware o por proteger los datos
    Hay que asumir que el PII de todo el mundo ya fue comprometido, y concentrarse más en cómo verificar la identidad en línea para cosas como beneficios del gobierno
    Pienso en casos como la identidad digital nacional de los Países Bajos o Japón, o la biometría en India, y me pregunto qué terminará eligiendo Estados Unidos

    • La biometría es casi la peor idea posible, porque solo agrega una cosa más que se puede filtrar
      También puede usarse para abusos como seguimiento por cámara, así que es mucho más sensible, y este problema ya podía resolverse desde hace tiempo con IdP federados y MFA
      Se puede combinar algo que tienes, como un dispositivo OTP o un token físico, con algo que sabes, como el SSN, número fiscal o contraseña, pero los gobiernos en general parecen preferir la biometría porque van en dirección opuesta a la privacidad de los ciudadanos
    • En Suecia, casi toda la información es pública por defecto
      Con solo saber el nombre, puedes encontrar fácilmente la dirección de la casa, y también ver fecha de nacimiento, con quién vive, el número del departamento, si tiene auto, perro o contrato de celular
      Si pagas una pequeña cantidad, incluso puedes sacar el registro de ingresos
      https://mrkoll.se/person/Jan-Martin-Harris-Harasym-Snapperupsgatan-5-Malmo/uerADYuquerAmUxadYQabTAQmkyqRaQcYfrkyqRaQdYQakyqRaQcYfr
      https://www.ratsit.se/19891030-Jan_Martin_Harris_Harasym_Malmo/tGpBumnyzRN6dMSEuZjNW1zYfMRBBy1KEgzIdASYnyU
      Y aun así, somehow sigue funcionando
    • Viendo cómo van las cosas, da la impresión de que la solución a la estadounidense va a terminar siendo exigir un escaneo de retina
      Vas a querer comprar un pantalón en Target por internet y te van a pedir escanearte, y esa información va a aparecer en la dark web junto con tu huella de voz y el escaneo de tu licencia de conducir
    • En los Países Bajos hay una sola ID para todos los servicios oficiales del gobierno
      Básicamente es una estructura de username/password + MFA emitida por el gobierno, y también se puede verificar la identidad escaneando con el smartphone el chip NFC del pasaporte
      Pero no tengo claro cómo eso resuelve el problema de las filtraciones de datos
    • Francia ya tiene varios medios de verificación de identidad en línea
      France Connect SSO es una especie de SSO federado, y también se puede enviar por correo un código a una dirección verificada por La Poste, o pedir verificación presencial, o usar una cuenta físicamente verificada, como la de impuestos o seguridad social, para iniciar sesión en otros servicios del gobierno
      Además, también se propuso una app que autentica leyendo el chip NFC de un documento físico y comparando biometría con una selfie

  • Es especialmente irónico que cada vez que uno crea o modifica un documento, como agregar una nueva indicación en la licencia, te pidan todas las copias de identificación imaginables, y luego resulta que igual filtraron todos mis datos
    En teoría, ellos ya lo tenían todo desde el principio

    • Para verificar la identidad, al final sí necesitas mostrar una identificación y consultar el sistema
      Así que el procedimiento en sí no me parece raro, y no termino de entender bien la objeción del comentario original

  • 19 millones de franceses; yo también estoy incluido

  • La burocracia a la antigua tenía sus ventajas
    Era mucho más difícil provocar una filtración masiva como esta, y aunque ocurriera, el valor de lo filtrado era mucho menor
    Ese sistema también sostenía la participación democrática con personas que trabajaban para hacer cumplir los procedimientos y prevenir irregularidades
    Como siempre supimos que estos sistemas tarde o temprano iban a ser vulnerados, ahora hay que diseñarlos partiendo de la base de "qué hacemos para proteger a las personas y a las instituciones cuando ocurra"
    Si vamos a seguir por este camino, sea por conveniencia, vigilancia o autoritarismo, entonces hay que prepararse de verdad para los escenarios posteriores a una intrusión

  • También resulta curiosamente interesante que esto haya pasado justo después de presumir que podían migrar sistemas fácilmente desde Microsoft y empresas estadounidenses
    Quizá el próximo año sí sea el año de Linux desktop

  • Me pregunto si habrá alguna forma de mezclar tanta basura en estos datos que terminen volviéndose inútiles
    También me da curiosidad si un LLM podría ayudar con eso

    • Si la pregunta va en serio, la respuesta es no
      La base de datos original y autoritativa ya fue comprometida, así que el atacante sabe cuál es el dataset real y puede ignorar sin problema cualquier ruido externo que se le mezcle