Un supuesto ataque al sistema de alertas de la Defensa Civil, basado en tecnología de difusión celular (Cell Broadcast), provocó el envío de falsas alertas a teléfonos celulares en diversas ciudades brasileñas entre la noche del último viernes (20) y la madrugada del sábado (21), lo que generó preocupación por la seguridad de infraestructuras críticas utilizadas para la protección de la población. ESET, compañía líder en detección proactiva de amenazas, contextualiza el caso y analiza distintas estrategias de protección relacionadas a este tipo de sistemas.
De acuerdo con un informe emitido por el Gobierno Federal y enviado a la Policía Federal (PF), los primeros envíos se registraron en Río de Janeiro. Posteriormente, residentes de Curitiba, Brasilia, São Paulo, Salvador y otras localidades también recibieron notificaciones clasificadas como “alerta extrema”, considerado el nivel más alto del sistema de alertas de la Defensa Civil. Este tipo de mensaje se utiliza en situaciones de riesgo inminente para la vida, requiriendo que la población adopte medidas de protección de forma inmediata.
En el caso de Río de Janeiro, el mensaje hacía referencia a una supuesta posibilidad de deslizamientos de tierra, información especialmente sensible en una región históricamente afectada por tragedias relacionadas con lluvias intensas. Además, circularon mensajes que mencionaban una supuesta posibilidad de tornado en la región de Belo Horizonte (MG) y otros avisos sin fundamento. Los textos presentaban frases inconexas, campos corruptos y expresiones inusuales, incluyendo referencias a un supuesto “ataque alienígena”.
El incidente ocurre en un momento en el que América Latina enfrenta un aumento sostenido de eventos climáticos extremos. Según la Organización Meteorológica Mundial (OMM), en los últimos años la región ha sido afectada por fenómenos como inundaciones, sequías, huracanes e incendios forestales de gran magnitud, lo que refuerza la importancia de los sistemas de alerta temprana para proteger a la población.
“En este contexto, varios países de la región están adoptando sistemas de alerta basados en Cell Broadcast, una tecnología que permite enviar mensajes masivos a todos los dispositivos móviles en un área específica, sin necesidad de aplicaciones ni conexión a internet.”, agrega Jonathan Ramos, Investigador de seguridad informática de ESET Latinoamérica.
Algunos casos de implementación en la región son:
- Chile es el caso más consolidado, con su Sistema de Alerta de Emergencia (SAE) plenamente operativo y utilizado regularmente ante desastres naturales, mientras que Brasil ya cuenta con infraestructura de alertas móviles a gran escala, como se evidenció en este incidente.
- México ha realizado pruebas durante los últimos años integrando parcialmente Cell Broadcast en su sistema de alerta sísmica. Otros países, como Ecuador, se encuentran en etapas inicialeso pilotos.
- Argentina está avanzando en el despliegue de su sistema nacional AlertAR, basado en esta tecnología.
“A medida que los gobiernos adoptan tecnologías más eficientes para alertar a la población, también aumenta la superficie de ataque sobre sistemas críticos. Un sistema de alertas comprometido puede generar pánico, desinformación y eventualmente disminuir la credibilidad de las comunicaciones oficiales en situaciones reales de emergencia.”, destaca Ramos de ESET.
Un detalle que llamó la atención en este caso, fue la repetición de la palabra “misantropía” en distintos mensajes, funcionando como una especie de firma dejada por los responsables. El término se utiliza para describir a personas que manifiestan aversión, desconfianza o rechazo hacia la humanidad y la convivencia social.
El caso está siendo investigado por la Defensa Civil Nacional en conjunto con la Agencia Nacional de Telecomunicaciones (Anatel). La sospecha es que el incidente haya involucrado un acceso indebido a la Interfaz de Difusión de Alertas Públicos (Idap), plataforma utilizada por el Ministerio de Integración y Desarrollo Regional (MIDR), con el apoyo de la Defensa Civil Nacional, para el envío de alertas relacionadas con riesgos de desastres naturales y otras emergencias.
Pie de imagen: Comunicado (traducción automática) emitido por Defensa Civil Nacional. Fuente: X (antes Twitter).
En las primeras horas posteriores al incidente, un usuario identificado como “Misantropo”, en la red social X, publicó imágenes y un video adjudicándose la autoría de los mensajes. El material difundido sugiere el uso de una plataforma gubernamental para el envío de las alertas.
En una entrevista con el portal TecMundo, el presunto atacante afirmó haber utilizado credenciales antiguas del Idap que habrían sido expuestas en filtraciones previas. Según su relato, el acceso habría sido obtenido mediante la técnica conocida como credential stuffing, que consiste en la reutilización automatizada de combinaciones de usuario y contraseña previamente comprometidas en otros incidentes.
“Aunque la autoría y los detalles de la invasión aún están bajo investigación, el episodio refuerza la importancia de adoptar mecanismos robustos de autenticación, monitoreo continuo y revisión periódica de credenciales en sistemas considerados críticos para la seguridad pública.”, agregan de ESET.
La respuesta de las autoridades fue la desactivación temporal de la plataforma. En un comunicado oficial, la Defensa Civil del estado de São Paulo informó que el mensaje recibido por la población no fue emitido por el organismo y que inició de inmediato procedimientos de verificación junto con la Defensa Civil Nacional, Anatel y otras instituciones involucradas en la operación del sistema. “Hasta el momento, no existe registro de ningún evento que justifique la emisión de una alerta extrema relacionada con el contenido reportado”, afirmó el organismo.
“El incidente evidencia los riesgos asociados a la protección de sistemas gubernamentales responsables de servicios esenciales. Los incidentes cibernéticos en plataformas de infraestructura crítica exponen vulnerabilidades que trascienden la esfera tecnológica, evidenciando fallas en políticas y procedimientos de seguridad. El uso de credenciales supuestamente filtradas refuerza la urgencia de prácticas de gobernanza, como la aplicación del principio de privilegio mínimo, la obligatoriedad de la autenticación multifactor (MFA) y la rotación periódica de contraseñas. Para sistemas de alto impacto social, resulta indispensable la implementación del principio de doble control (Four-Eyes Principle). Esta capa de validación mitiga el riesgo de acciones aisladas, ya sean maliciosas o accidentales, evitando que falsas alertas generen pánico y desinformación y, sobre todo, preservando la confianza de la población en los mecanismos legítimos de protección del Estado”, concluye Jonathan Ramos de ESET.
El resultado de la investigación deberá esclarecer si efectivamente hubo una intrusión en los sistemas de la Defensa Civil o si el incidente fue provocado por el uso indebido de credenciales válidas obtenidas en filtraciones anteriores.
Para saber más ESET puede ingresar a: https://www.welivesecurity.com/es/seguridad-digital/falsas-alertas-emergencia-brasil-acceso-indebido-defensa-civil
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
Visítanos en: