Un hacker ha publicado un aviso informando sobre el hackeo que ha realizado del Ministerio De Ciencia e Innovación de España. La información está extendiéndose en la red y equipos especializados como H4ckmanac están pendientes de verificarla. Se podría tratar de uno de los hackeos más importantes que se hayan cometido en el inicio de este año 2026.
El hacker conocido como GordonFreeman ha publicado un mensaje en el que informa de la brecha de seguridad que ha sufrido el Ministerio De Ciencia e Innovación tras su ataque. Apoyando la publicación de la información, el hacker indica el método que ha utilizado para poder derribar las defensas del Ministerio y acceder a sus registros, incluyendo pasaportes, recibos de pagos y otros datos sensibles.
Según explica GordonFreeman, para llevar a cabo este hackeo ha utilizado una combinación de varios recursos. Por una parte, se ha aprovechado de una vulnerabilidad de tipo IDOR (Insecure Direct Object Reference). Por otra parte, también ha sacado partido a la filtración de datos de acceso. Todo ello ha puesto en las manos de este hacker algo muy problemático para el Ministerio: tener acceso administrativo completo.
¿Qué riesgo existe para el Ministerio?
Un acceso administrativo completo no es como para tomárselo a la ligera. Los hackers que buscan este tipo de acceso a entidades sensibles o de gran reputación lo hacen porque pueden llegar a tener un control exhaustivo de la información de esas organizaciones. Esto significa que, por ejemplo, el hacker, de ser cierta esta información, habría tenido acceso a información personal de individuos del Ministerio. Al mismo tiempo, también habría podido acceder a información académica mediante el uso de lo que informan que se trata de una enumeración secuencial del DNI/NIE.
Por el momento, el Ministerio de Ciencia e Innovación no se ha pronunciado al respecto y quedaría en el aire que se confirmara la brecha. Como es habitual, en la cuenta de X de @H4ckmanac se mantienen al tanto para confirmar la veracidad de los ataques. Esto puede ocurrir en los próximos días o en un momento no determinado en un futuro cercano.
La lista de datos que el hacker dice haber robado de los servidores del Ministerio incluye lo siguiente:
- Pasaportes escaneados
- Documentos DNI/NIE escaneados
- Títulos extranjeros apostillados
- Transcripciones y calificaciones certificadas
- Recibos de pagos, incluyendo tanto los números de cuenta bancaria de emisores y receptores como los números IBAN
- Planes de estudios y currículums
- Solicitudes de inscripción
- Pruebas de registro
- Direcciones de correo electrónico
¿Por qué es un ataque grave?
Al margen de los datos que se habrían visto expuestos, el problema es el tipo de acceso que se ha realizado. Según el hacker, habría utilizado un ataque de tipo Insecure Direct Object Reference para entrar al sistema, aunque combinándolo con datos de acceso. Los ataques IDOR no son extraños y es bien sabido que se trata de un peligro importante al cual los especialistas en seguridad deben intentar anticiparse.
Un ataque Insecure Direct Object Reference se produce cuando se genera una conexión a un elemento interno de una base de datos sin que se apliquen métodos de verificación adicionales que comprueben quién consigue acceso. Que el Ministerio pueda haber sido hackeado a través de este sistema no sería algo que haya que descartar, puesto que, en 2020, se descubrió esta misma vulnerabilidad en el mismísimo Departamento de Defensa de Estados Unidos. No obstante, en ese caso se implementó una medida de seguridad antes de que se produjera un incidente.
En otro orden de cosas, también ha aparecido otro hacker que dice haber entrado en el Ministerio de Hacienda. Si bien esta información parece que no aporta tanta veracidad como la del Ministerio de Ciencia e Innovación, no hay que descartar que se pueda haber producido un incidente similar. En este caso, el hacker, conocido como HaciendaSec, ofrece una base de datos que tendría datos supuestamente de 47,3 millones de ciudadanos. En esta filtración habrían entrado tanto direcciones de residencia como nombres completos, números de DNI, números de IBAN, teléfonos e incluso información sobre los impuestos.
Fuente: adslzone
