Un actor de amenazas ha publicado un post en un foro de la dark web en el que pone a la venta una base de datos que, supuestamente, proviene de la Federación Española de Atletismo (RFEA).
Según su publicación esta base de datos completa contiene unas 500.000 líneas de información. No obstante, el subconjunto que se ha filtrado muestra solo entradas con datos completos y válidos.
Entre los detalles expuestos hay números de DNI, números de teléfono, nombres completos, fechas de nacimiento y direcciones.
Por ahora el pirata informático no ha revelado cómo ha obtenido acceso a toda esta información personal y se ha tratado de algún archivo mal protegido que estuviera online.
El que no corre vuela
El pirata informático autor del anuncio, conocido como 7lef y con actividad en el foro desde mediados del año pasado, se jacta de que los datos han sido "completamente formateados" sin duplicados ni números de documentos nacionales de identidad inválidos.
Se calcula que habría 140.000 personas afectas por la filtración de datos de la RFEA.
Para poder llevar a cabo las negociaciones y establecer comunicación con las partes interesadas este ciberdelincuente ha compartido, además, una cuenta de Telegram.
Desde Escudo Digital nos hemos puesto en contacto con el departamento de prensa de la federación y por el momento no hemos obtenido respuesta para confirmar o desmentir la información. Actualizaremos la noticia en el caso de recibirla.
Actualización 6 de septiembre a las 10.30h:
El departamento de prensa de la RFEA se ha puesto en contacto con nosotros remitiéndonos al comunicado que han compartido con sus socios el 5 de septiembre. En el mismo señalan que si bien los informes preliminares no confirman una brecha de seguridad, les recomiendan que "extremen las precauciones habituales en el uso de sus datos personales". Además, se comprometen a "mantenerlos informados de cualquier avance significativo en esta investigación".
La federación ha iniciado una investigación y asegura que "tras un primer análisis preliminar por parte de nuestros proveedores tecnológicos, no se ha encontrado evidencia concluyente de una filtración generalizada de datos personales. Los informes iniciales indican que no ha habido accesos no autorizados generalizados a la información de nuestros federados".
Además, han denunciado esta alerta ante la Agencia Española de Protección de Datos (AEPD) y la Unidad de Ciberdelincuencia de la Policía Nacional. "Asimismo, hemos implementado medidas adicionales de ciberseguridad y continuamos con un monitoreo constante de nuestros sistemas", apostillan.