Cómo fue el hackeo a Ámbito: qué es un "defacement" y todo lo que se sabe sobre el ataque
El ataque al sitio web del diario Ámbito volvió a poner en primer plano una modalidad de hackeo cada vez más frecuente en medios, organismos públicos y plataformas digitales: el defacement, una técnica que no apunta a robar información ni a obtener un beneficio económico, sino a modificar el contenido visible de una página para dejar un mensaje.
El incidente ocurrió en la mañana de este viernes, días después de que la Corte Suprema ratificara la condena a Cristina Kirchner por corrupción en la Causa Vialidad.
Durante un breve lapso, la portada del sitio especializado en economía y negocios apareció completamente alterada: fotos con calaveras, mensajes contra la expresidenta y consignas como “#CFKPRESA” o “#CFKCHORRA” coparon los títulos de varias notas. Todo firmado por un grupo que se identificó como @gov.eth, nombre ya conocido en el ambiente del ciberactivismo argentino.
Desde el diario confirmaron que el ataque se trató de un defacement, una modalidad que consiste en acceder al panel de administración del sitio y reemplazar su contenido original por otros textos, imágenes o videos. “Modificó de forma masiva los contenidos”, explicaron en un comunicado oficial, en el que también pidieron disculpas a lectores y anunciantes.
El atacante se identificó como @gov.eth, un nombre ya conocido en el ciberactivismo argentino.
El nombre @gov.eth no es nuevo. En los últimos meses, este usuario se adjudicó el hackeo a distintos portales informativos, como Perfil.com y La Unión Digital de Catamarca, además del sitio oficial del Estado argentino, argentina.gob.ar, a fines de 2024.
En una entrevista con Clarín, uno de los atacantes se identificó con ese alias y aseguró que no hay ningún interés político detrás de sus acciones. “Somos dos pibes que estábamos aburridos y pudimos hacerlo”, dijo entonces, y explicó que se dedica al marketing digital, pero realiza estos ataques “como hobby”.
Según su testimonio, en algunos de los hackeos anteriores lograron ingresar al sistema utilizando credenciales filtradas en páginas de prueba del propio Gobierno. Como los servidores no tenían activado el segundo factor de autenticación, bastó con ingresar usuario y contraseña para acceder al backend, es decir, el panel que administra el contenido del sitio.
Aunque en este último ataque aún no se confirmó cómo fue exactamente el ingreso, el propio Ámbito reconoció que los atacantes accedieron al listado de usuarios y contraseñas, lo que permitió modificar los contenidos de forma masiva. Todo apunta, como en casos anteriores, a una posible filtración de credenciales o un fallo en las medidas de seguridad básica del sistema.
El antecedente más ilustrativo es el del ataque a argentina.gob.ar, ocurrido en diciembre pasado. Los atacantes revelaron que el servidor no tenía segundo factor de autenticación (también conocido como 2FA o MFA), una medida que permite verificar la identidad del usuario con un código extra —enviado al celular, una app o mediante biometría— y que funciona como una barrera adicional de seguridad.
“Accedimos mediante una credencial filtrada que conseguimos de una página de pruebas del Gobierno y entramos con el mismo login al back de argentina.gob.ar”, explicó entonces gov.eth. Desde allí, escalaron permisos y tomaron el control del sistema.
El defacement es una forma de “vandalismo digital”. (Foto: Shutterstock)
A diferencia de otros ataques informáticos más complejos o con fines económicos, el defacement es una forma de “vandalismo digital”. El objetivo es alterar la apariencia de un sitio para transmitir un mensaje, dejar una marca o simplemente demostrar que se puede. En general, no se roba información ni se instala software malicioso, aunque eso no significa que no represente un riesgo.
La técnica consiste en ingresar al panel de control del sitio —a través de una vulnerabilidad, contraseña débil o credencial filtrada— y reemplazar sus contenidos por otros. Puede incluir imágenes, mensajes políticos, videos, amenazas o burlas. En muchos casos, como este, se utiliza una calavera como firma, acompañada de hashtags y links a canales de Telegram u otras redes.
El término viene del inglés deface (desfigurar), y alude justamente a la alteración de la “cara” de una web. Aunque es menos sofisticado que otros ciberataques, puede generar un gran impacto público, sobre todo si afecta a medios de comunicación o sitios oficiales.
Más allá de las intenciones del atacante, el episodio deja en evidencia los riesgos de no implementar medidas básicas de ciberseguridad. El uso de contraseñas robustas y únicas, la activación del segundo factor de autenticación y la actualización constante del software son recursos esenciales para prevenir este tipo de intrusiones.
Clarin
