#MeFiltraron


🔍 MeFiltraron es una instancia de Tero, nuestro Motor de Búsqueda de Filtraciones y Enciclopedia de Ciberincidentes.

👤 Cualquier persona puede consultar y verificar si sus datos fueron filtrados ingresando su dirección de correo.

⛔ Tero no conoce ni almacena correos o contraseñas filtradas, ni guarda las búsquedas realizadas .

🏠 Inicio 🌎 Países 🏴‍☠️ Incidentes 🥷🏻 Actores 💉 Malware 🍪 Cookies 👁️ Privacidad ❓ FAQ 🗞️ Prensa 👥 Nosotros


FAQ


¿Qué es Tero?

Tero es un motor de búsqueda de filtraciones similar a Have I Been Pwnd. Permite a los usuarios buscar si su dirección de email aparece listada en alguna filtración masiva de datos, e indica si pudo haberse filtrado información sensible, como contraseñas.


¿Qué es una filtración de datos?

Las filtraciones son incidentes de seguridad donde se exponen datos internos - muchas veces sensibles - de los usuarios de un sistema o plataforma. Estos datos suelen terminar publicados o a la venta en distintos canales de internet por actores de amenazas.


¿Por qué debería preocuparme si mis datos están filtrados?

Toda información personal es valiosa para actores maliciosos, que pueden recopilarla y aprovecharla para cometer delitos como robo, fraude y/o suplantación de identidad.


¿Para qué sirve Tero?

El objetivo principal es reseñar aquellos incidentes de seguridad que hayan culminado en filtración de datos de usuarios, registrando entidades tanto públicas como privadas.

De cada incidente se detalla información sobre las partes involucradas: las víctimas - tanto la entidad vulnerada como sus usuarios -, incluyendo cantidad de registros expuestos y si incluían información sensible

Sobre el actor de amenazas se incluyen una descripción detallada de su actividad, motivaciones, objetivos y procedimientos.

Esto apunta a brindar mayor transparencia en el manejo de estos incidentes, a dar trazabilidad sobre los datos filtrados (muchos aún disponibles en internet) y responsabilizar a quienes los solicitan, procesan y almacenan sin contemplar las medidas de seguridad requeridas.


¿Qué es un Actor de Amenazas?

Los actores de amenazas o actores maliciosos son aquellos grupos o individuos que amenazan o comprometen la seguridad de una organización. Tero cubre mayormente actores dedicados a la filtración de datos (volcados de plataformas, logs de stealers y/o combolists) y Ransomware.


¿Qué es un "volcado" de una plataforma?

Un volcado sucede cuando un atacante tuvo acceso a descargar la totalidad de los datos de una plataforma ("volcarla"). Estas filtraciones suelen incluir claves, hashes y otra información sensible.


¿Qué es un hash?

En términos simples, un hash es una operación criptográfica que genera identificadores únicos e irrepetibles a partir de una información dada, como un email o una clave. Es un proceso irreversible, ya que no es posible obtener el contenido original a partir de un hash y es de gran utilidad a la hora de almacenar datos sensibles.
Por ejemplo, el hash (SHA-256) para "MeFiltraron" es 3125236aa07aec798d87e3e89d13aead5e973239a7ccf61df6230ca8049713b2.


¿Qué es un defacement?

Un defacement es un ataque orientado a cambiar la apariencia visual de un sitio web por otra provista por el atacante. Es una técnica adoptada ampliamente por grupos hacktivistas para colocar mensajes en sitios específicos de su interés.


¿Qué es un ataque DDoS?

Un DDoS (Distributed Denial of Service) o ataque distribuido de denegación de servicio consiste en llevar a cabo una serie de peticiones masivas automatizadas, a menudo corruptas o incompletas, con el fin de agotar la capacidad de respuesta de un servicio o aplicación. Esto limita su capacidad de respuesta ante peticiones legítimas y, en última instancia, afecta a su disponibilidad.


¿Qué es una Combolist?

Son archivos de texto que contienen "combos", es decir, una combinación de usuarios y contraseñas filtradas en formato usuario:contraseña. Suelen ser recopilaciones de distintos orígenes y muchas veces son "curadas" por distintos actores de amenazas para hacerlas más específicas (por ejemplo filtrando por región, país o tipo de plataforma vulnerada). Por esto último, es muy probable que tras una única filtración original, un juego de credenciales termine formando parte de varias combolists.


¿Qué es un Stealer?

Es un tipo de programa malicioso destinado a robar las credenciales de acceso de la víctima infectada. Las mismas suelen venderse en foros y canales especializados en forma individual o en lotes ordenados por categorías (como servicios de streaming, plataformas de juegos, o de un país en particular).


¿Qué es Ransomware?

Un tipo de programa malicioso -malware- complejo que encripta los datos de la víctima y solicita un rescate monetario. Si la víctima no paga, todos sus archivos son filtrados públicamente. Estas filtraciones suelen incluir claves y otra información sensible. Las operaciones de Ransomware suelen ser ejecutadas por grupos organizados y en constante evolución.


¿Qué son los ciberataques a la infraestructura crítica?

Los ataques a infraestructura crítica son acciones maliciosas dirigidas a sistemas y redes que son fundamentales para el funcionamiento de una sociedad, como la energía, el transporte, la salud y la seguridad. Estos ataques buscan interrumpir o dañar estas infraestructuras, lo que puede tener impactos significativos en la vida cotidiana.


¿Qué es el Hacktivismo?

El hacktivismo es una forma de ciberactivismo en la que individuos o grupos utilizan técnicas de hacking para promover causas políticas o sociales. Los hacktivistas se manifiestan de distintas maneras como la difusión de información, la interrupción de sitios web o servicios en línea, o incluso la filtración de datos confidenciales.


¿Qué es un Evento?

A veces es necesario registrar sucesos que son interpretados por actores de amenazas, pero que no necesariamente constituyen ciberincidentes. Esto incluye eventos como alianzas, enemistades, arrestos o retiros, que entran en esta categoría.


¿Qué son los ciberataques patrocinados por un Estado?

Un ciberataque patrocinado por el estado ocurre cuando un país o gobierno utiliza sus recursos para llevar a cabo un ataque informático con el propósito de obtener información, causar daño o influir en otros países o instituciones. Estos ataques pueden ser sofisticados y a gran escala, y a menudo tienen objetivos estratégicos, como la obtención de secretos gubernamentales o el debilitamiento de la infraestructura de otros países.


¿Por qué algunas instancias representan conflictos y no países?

Tero cuenta con instancias que representan tanto países como conflictos. Las instancias de países se enfocan en ciberincidentes que afectan a una nación específica, mientras que las de conflictos abarcan ciberincidentes que involucran múltiples países y actores, considerando alianzas y enfrentamientos complejos entre ellos.


Aparezco en una filtración ¿puedo saber qué datos han publicado sobre mí?

Tero sólo informa sobre direcciones de correo filtradas (y si la filtración incluyó contraseñas). Dependiendo de la naturaleza del sistema afectado, la filtración puede incluir (o no) otro tipo de información sensible no contemplada hasta el momento.


Mi correo electrónico ha sido filtrado, pero no mi clave ¿esto es grave igual?

Toda filtración debe ser tenida en cuenta, independientemente de la gravedad. Las filtraciones deben ser entendidas desde dos ópticas: la absoluta ("qué implica esta filtración en particular") y la relativa ("¿cómo puede un actor malicioso utilizar esta filtración en conjunto con otras filtraciones para hacerme daño?"). Una filtración donde aparezcan algunos datos básicos puede parecer inofensiva en principio, pero varias combinadas pueden ser potencialmente peligrosas para las víctimas, exponiéndolas a delitos como el robo de identidad o a posibles estafas.


¿Puedo descargar la base de datos de Tero o consultarla via API?

No. Los usuarios sólo pueden consultar una dirección de correo a la vez y en forma manual. No ofrecemos acceso vía API ni la opción de descargar la base de datos.


¿Pueden compartirme los enlaces a las filtraciones?

No.


¿Cuáles son las fuentes de información utilizadas por Tero?

Tero busca información en foros y canales de chat especializados, plataformas de alojamiento de texto ("pastes") y de archivos disponibles públicamente. Tero no descarga, almacena ni transmite las filtraciones almacenadas en dichas plataformas.


Faltan filtraciones / Una filtración listada está incompleta

Tero utiliza únicamente filtraciones disponibles en forma pública y gratuita. Sobre aquellas filtraciones por las que haya que pagar sólo indexaremos cualquier muestra gratuita que el actor de amenazas ofrezca. Por otro lado, limpiamos muchas de las filtraciones eliminando resultados repetidos o no ligados al país representado en la instancia de Tero.


Una dirección de correo incluída en una filtración es falsa / no parece válida

En ocasiones encontramos emails que podrían no representar a una persona real (direcciones genéricas como "test@..." o con dominios inexistentes), sin embargo decidimos incluirlas ya que -siempre y cuando la filtración incluya contraseñas- podrían representar un juego de credenciales válido para la plataforma vulnerada.


¿Por qué hay filtraciones que tienen sólo una víctima?

En ocasiones se conocen ataques de ransomware que exponen datos sensibles de víctimas, por lo que no son procesados por Tero. En estos casos, Tero sólo registra la dirección de contacto pública de la víctima a fines de poder documentar el caso en la plataforma.


¿Qué debería hacer si mis datos aparecen filtrados?

La información filtrada suele permanecer en internet por siempre. La mejor manera de controlar el daño causado por una filtración es modificar tanta información filtrada como sea posible, para invalidarla: cambiar claves, pins, nombres de usuario; solicitar la reemisión de documentos (en medida de lo posible), tarjetas y cualquier otro tipo de credencial.

Es necesario entender que mucha información no puede ser modificada fácilmente (como en el caso de documentos fiscales o de gobierno), o simplemente no puede ser modificada en absoluto (como en el caso de los datos biométricos). Es por esto que a futuro y como medida preventiva, es importante brindar la mínima información necesaria en cada plataforma que utilicemos, entender de antemano el impacto que podría tener una eventual filtración de la misma, y tomar medidas proactivas como utilizar siempre -y en medida de lo posible- datos únicos para cada sitio.


Transparencia


¿Tero guarda direcciones de correo o contraseñas filtradas?

No. La plataforma no conoce ni almacena emails ni contraseñas. Tero sólo indexa hashes de direcciones de correo.


#Ejemplo real de una consulta SQL a la base de datos de MeFiltraron
#Todos los emails están hasheados

> SELECT * FROM victims LIMIT 3;
a474daa779302a51a1bfdabedaffd977db1628bf2e735aa2f8295652dd59a78b    |   23
c4c054140dca5680b49c8c39c711fae92dd26d658b9ffe842f31ccd334c583c9    |   23
546612dcea6736063890a0e9e8bc632ddec26d99f3611b7a5f51d80fe5e536c2    |   23
                        
Si las direcciones de correo están hasheadas ¿Cómo puede leerlas Tero?

Cuando un usuario busca una dirección de correo, Tero le aplica la misma función de hashing usada al momento de indexar direcciones encontradas en filtraciones. Tero en realidad no busca en su base de datos la dirección de correo, sino que busca el hash generado por el usuario.


¿Qué datos almacena Tero?

Nuestra base de datos sólo contiene información contextual sobre las filtraciones (fecha del incidente, si se vio comprometida información sensible, y qué actor perpetró el ciberataque) y datos biográficos sobre los actores de amenazas (período de actividad, víctimas conocidas en la región, tácticas y objetivos). Tero no conoce ni accede al contenido de las filtraciones.


¿Tero almacena mi IP o las búsquedas realizadas?

No. Por transparencia sólo registramos en nuestros logs las solicitudes realizadas (pero no su contenido), y la IP de origen de nuestro proveedor de seguridad (Cloudflare). Por otro lado, Cloudflare y Google almacenan las solicitudes realizadas por el usuario (nuevamente, sin contenido) y su dirección IP.


#Ejemplo real de un log de MeFiltraron
#Todas las direcciones IP pertenecen a Cloudflare

141.101.98.64  - - [27/Feb/2023:16:37:19 +0000] "POST / HTTP/1.1" 200 6201 0.0543
141.101.98.79  - - [27/Feb/2023:16:38:11 +0000] "POST / HTTP/1.1" 200 6201 0.0389
141.101.98.64  - - [27/Feb/2023:16:38:32 +0000] "POST / HTTP/1.1" 200 6201 0.0442
141.101.98.79  - - [27/Feb/2023:16:40:28 +0000] "GET /leaks HTTP/1.1" 200 131205 0.0088
141.101.98.79  - - [27/Feb/2023:16:40:41 +0000] "GET /actors HTTP/1.1" 200 46572 0.0111
141.101.99.128 - - [27/Feb/2023:16:43:01 +0000] "POST / HTTP/1.1" 200 6201 0.0569
141.101.99.128 - - [27/Feb/2023:16:43:14 +0000] "POST / HTTP/1.1" 200 6201 0.0477
141.101.99.128 - - [27/Feb/2023:16:43:25 +0000] "POST / HTTP/1.1" 200 6201 0.0480
141.101.99.128 - - [27/Feb/2023:16:43:35 +0000] "POST / HTTP/1.1" 200 6201 0.0431
141.101.99.143 - - [27/Feb/2023:16:44:51 +0000] "GET / HTTP/1.1" 200 6201 0.0011
141.101.99.143 - - [27/Feb/2023:16:44:57 +0000] "GET / HTTP/1.1" 200 6201 0.0014
141.101.98.79  - - [27/Feb/2023:16:50:53 +0000] "GET /region HTTP/1.1" 200 4745 0.0010
141.101.99.127 - - [27/Feb/2023:17:07:37 +0000] "POST / HTTP/1.1" 200 6201 0.0619
141.101.99.127 - - [27/Feb/2023:17:08:07 +0000] "POST / HTTP/1.1" 200 6201 0.0430
141.101.99.127 - - [27/Feb/2023:17:09:35 +0000] "GET /about HTTP/1.1" 200 4326 0.0038
141.101.99.127 - - [27/Feb/2023:17:10:16 +0000] "GET /actors HTTP/1.1" 200 46572 0.0031
                        
¿Por qué veo un aviso de cookies? ¿Tero puede rastrear mi actividad en otros sitios?

Mostramos este aviso en cumplimiento con distintas regulaciones vigentes, pero Tero no utiliza cookies de seguimiento o con fines publicitarios (de hecho, Tero funciona sin publicidad). Las únicas cookies utilizadas provienen de terceros como nuestros prestadores de seguridad y se consideran necesarias para el uso de la plataforma.


¿Por qué algunos links tienen insignias como "Partner" o "Premium"? ¿Tero será comercial a partir de ahora?

Recientemente anunciamos nuestro partnership con distintas compañías de inteligencia de amenazas como Birmingham Cyber Arms LTD, intercambiando información sobre incidentes y actores maliciosos para fortalecer mutuamente nuestras plataformas.

Es por eso que varias de nuestras fichas de incidentes y actores muestran links a sus plataformas, adjuntando la insignia Partner. Algunos de estos enlaces podrían requerir una suscripción activa a sus plataformas para poder ser visitados, mostrando la insignia Premium.

Tero es y continuará siendo un producto gratuito.


Volver