La asociación de suboficiales de las Fuerzas Armadas presenta una denuncia por un ciberataque a su web

Una de las cinco asociaciones profesionales de militares con presencia en el Consejo de Personal de las Fuerzas Armadas ha presentado sendas denuncias ante la Guardia Civil y la Agencia Española de Protección de Datos tras detectar que sufrió un ataque informático a su página web.

Se trata de la Asociación Profesional de Suboficiales de las Fuerzas Armadas (Asfaspro), que a diferencia de otras asociaciones, se centra sólo en defender los intereses de los militares de la Escala de Suboficiales.

Asfaspro ha informado a sus socios de que ha tenido conocimiento de que su página web sufrió un ciberataque “que podría derivarse en un posible robo de datos personales”.

Concretamente, “los datos personales que podrían verse comprometidos son email, password (se encuentran encriptadas, por lo cual no es relevante), número de teléfono y dirección IP, todos ellos correspondientes al año 2016”.

En la Asociación Profesional de Suboficiales de las Fuerzas Armadas sospechan que el ataque se produjo ese año 2016, “pero se desconoce la razón para su difusión en este momento”.

“A la venta en la dark web”

Esta referencia a la difusión podría explicarse con la información que se publicó en el Telegram de ‘Ciudadanos de Uniforme’, el canal de denuncias anónimas sobre irregularidades y abusos de poder en bases y unidades militares, vinculado a otra asociación profesional, ‘Militares con Futuro’.

El mismo día que Asfaspro comunicó el ciberataque, en el canal de ‘Ciudadanos de Uniforme’ se publicó un mensaje en el que se aseguraba que “la base de datos de la asociación de suboficiales está a la venta en la darkweb a cambio de un puñado de bitcoins. ¿Cómo ha ocurrido?”.

Daban dos posibles explicaciones: “1. Los datos de los socios estaban en un Joomla sin actualizar”, y “2. Passwords hasheados pero sin cifrar. Ningún dato estaba cifrado de hecho”.

Acompañaban ese mensaje con lo que supuestamente era una captura de pantalla de la base de datos de socios de Asfaspro en 2016, y que se habría detectado en la dark web, donde se vendían esos datos personales a cambio de dinero, en criptomonedas.

Denuncia ante la Guardia Civil

Tras detectar este incidente de ciberseguridad, la Asociación Profesional de Suboficiales de las Fuerzas Armadas presentó una denuncia ante la Guardia Civil.

También comenzó la tramitación de otra denuncia, en este caso ante la Agencia Española de Protección de Datos. La normativa española y europea de protección de datos obliga a comunicar brechas de seguridad que puedan suponer el robo de datos personales de clientes, socios, o ciudadanos en el caso de instituciones.

Protección de Datos investiga entonces si la empresa, asociación o institución que sufrió la brecha de seguridad tenía las medidas de seguridad necesarias para intentar evitar el ataque, y si a posterior actuó correctamente para mitigar sus efectos.

Desde Asfaspro han informado de que “se han tomado varias medidas de seguridad de las que se ha informado a los socios y la empresa que mantiene la página web ha realizado una revisión y búsqueda de posibles amenazas latentes, con resultado negativo”.

Además, una empresa especializada está trabajando para definir el alcance del ataque.

A preguntas de ECD, la asociación señala que están pendientes del informe de esta empresa y de la respuesta de la Agencia Española de Protección de Datos, antes de poder informar de más detalles de esta brecha de seguridad que podría haber puesto al descubierto en la dark web datos personales de cientos de suboficiales de las Fuerzas Armadas.

A eso se añade la tradicional reticencia de los militares a dar a conocer que son miembros de alguna de las asociaciones profesionales de las Fuerzas Armadas. El asociacionismo es aún minoritario entre los militares, entre el desinterés, el rechazo a ser tildados de sindicalistas y el miedo a posibles represalias de los mandos más contrarios a las actividades reivindicativas de las asociaciones.