El presidente del Sistema Único de Cobro de Ingresos Vehiculares (Sucive), César García, explicó cómo se dio la filtración de una base de datos de 618.000 usuarios que se pusieron a la venta en la deepweb y las sospechas sobre dónde pudo provenir el hackeo.

A través de un comunicado al que accedió Montevideo Portal, detalla que la venta de datos de la base del Sucive fue reportada por HG, la desarrolladora informática del Sucive, a las 10:16 horas de este viernes 30 de mayo, por parte de su gerenta general, Sylvia González Mujica.

Entonces, indica que, en su informe, HG expresa que “no existe evidencia alguna de que sea un incidente de seguridad de la plataforma de Sucive”.

Así, plantea que, tras tomar conocimiento del hecho, la Dirección de Asuntos Vehiculares (DAV) “inmediatamente” informó a la fiduciaria del Sucive, Rafisa, que tiene asignado un delegado de datos personales ante Agesic.

“Rafisa manifestó que esos datos publicados no traerían aparejada una afectación significativa a los derechos de las personas mencionadas en la publicación”, expresa García, quien contó que en la jornada del viernes mantuvo “comunicación y contactos” con el subdirector de Inteligencia del Ministerio del Interior.

En referencia al “contexto”, el jerarca indicó que “el Sucive es un sistema que opera en planta física y en la nube con todas las seguridades disponibles a nivel internacional”. La información del Sucive se encuentra “en el mismo edificio donde funciona HG (empresa de Antel)” y donde “están las oficinas de ciberseguridad del Estado”.

Luego aludió a las características de la información que ofrecen los hackers para su compra ilegal: “Si bien somos conscientes de que puede haber hackeos de diferentes niveles y volúmenes que podrían afectar al Sucive, como lo han hecho con la propia Agesic, esta base de datos ofrecida evidencia aspectos que nos inclinan a pensar que esos datos fueron obtenidos por algún agente secundario de sistema, como un agente de cobranzas, y en un tiempo no reciente”.

“En un caso de los publicados comprobamos que una transferencia vehicular data de hace un año: si se tratara de un hackeo reciente, ese dato sería otro”, ilustró.

García también dio cuenta de que “existen operadores del Sucive con credenciales de acceso informativo para gestiones de cobro (agentes de cobranza) quienes pudieron haber sido la fuente de un hackeo”.

En cuanto a “la cantidad de datos ofrecida, del entorno de los 618 mil casos”, el líder de Sucive indicó que esta “despeja de dudas precisamente por su limitada cantidad”. “Si hablamos de vehículos la base del Sucive supera ampliamente los 3 millones activos y el doble con los inactivos”, explicó.

Ante esto apuntó a que sólo si se ven los datos de las motos “hay 1.500.000 de registros de los cuales 500 mil están activos, registrando un 70% de morosidad en sus cuentas”. “Una base de este porte en 2022 se ofreció en US$ 1.500 de base, 10 veces menos que esta que trascendió del Sucive”, indicó respecto al precio de la información.

“Tampoco puede vincularse este episodio al hackeo de uno de nuestros proveedores, Geocom, hace dos años: en ese caso, lo que se hackeó fue un correo electrónico sobre el que opera el sistema de Mantis del Sucive, que no está asociado a la plataforma operativa ni a las bases del sistema”, aludió.

Por último, aludió al sistema de matrícula digital, que data del 2022 y “es parte de un convenio entre el Ministerio de Transporte y el Congreso de Intendentes”.

“Se integra con la actual matrícula, el div o libreta del vehículo y con un tag insertado en la matrícula, más otro en el parabrisas de los autos o en el tanque y vidrio de la luz delantera de las motos. Se puede leer sólo desde la plataforma del sistema móvil de fiscalización vehicular a los que accede el personal de las intendencias y los inspectores sean policías o de tránsito de las intendencias”, describió.

“El ciudadano común, libremente, no podrá decodificar ese tag ni los códigos QR asociados al mismo”, completó.

Fuente: Montevideo Portal