El objetivo principal es reseñar aquellos incidentes de seguridad que hayan culminado en filtración de datos de usuarios, registrando entidades tanto públicas como privadas.
De cada incidente se detalla información sobre las partes involucradas: las víctimas - tanto la entidad vulnerada como sus usuarios -, incluyendo cantidad de registros expuestos y si incluían información sensible
Sobre el actor de amenazas se incluyen una descripción detallada de su actividad, motivaciones, objetivos y procedimientos.
Esto apunta a brindar mayor transparencia en el manejo de estos incidentes, a dar trazabilidad sobre los datos filtrados (muchos aún disponibles en internet) y responsabilizar a quienes los solicitan, procesan y almacenan sin contemplar las medidas de seguridad requeridas.
En términos simples, un hash es una operación criptográfica que genera identificadores únicos e irrepetibles a partir de una información dada, como un email o una clave. Es un proceso irreversible, ya que no es posible obtener el contenido original a partir de un hash y es de gran utilidad a la hora de almacenar datos sensibles.
Por ejemplo, el hash (SHA-256) para "MeFiltraron" es 3125236aa07aec798d87e3e89d13aead5e973239a7ccf61df6230ca8049713b2.
Un defacement es un ataque orientado a cambiar la apariencia visual de un sitio web por otra provista por el atacante. Es una técnica adoptada ampliamente por grupos hacktivistas para colocar mensajes en sitios específicos de su interés.
Un DDoS (Distributed Denial of Service) o ataque distribuido de denegación de servicio consiste en llevar a cabo una serie de peticiones masivas automatizadas, a menudo corruptas o incompletas, con el fin de agotar la capacidad de respuesta de un servicio o aplicación. Esto limita su capacidad de respuesta ante peticiones legítimas y, en última instancia, afecta a su disponibilidad.
Son archivos de texto que contienen "combos", es decir, una combinación de usuarios y contraseñas filtradas en formato usuario:contraseña. Suelen ser recopilaciones de distintos orígenes y muchas veces son "curadas" por distintos actores de amenazas para hacerlas más específicas (por ejemplo filtrando por región, país o tipo de plataforma vulnerada). Por esto último, es muy probable que tras una única filtración original, un juego de credenciales termine formando parte de varias combolists.
En términos generales, es un programa malicioso destinado a dañar el equipo, sustraer información o espiar al usuario.
Es un tipo de programa malicioso destinado a robar las credenciales de acceso de la víctima infectada. Las mismas suelen venderse en foros y canales especializados en forma individual o en lotes ordenados por categorías (como servicios de streaming, plataformas de juegos, o de un país en particular).
Un tipo de programa malicioso complejo que encripta los datos de la víctima y solicita un rescate monetario. Si la víctima no paga, todos sus archivos son filtrados públicamente. Estas filtraciones suelen incluir claves y otra información sensible. Las operaciones de Ransomware suelen ser ejecutadas por grupos organizados y en constante evolución.
Los ataques a infraestructura crítica son acciones maliciosas dirigidas a sistemas y redes que son fundamentales para el funcionamiento de una sociedad, como la energía, el transporte, la salud y la seguridad. Estos ataques buscan interrumpir o dañar estas infraestructuras, lo que puede tener impactos significativos en la vida cotidiana.
El hacktivismo es una forma de ciberactivismo en la que individuos o grupos utilizan técnicas de hacking para promover causas políticas o sociales. Los hacktivistas se manifiestan de distintas maneras como la difusión de información, la interrupción de sitios web o servicios en línea, o incluso la filtración de datos confidenciales.
A veces es necesario registrar sucesos que son interpretados por actores de amenazas, pero que no necesariamente constituyen ciberincidentes. Esto incluye eventos como alianzas, enemistades, arrestos o retiros, que entran en esta categoría.
Un ciberataque patrocinado por el estado ocurre cuando un país o gobierno utiliza sus recursos para llevar a cabo un ataque informático con el propósito de obtener información, causar daño o influir en otros países o instituciones. Estos ataques pueden ser sofisticados y a gran escala, y a menudo tienen objetivos estratégicos, como la obtención de secretos gubernamentales o el debilitamiento de la infraestructura de otros países.
Tero cuenta con instancias que representan tanto países como conflictos. Las instancias de países se enfocan en ciberincidentes que afectan a una nación específica, mientras que las de conflictos abarcan ciberincidentes que involucran múltiples países y actores, considerando alianzas y enfrentamientos complejos entre ellos.
Toda filtración debe ser tenida en cuenta, independientemente de la gravedad. Las filtraciones deben ser entendidas desde dos ópticas: la absoluta ("qué implica esta filtración en particular") y la relativa ("¿cómo puede un actor malicioso utilizar esta filtración en conjunto con otras filtraciones para hacerme daño?"). Una filtración donde aparezcan algunos datos básicos puede parecer inofensiva en principio, pero varias combinadas pueden ser potencialmente peligrosas para las víctimas, exponiéndolas a delitos como el robo de identidad o a posibles estafas.
No. Los usuarios sólo pueden consultar una dirección de correo a la vez y en forma manual. No ofrecemos acceso vía API ni la opción de descargar la base de datos.
Tero busca información en foros y canales de chat especializados, plataformas de alojamiento de texto ("pastes") y de archivos disponibles públicamente. Tero no descarga, almacena ni transmite las filtraciones almacenadas en dichas plataformas.
Tero utiliza únicamente filtraciones disponibles en forma pública y gratuita. Sobre aquellas filtraciones por las que haya que pagar sólo indexaremos cualquier muestra gratuita que el actor de amenazas ofrezca. Por otro lado, limpiamos muchas de las filtraciones eliminando resultados repetidos o no ligados al país representado en la instancia de Tero.
En ocasiones encontramos emails que podrían no representar a una persona real (direcciones genéricas como "test@..." o con dominios inexistentes), sin embargo decidimos incluirlas ya que -siempre y cuando la filtración incluya contraseñas- podrían representar un juego de credenciales válido para la plataforma vulnerada.
En ocasiones se conocen ataques de ransomware que exponen datos sensibles de víctimas, por lo que no son procesados por Tero. En estos casos, Tero sólo registra la dirección de contacto pública de la víctima a fines de poder documentar el caso en la plataforma.
La información filtrada suele permanecer en internet por siempre. La mejor manera de controlar el daño causado por una filtración es modificar tanta información filtrada como sea posible, para invalidarla: cambiar claves, pins, nombres de usuario; solicitar la reemisión de documentos (en medida de lo posible), tarjetas y cualquier otro tipo de credencial.
Es necesario entender que mucha información no puede ser modificada fácilmente (como en el caso de documentos fiscales o de gobierno), o simplemente no puede ser modificada en absoluto (como en el caso de los datos biométricos). Es por esto que a futuro y como medida preventiva, es importante brindar la mínima información necesaria en cada plataforma que utilicemos, entender de antemano el impacto que podría tener una eventual filtración de la misma, y tomar medidas proactivas como utilizar siempre -y en medida de lo posible- datos únicos para cada sitio.
No. La plataforma no conoce ni almacena emails ni contraseñas. Tero sólo indexa hashes de direcciones de correo.
#Ejemplo real de una consulta SQL a la base de datos de MeFiltraron
#Todos los emails están hasheados
> SELECT * FROM victims LIMIT 3;
a474daa779302a51a1bfdabedaffd977db1628bf2e735aa2f8295652dd59a78b | 23
c4c054140dca5680b49c8c39c711fae92dd26d658b9ffe842f31ccd334c583c9 | 23
546612dcea6736063890a0e9e8bc632ddec26d99f3611b7a5f51d80fe5e536c2 | 23
Cuando un usuario busca una dirección de correo, Tero le aplica la misma función de hashing usada al momento de indexar direcciones encontradas en filtraciones. Tero en realidad no busca en su base de datos la dirección de correo, sino que busca el hash generado por el usuario.
Nuestra base de datos sólo contiene información contextual sobre las filtraciones (fecha del incidente, si se vio comprometida información sensible, y qué actor perpetró el ciberataque) y datos biográficos sobre los actores de amenazas (período de actividad, víctimas conocidas en la región, tácticas y objetivos). Tero no conoce ni accede al contenido de las filtraciones.
No. Por transparencia sólo registramos en nuestros logs las solicitudes realizadas (pero no su contenido), y la IP de origen de nuestro proveedor de seguridad (Cloudflare). Por otro lado, Cloudflare y Google almacenan las solicitudes realizadas por el usuario (nuevamente, sin contenido) y su dirección IP.
#Ejemplo real de un log de MeFiltraron
#Todas las direcciones IP pertenecen a Cloudflare
141.101.98.64 - - [27/Feb/2023:16:37:19 +0000] "POST / HTTP/1.1" 200 6201 0.0543
141.101.98.79 - - [27/Feb/2023:16:38:11 +0000] "POST / HTTP/1.1" 200 6201 0.0389
141.101.98.64 - - [27/Feb/2023:16:38:32 +0000] "POST / HTTP/1.1" 200 6201 0.0442
141.101.98.79 - - [27/Feb/2023:16:40:28 +0000] "GET /leaks HTTP/1.1" 200 131205 0.0088
141.101.98.79 - - [27/Feb/2023:16:40:41 +0000] "GET /actors HTTP/1.1" 200 46572 0.0111
141.101.99.128 - - [27/Feb/2023:16:43:01 +0000] "POST / HTTP/1.1" 200 6201 0.0569
141.101.99.128 - - [27/Feb/2023:16:43:14 +0000] "POST / HTTP/1.1" 200 6201 0.0477
141.101.99.128 - - [27/Feb/2023:16:43:25 +0000] "POST / HTTP/1.1" 200 6201 0.0480
141.101.99.128 - - [27/Feb/2023:16:43:35 +0000] "POST / HTTP/1.1" 200 6201 0.0431
141.101.99.143 - - [27/Feb/2023:16:44:51 +0000] "GET / HTTP/1.1" 200 6201 0.0011
141.101.99.143 - - [27/Feb/2023:16:44:57 +0000] "GET / HTTP/1.1" 200 6201 0.0014
141.101.98.79 - - [27/Feb/2023:16:50:53 +0000] "GET /region HTTP/1.1" 200 4745 0.0010
141.101.99.127 - - [27/Feb/2023:17:07:37 +0000] "POST / HTTP/1.1" 200 6201 0.0619
141.101.99.127 - - [27/Feb/2023:17:08:07 +0000] "POST / HTTP/1.1" 200 6201 0.0430
141.101.99.127 - - [27/Feb/2023:17:09:35 +0000] "GET /about HTTP/1.1" 200 4326 0.0038
141.101.99.127 - - [27/Feb/2023:17:10:16 +0000] "GET /actors HTTP/1.1" 200 46572 0.0031
Mostramos este aviso en cumplimiento con distintas regulaciones vigentes, pero Tero no utiliza cookies de seguimiento o con fines publicitarios (de hecho, Tero funciona sin publicidad). Las únicas cookies utilizadas provienen de terceros como nuestros prestadores de seguridad y se consideran necesarias para el uso de la plataforma.
Recientemente anunciamos nuestro partnership con distintas compañías de inteligencia de amenazas como Birmingham Cyber Arms LTD, intercambiando información sobre incidentes y actores maliciosos para fortalecer mutuamente nuestras plataformas.
Es por eso que varias de nuestras fichas de incidentes y actores muestran links a sus plataformas, adjuntando la insignia Partner. Algunos de estos enlaces podrían requerir una suscripción activa a sus plataformas para poder ser visitados, mostrando la insignia Premium.
Tero es y continuará siendo un producto gratuito.
¡Muchas gracias!, pero no recibimos donaciones.
No.
No.