¿Hubo un hackeo a Llave CDMX que puso en riesgo contraseñas de usuarios? Esto se sabe

Si eres usuario de Llave CDMX, esto te interesa. Eduardo Clarck emitió un posicionamiento sobre el supuesto hackeo a datos de usuarios.

Luego de que en días pasados circuló en redes sociales y medios de comunicación información sobre una presunta vulneración al sistema Llave CDMX, el titular de la Agencia Digital de Innovación Pública, Eduardo Clarck, emitió un posicionamiento en el que informó sobre los análisis realizados al respecto por la dependencia que encabeza. Asimismo, informó sobre la medida que se adoptará para reforzar la seguridad.

Aquí te contamos todo el contexto y la información más reciente.

Llave CDMX
Foto: Gobierno de CDMX

Reportan robo de usuarios y contraseñas de Llave CDMX

El 21 de mayo el experto en ciberseguridad Víctor Ruiz publicó en su cuenta de la red social X que grupos de ciberdelincuentes anónimos accedieron a las credenciales de usuarios de la plataforma gubernamental Llave CDMX.

Ruiz mostró capturas de pantalla en las que se observa el acceso a varias cuentas de la plataforma con la que ciudadanos de CDMX autentifican su identidad digital para realizar trámites y servicios en la administración pública del gobierno capitalino y de las alcaldías.

Al respecto, el experto aseguró que “este incidente afectaría a aproximadamente 6.3 millones de usuarios”. Por ello, recomendó a quienes tengan una cuenta en Llave CDMX cambiar su contraseña de forma inmediata.

Sobre los datos de usuarios que podrían estar en riesgo, comentó que “La plataforma recopila una serie de datos personales, que incluyen nombre, CURP, fecha de nacimiento, dirección de correo electrónico, número de teléfono celular, género, así como información sobre los trámites y servicios realizados por el usuario”.

Sin evidencia de vulneración: Eduardo Clarck

En respuesta, el titular de la Agencia Digital de Innovación Pública, Eduardo Clarck, informó que la dependencia inició una investigación sin encontrar evidencias de alguna vulneración.

Asimismo, negó que Llave CDMX guarde las contraseñas de los usuarios:

Llave no guarda contraseñas, guarda solo un hash seguro. Sería imposible que tuvieran las credenciales, ya que por protocolo no existe una lista de usuarios y contraseñas claras. Ni nosotros la tenemos”, escribió en su cuenta de X.

Respecto a las capturas de pantalla de accesos al sistema con distintas cuentas, Clarck dijo que ello no implica que Llave CDMX haya sido hackeada. En contraste, opinó que “es más probable [que los responsables] hayan obtenido los datos personales de un pequeño número de individuos de forma ilegal“. A manera de analogía, señaló que “a veces hay filtraciones de cuentas de email”, lo cual “no significa que google haya sido hackeado, sino que alguien robó credenciales personales”.

Activarán doble autentificación en Llave CDMX

En una publicación posterior, Clarck repitió que el equipo de la ADIP “no ha encontrado evidencia de un acceso no autorizado al sistema llave”. También descartó que al momento exista evidencia de alguna intrusión o conducta sospechosa. No obstante, informó que se seguirá investigando.

Agregó que “la propia ADIP, siguiendo las mejores prácticas globales, no guarda contraseñas”:

“No existe y no puede existir una base como la que se reporta que ha sido filtrada”, sentenció.

Agregó que el sistema es tan seguro que tomaría 9.5 años poder hackear una contraseña con un ataque de fuerza bruta. Sin embargo, dijo que, como medida preventiva, se activará un segundo factor de autentificación en Llave CDMX.

Esto quiere decir que, además de su contraseña, las personas usuarias deberán introducir un código que se les enviará vía email o SMS para ingresar a su cuenta. Así será posible verificar que, en efecto, se trata del titular de la cuenta tratando de ingresar.

“De esta manera buscamos dar tranquilidad”, finalizó.

 

Ver esta publicación en Instagram

 

Una publicación compartida por Chilango (@chilangocom)

Chilango Menú Footer Chilango recomienda