Fuga masiva de datos en CCOO: facturas de viajes, restaurantes y gastos con tarjeta

El grupo de hackers que amenazó a Comisiones Obreras con filtrar una inmensa cantidad de documentos del sindicato, noticia adelantada por THE OBJECTIVE, ha cumplido su amenaza. Tras esperar una semana y no procederse al pago de un “rescate”, han cumplido su chantaje y cientos de miles de documentos han terminado en internet. THE OBJECTIVE ha podido conocer el contenido de la filtración gracias a fuentes del sector de la ciberseguridad. El alcance del ataque ha puesto al descubierto información sobre gastos ordinarios, pagos con tarjetas de crédito, compras de vuelos, reservas de hoteles y apartamentos, listado de restaurantes habituales en los que reservan los dirigentes sindicales y miles de datos personales sensibles. Desde teléfonos hasta matrículas de vehículos, pasando por fotografías de los DNI.

El pasado 25 de febrero, THE OBJECTIVE informó del ataque sufrido por Comisiones Obreras en sus servidores. Veinticuatro horas después lo confirmaba la propia organización. Los atacantes aseguraron que habían logrado obtener casi 700.000 documentos del sistema informático del sindicato, concretamente de la federación de Servicios. Sin embargo, tal y como ha comprobado este diario, en realidad el ataque se centró en la información de la federación de Industria y agroalimentación, que dirige Garbiñe Espejo.

THE OBJECTIVE ha podido conocer, gracias a la descripción de fuentes del sector de la ciberseguridad que han tenido acceso al material, parte del contenido del paquete de cerca de 600 gigabytes filtrados por el grupo de hackers Hunters International. Según una primera valoración realizada por expertos, los documentos -que se encuentran alojados en un servidor sólo accesible a través de la llamada deep web- contienen material “muy muy sensible, especialmente en lo que se refiere a datos personales de quienes forman parte del sindicato”.

Miles de datos personales

Entre toda esa información, agrupada en carpetas como “finanzas“, “gab[inete]juridico“, “gestiones de personal“, “organización” y “Recursos Humanos“, hay decenas de miles de PDF, hojas de cálculo, fotografías y documentos de texto en los que aparecen los nombres de cientos de trabajadores y dirigentes del sindicato. No sólo sus nombres, sino sus teléfonos, cuentas de correo, direcciones, vehículos y matrículas, contraseñas de diversos servicios y firmas manuscritas. También nóminas y hasta audios de reuniones internas. En el paquete de datos incluso aparecen los DNI fotografiados por ambas caras de los líderes de esta federación.

La filtración no sólo afecta a la organización, sino también a cientos de empresas y organismos públicos con los que CCOO mantiene contactos desde hace quince años. Entre el material filtrado hay bases de datos llamadas ‘Agendas’ en las que figuran nombres, apellidos, direcciones de email y teléfonos de directivos empresariales, cuadros medios de empresas y también cargos políticos a nivel estatal y autonómico.

Vuelos, hoteles y comidas

También se ha visto comprometida la información referente a cuestiones financieras y de gastos ordinarios del sindicato. De esa forma, los hackers han expuesto facturas y liquidaciones de gastos de viajes, que incluyen dietas y comidas en restaurantes o compras con tarjeta de crédito en España y en el extranjero. Se remontan hasta el año 2016.

Por otra parte, incluye documentos con facturas de servicios contratados, desde alquileres de coches hasta compra de flores, alquiler de pisos en Madrid y en otras ciudades para dirigentes sindicales y pólizas de sanidad privada con empresas como Quirón o HM Hospitales. También hay una lista de los restaurantes madrileños donde suelen comer o cenar los dirigentes sindicales, con anotaciones como “precio especial para CCOO”.

Ataque a CCOO

Tal y como reveló THE OBJECTIVE, Hunter International, una de las organizaciones más activas del momento en el terreno de la ciberdelincuencia, exigió un pago -no determinado- para no revelar 570 gigabytes de información sensible extraída de sus servidores. El grupo, que tiene vinculaciones con Rusia, está especializado en robar y revelar datos financieros y personales de los miembros de las entidades que sufren sus ciberataques.

El ultimátum del grupo hacia el sindicato que dirige Unai Sordo fue colgado en la dark web, como se denomina al internet que está oculto a la gran mayoría de usuarios y sólo es accesible a través de herramientas informáticas específicas. La organización atacante, una de las más vigiladas del panorama actual y que ya ha usado sus técnicas con empresas y bancos de todo el mundo, no reveló los detalles de cómo llevó a cabo supuestamente el robo de datos ni las fechas concretas. Pero sí dio una fecha tope para satisfacer sus exigencias económicas: el pago en forma de rescate debe realizarse antes del próximo 2 de marzo. Cuando el reloj llegó a cero, los casi 700.000 documentos aparecieron inmediatamente en una página web.

Pese a que en esta ocasión han sido publicados de forma gratuita, fuentes del sector explican que los hackers suelen exigir un pago previo por el material. “El precio no se suele saber, se pone un precio aproximado de beneficio si los extorsionas, pero no es el precio de venta. Van al mejor postor estilo subasta, pero interna, eligen el que pague más o se lo venden a varios, no te puedes fiar”, explican expertos a THE OBJECTIVE.

Comunicado de CCOO

Tras conocerse la noticia de THE OBJECTIVE, el sindicato respondió con un comunicado confirmando el ataque. “Nuestros equipos de respuesta a ciberincidentes han estado trabajando desde el primer momento para garantizar y reducir el impacto que puede tener este incidente para los derechos y libertades de las personas afectadas. A día de hoy se han aplicado las medidas de seguridad necesarias para limpiar nuestros sistemas y nos encontramos en un proceso de investigación para esclarecer lo ocurrido y determinar el alcance que pudiera tener este incidente“.

Explicaban desde la organización dirigida por Unai Sordo que “en principio no se ha visto afectado ninguno de nuestros sistemas críticos, y por lo tanto, el funcionamiento del conjunto de los sistemas informáticos está normalizado”. “De forma preventiva, ya hemos notificado la brecha a las autoridades competentes, por lo que, en caso de ser necesario, en los próximos días ampliaremos la información según avancen nuestras investigaciones. Por último, queremos transmitir nuestras disculpas por las molestias que se hayan podido ocasionar”, indicaban tras conocerse el ciberataque.