Europol confirma la existencia de una brecha en su portal web

Europol, la agencia policial de la Unión Europea, ha confirmado que su portal Europol Platform for Experts (EPE) ha sufrido una violación y que actualmente está investigando el incidente después de que un actor de amenazas afirmara haber robado documentos para uso oficial (FOUO) que contenían datos clasificados.

La EPE es una plataforma en línea que los expertos en aplicación de la ley utilizan para «compartir conocimientos, mejores prácticas y datos sobre delitos no personales».

«Europol tiene conocimiento del incidente y está evaluando la situación. Ya se han tomado las primeras medidas. El incidente afecta a un grupo cerrado de usuarios de la Plataforma de Expertos de Europol (EPE)», ha explicado Europol a CiberNovedades.

«En esta aplicación EPE no se procesa ninguna información operativa. Ningún sistema central de Europol está afectado y, por lo tanto, ningún dato operativo de Europol se ha visto comprometido».

CiberNovedades también preguntó cuándo se produjo la brecha y si es cierto que se robaron documentos FOUO y clasificados como afirma el actor de la amenaza, pero no se obtuvo una respuesta de inmediato.

Los expedientes personales de Catherine De Bolle, directora ejecutiva de Europol, y de otros altos cargos de la agencia también se filtraron antes de septiembre de 2023, tal y como informó Politico en marzo.

«El 6 de septiembre de 2023, la dirección de Europol fue informada de la desaparición de los ficheros personales de varios miembros del personal de Europol», indica una nota fechada el 18 de septiembre y difundida en un sistema de mensajería interna.

«Dado el papel de Europol como autoridad policial, la desaparición de los expedientes personales de los miembros del personal es un incidente grave en términos de seguridad y violación de los datos personales».

En el momento de la publicación, el sitio web de la EPE estaba fuera de línea y un mensaje indicaba que el servicio no estaba disponible debido a tareas de mantenimiento.

IntelBroker, el actor de la amenaza que está detrás de las acusaciones de violación de datos, describe los archivos como FOUO y que contienen datos clasificados.

El actor de la amenaza afirma que los datos supuestamente robados incluyen información de empleados de la alianza, código fuente FOUO, PDF y documentos de reconocimiento y orientación.

También afirma haber accedido a EC3 SPACE (Plataforma segura para expertos acreditados en ciberdelincuencia), una de las comunidades del portal EPE, que alberga cientos de documentos relacionados con la ciberdelincuencia y es utilizada por más de 6.000 expertos acreditados en ciberdelincuencia de todo el mundo, entre ellos:

  • Autoridades policiales de los Estados miembros de la UE y de países no pertenecientes a la UE;
  • Autoridades judiciales, instituciones académicas, empresas privadas, organizaciones no gubernamentales e internacionales;
  • Personal de Europol

IntelBroker también afirma haber puesto en peligro la plataforma SIRIUS, utilizada por autoridades judiciales y policiales de 47 países, entre ellos Estados miembros de la UE, el Reino Unido, países con un acuerdo de cooperación con Eurojust y la Fiscalía Europea (EPPO).

SIRIUS se utiliza para acceder a pruebas electrónicas transfronterizas en investigaciones y procedimientos penales.

Además de capturas de pantalla de la interfaz de usuario en línea de EPE, IntelBroker también ha filtrado una pequeña muestra de una base de datos EC3 SPACE que supuestamente contiene 9.128 registros. La muestra contiene lo que parece ser información personal de agentes de la ley y expertos en ciberdelincuencia con acceso a la comunidad EC3 SPACE.

«PRECIO: Enviar ofertas. SÓLO XMR. Envíeme un mensaje en los foros para un punto de contacto. Se requiere prueba de fondos. Sólo vendo a miembros de buena reputación», dijo el actor de la amenaza en un mensaje publicado en un foro de hacking el viernes.

¿Quién es IntelBroker?

Desde diciembre, este actor de amenazas ha estado filtrando datos que supuestamente robó de varias agencias gubernamentales, como ICE y USCIS, el Departamento de Defensa y el Ejército de Estados Unidos.

No está claro si estos incidentes también están relacionados con la supuesta filtración de datos de Five Eyes de abril de 2024, pero algunos de los datos filtrados en el mensaje del foro de ICE/USCIS se solapan con el mensaje de Five Eyes.

IntelBroker saltó a la fama tras entrar en DC Health Link, que gestiona los planes de salud de los miembros de la Cámara de Representantes de Estados Unidos, su personal y sus familias.

La brecha dio lugar a una audiencia en el Congreso tras quedar expuestos los datos personales de 170.000 personas, entre ellas miembros y personal de la Cámara de Representantes de Estados Unidos.

Otros incidentes de ciberseguridad relacionados con este actor de la amenaza incluyen violaciones en Hewlett Packard Enterprise (HPE), Home Depot, el servicio de comestibles Weee! y una supuesta violación en General Electric Aviation.

A principios de esta semana, IntelBroker también comenzó a vender información de acceso a la red de la empresa de seguridad en la nube Zscaler (es decir, «registros llenos de credenciales, acceso SMTP, acceso de autenticación de puntero PAuth, claves SSL y certificados SSL»).

Zscaler confirmó más tarde que había descubierto un «entorno de pruebas aislado» expuesto en línea, que fue desconectado para su análisis forense, aunque ninguna empresa, cliente o entorno de producción se vio afectado. Zscaler también ha contratado a una empresa de respuesta a incidentes para llevar a cabo una investigación independiente.