El segundo paso fue conseguir las credenciales de varios funcionarios del juzgado de Bilbao a través del envío de una página web falsa a sus correos electrónicos simulando el acceso al punto neutro judicial. Fue un caso claro de phishing en el que cayeron ambos funcionarios al proporcionar contraseña y usuario que le permitió acceder al sistema judicial, y después a la base de datos de Hacienda.

#3 los test de phishing últimamente son suspenso el que lee el correo y sabe que es falso pero no lo reporta como tal, usando la propia herramienta de Outlook o reenviando el correo.

#4 Siempre, la mejor política de seguridad no sirve de nada ante un post-it pegado en la pantalla

Amarillista no, lo siguiente. Dice el titular "de la forma más obvia"

Y empiezan a explicar que solo tuvo que acceder a la Red Sara de la Policía (como si fuera algo obvio) y a partir de ahí a la pasarela de los Juzgados con Hacienda usando la IP de la policía. Claro claro todo muy obvio

#3 yo he caido un par de veces en la priebas, yq ando más atento.

El motivo que achaco es no leer detenidamente.
Está uno saturado de mensajes a veces, y no siendo ni mi trabajo ser administrativo, te llegan de gente que ni conoces, y a veces vas en plan automático.
Mal por mi parte, pero no por dejadez

#7 bastante. Eso no es de hacker. Es de tu primo listillo que sabe mover el ratón.

A cualquier cosa le llaman hacker.

#7 sensacionalista que te crio

Vamos que de hacker poco, más bien de esos que se dedican a la "ingeniería social" o sea los timadores de toda la vida.

Preguntar puerta por puerta?.

sigo sin entender como pudo usar una IP de la policia..

#3 poco me parece

#7 se te cae un mito o que? Que consiguió credenciales y un poco de phising, vamos que elite mis cojones.

Por el eslabón más débil, haciendo que el funcionario te de sus claves.

#13 VPN

Acojonante. Para cualquiera que tenga certificado digital y la última versión de autofirma (ahora la 1.8) realizar un trámite a través de la red Sara como registrar un escrito es una hazaña solo asequible si están alineados los astros convenientemente, lo que convierte la administración electrónica en un muro inaccesible. Y resulta que para los hakers las pasarelas de la red Sara son muy vulnerables. Es decir, que para los usuarios hay días que es casi infranqueable para registrar un escrito. Y un camino de rosas para un delincuente. Algo falla

#7 Es Gizmodo, te reto a que encuentres uno de sus titulares sin clickbait

#5 tanto test para luego usar outlook que tiene un historial de bujeros de seguridad mas largo que un dia sin pan

#13 Se localiza una comisaria que tenga wifi, se hace shouldersurfing para pillar la clave (entre otros metodos), te conectas a esa wifi y sales a la calle con ip de policia haciendo una consulta legitima de datos por su trabajo.

#17 instalo un servicio vpn en los ordenadores de la policia?

#13 En la noticia sólo dicen que era una IP "dentro del rango". Ya es cutre que no tengan una VPN, pero parece realmente la parte más elaborada del plan.

La otra simplemente son los funcionarios no mirando de dónde venía el correo

#13 Yo me pregunto exactamente lo mismo, solo detallan (un poco) el tema de phishing y el tema de 'conseguir' la IP quizás sea más interesante.

Creo que es un delito muchísimo más grave que los vejestorios de 75 años que están en las oficinas de la policía y en los juzgados no sepan diferenciar el correo oficial de la policía de un correo tipo tupolicía@mipollaesgrande.com

#7 Pues claro. Seguro que eres de los que no tiene su propio rascacielos.
www.youtube.com/watch?v=wZeGygfaZ8M

#1 Nadie puede controlar que un funcionario caiga en un phishing bien hecho. En último caso es responsabilidad del funcionario, no del sistema. También te digo que todo absolutamente es hackeable, es cuestión de que quieran hacerlo y que les compense (y que no les pillen, como ha sido el caso).

¿estará relacionado este asunto con esta noticia?

old.meneame.net/story/ataque-informatico-hackea-credenciales-hacienda-

La policía ya sabe cómo les engañaron para acceder a la AEAT. Poco han tardado en enterarse.

#28 Probablemente.

#4 Maldita interfaz silla-teclado...

#21 ¿Nadie hace una auditoría de seguridad en esos sitios?

Es decir, nada de genio de la ingeniería informática: simple y llano phising

#27 Claro, yo para pedir cita en el médico necesito certificado digital, usuario, contraseña y doble factor pero nadie puede controlar que a la información confidencial de todos los españoles acceda cualquiera. Todo es culpa del funcionario

#34 Lo pone en la noticia, dos funcionarios cayeron en el phishing y le dieron su usuario y contraseña.

#4 ¡Sustituyámosles por robots!

#22 No, seguramente con las credenciales robadas uso la VPN para empleados

#21 Las comisarías no deberían tener wifi

#35 Y qué? No hay control de IPs? DMZ? Tokens de acceso? El sistema es débil y MUY mejorable, si sólo depende de la contraseña de uno o dos usuarios.

#39 Tenía una IP de la policía. Lo suyo es leerse la noticia.

#40 Y las demás cosas que he dicho ya tal

#18 La red Sara es una red interna de la administración, no tiene nada que ver con la realización de trámites por parte de los ciudadanos. Los ciudadanos no la usan para realizar sus trámites, los hacen por Internet.

#41 si leyeras la noticia sabrías cómo le pillaron.

Ojo que el phising con la IA es cada vez más sofisticado. Yo tengo un canal de youtube, y continuamente intentan mandarme estafas de todo tipo. La última me dejó bastante pillado. Me llegó un email de @youtube.com con un cambio en la política de privacidad de los usuarios, con un mensaje en vídeo del CEO de google comentando las novedades de este nuevo sistema. El vídeo y el mail pedían aceptar las nuevas políticas para no perder la monetización del canal. Las condiciones, por supuesto, venían en un .zip, y al abrir el zip vi que las condiciones venían en un fichero .scr. Ahí me saltó la alarma anti-phising que traigo de serie, y volví a ver el vídeo del CEO de google, y ya me fijé en que la boca no coincidía perfectamente con lo que decía (aunque en un primer vistazo no me di cuenta, porque no le hice demasiado caso)...

Así que ojo...de momento canta porque es un .scr y tal...pero llegará un día que encontrarán otras maneras, y te llegará un vídeo de cualquier conocido tuyo de facebook o alguna red social, hablando como habla esa persona, pidiéndote vete a saber qué... y será muy difícil no caer.

#31 los típicos errores de capa 8

#27 Oh, absolutamente incontrolable, de ninguna manera se puede detener.

No le expliques al funcionario lo que esl el phising con ejemplos y no hagas ensayos periódicos, no sea que aprenda.
Tampoco filtres las conexiones por un proxy y un firewall, no sea que no pueda conectarse a la página falsa.

¿Alguien me puede explicar cómo se puede tener una IP de la policía?
EDIT: Ya responden a # 13 y # 21

#21 He tenido que mirar qué era shoulder surfing porque no me creía que pudiera ser simplemente mirar disimuladamente a la pantalla o teclado de alguien que esté metiendo la contraseña. Y sí. Usando palabros grandilocuentes en inglés cualquiera es juanker.

#11 Si, lo que viene siendo un hacker de toda la vida.

#33 Bueno, el simple y llano phising requiere al menos un pelín de maña... Obtener las direcciones de las víctimas... Configurar un servicio web en la nube (a no ser que seas muy tonto y te lo hagas en casa)... Clonar el gancho... Obtener un SMTP convincente... Registrar un dominio con trampa homográfica... etc.

#40 ¿Y cómo se puede tener una IP de la policía? No termino de entender que las IPs se puedan poseer.

#46 A ver, le han pillado, saltó una alarma en el momento que hizo demasiadas consultas (sí, esto que te digo, también viene en la noticia).

Es obvio que el sistema tiene fallas, de hecho ha sacado provecho de ello. También es obvio que no es tan malo cuando le han cogido rápidamente. Yo no digo que el sistema sea perfecto ni inmejorable, pero no me parece una chapuza como decía el comentario al que respondía en primer lugar.

Han hackeado a la NASA y a cientos de instituciones gubernamentales de todos los países del mundo.

#48 Es lo que tienen estas cosas, que tienen palabros para decir cosas sencillas, pero si lo dices sencillo no puedes cobrar un paston por asesoria de seguridad.

#15 ¿Qué esperabas que robase los datos mientras cae desde una avioneta antes de que se le abra el paracaídas?

#52 Tu comentario era que era responsabilidad del funcionario y no era evitable. No estoy de acuerdo. La formación y la concienciación en ciberseguridad a los usuarios es parte de las responsabilidades del departamento correspondiente. Hoy en día si un trabajador de una empresa con responsabilidad legal cae en un phising la responsabilidad no es totalmente suya.
Y hay decenas de medidas de seguridad para evitar tanto que llegue un mensaje de phising como que se pueda acceder a una página falsa (de hecho, no deberían ni poder salir a Internet desde las oficinas)

#51 Bueno yo no soy el hacker, pero obtener una IP no es algo muy complicado, menos para alguien que sabe. Con el mismo phishing que hizo pudo obtener la IP de la respuesta, por ejemplo.

Un cuestionario de google docs te da la IP, no es algo muy difícil, y esto te digo sin acceder a su red, que para un hacker es bastante fácil.

#40 Pero al acceder si que saltó una alarma que dio pie a toda esta investigación. Las estadísticas fueron clave para ver que en un corto periodo de tiempo se estaban solicitando una gran cantidad de datos.

El sistema permite descargar datos de 500.000 personas sin que se bloquee por si solo ...

#55 Pues no estamos de acuerdo, porque por mucho que se instruya al funcionario/trabajador/usuario de turno es obvio que al final muchos caen. Hoy en día el mail del príncipe nigeriano sigue rulando y lo hace porque hay gente que cae. Tampoco digo que la responsabilidad sea exclusiva del funcionario que picó, pero es difícil controlar "el factor humano".

También comento que hacer algo imposible de hackear es imposible. Puedes ponerle más o menos trabas y también que si falla, al menos seas consciente de que ha habido una intrusión (de hecho el sistema saltó).

Mejorarán los fallos que el sistema tenga y aprenderán para la próxima, como todos.

#51 ...especulo con lo siguiente
Que el muchacho se hizo con "al menos dos" pares de usuarios y contraseñas, eso te queda algo claro......
Ahora piensa, si estos funcionarios están en su casa - con su operador comercial de turno. La posibilidad de que aunque utilicen algún sistema de vpn es posible; y si recuerdas el caso del SEPE.
Puede ser que el tema de que el cliente de vpn no sea tan seguro(cosa que tampoco dicen en la noticia), por lo que intuyo que además de lo expuesto en el artículo, no descartaría algún otro tipo de software un software para "robar" por ejemplo el certificado que utilizan algunos sistemas de vpn.
A partir de ahí, es el propio sistema "de red privada" quién te da el acceso con una ip propia.
Y esto es , especulando mucho.

Y too gracias las criptomonedas para que luego digan.

El sistema de seguridad que describe el artículo es bastante simple. Sería triste que no hubiera nada más.

Pero bueno, supongo que si para currar el funci de turno tiene que, aparte de la vpn, levantarse un bastión efímero, todo con 2fa, entonces ya no sale un expediente de esos juzgaos en la vida

#34 He ido a comprar una lupa para encontrar algún caso en que funcionario haya sido culpable de algo y inhabilitado.

#42 Y debe ser una red muy segura y que no permite a nadie hacer consultas prospectivas para ver si se encuentra algo que perjudique a los opositores políticos.

#57 imagino hay circunstancias donde una petición de este tipo es legitima, pero que se investiga fe oficio. Es bastante común.

Que justo sean 500000 indica que el joven conoce los procedimientos y apostó por sacar lo máximo en el menor tiempo posible. O igual es que tiene una chiripa increíble, no se.

En cualquier caso le trincaron por los cobros en la wallet fijo y luego fueron viendo en el interrogatorio a ver cuántas hazañas le podían empaquetar

#63 La red debe ser segura, pero es un error confiar toda la seguridad a la red. Si este tipo accedió a los datos no fue solo por seguridad de la red, también de los sistemas de autenticación/autorización y de los sistemas de información implicados.

#8 Somos humanos, descargar toda la responsabilidad en nosotros es de necios.

La DGT obliga a tener las manos en el volante en posición perfecta todo el trayecto, sin distraerse ni un momento. Me gustaría ver a alguno de los que redactan esas tonterías durante un viaje de 2 horas, a ver cómo lo respetan...

#52 Le han pillado... cuando ya tiene nuestros datos hasta el tato. A burro muerto, la cebada al rabo.

#56 Ya, pero no es conocer la IP, es usarla para hacerse pasar por.

#54 todo lo contrario, no veras a un hacker hacer mucho esfuerzo fisico. Pero esperaba algo mas sofisticado.

#28 Podría ser, y los medios "normales" no informaron de ello...

#49 Bueno, para mí un hacker es un tipo que se pasa años quemándose las pestañas estudiando aspectos de seguridad para llegar a controlar unas técnicas que muy pocos en el mundo dominan, lo que hagan luego con esos conocimientos es otra cosa.
Lo de la "ingeniería social" es dedicarse a crear un web de palo, espamear y esperar a que alguno meta sus credenciales; cualquier tonto con unos conocimientos rudimentarios de informática puede hacerlo, hasta yo mismo podría.

#71 No creo yo que sea tan facil la verdad, y ademas de esas herramientas necesitas saber mucho de informatica.

tan obvio no será si no han sido capaces de evitarlo

#51 ¿vpn?

#71 En realidad controlar las técnicas no es la parte difícil. Lo dificil es saber cuando y como aplicarlas y hacerlo de la forma en que no dejes rastro y si inevitablemente lo dejas saber borrarlo.

Porque sale siempre con la cara cubierta? En serio hay que proteger su intimidad después de lo que ha hecho?

#56 tú hablas de conocer una IP. Otra cosa es que alguien te la asigne y la puedas usar para enviar y recibir información.
Una cosa es relativamente sencilla y la otra un fallo de seguridad importante.

#7 aparte de clickbait está fatal redactada y se come muchas cosas. Le pillaron porque saltó un ids

#5 yo, que me dedico a eso los abro todos para saber qué hacen, desde que vi que es la empresa quien lo envía simplemente los borro. Ademas son muy absurdos, aún no me he cruzado con uno creíble.

#35 Joé, ya lo ha dicho #27, porqué a mí para pedir cita me piden el certificado digital y a estos solo un simple password? Mediocridad que habrá costado un Potosí a los Indras y similares

#35 Dime que no entiendes el comentario, la noticia y la seguridad informática sin decir que no entiendes el comentario ni la noticia ni la seguridad informática.

#51 Desde una oficina de Policía, siendo policía o con la cooperación de policías. Es la única manera. Detalle que el informe policial omite convenientemente.

#ACAB

No es tan fácil ni tan obvio lo que ha hecho, por ir por pasos:
- Fishing en el que caiga alguien y ponga su usuario y contraseña de dominio en una web, es que tiene que no "cantar" mucho, es decir, tiene que parece algo a lo que tienen o por lo menos que tenga el aspecto a algo de la policia. 
- Una vez pillada el usuario y la contraseña, intentar conectarse a la VPN que de acceso a la red sara. A partir de ahi, mirar a donde quiere ir en tu ataque o que puede pillar. Si no tienes la VPN, necesitas un salto a un equipo intermedio que este metido en la red sara, si no, es imposible, ya que tienes que tienes que tener direccionado el tráfico a nivel de rutas hacía afuera y eso lo tendria que hacer alguien, con un proxy o un router....demasiado complejo que lo hace inviable. 
- Diseñar la consulta de datos para ver como extraer información.
Fallos a nivel de seguridad muy gordos:
- Un sistema de antispam que haga una resolucion inversa de los dominios de los caules este enviando, revise los dominios y verifique que son legitimos. Tambien puede revisar lo legitimo de la IP que envia el correo, que suele ser bastante efectivo. Hay muchas soluciones comerciales que hacen eso.
- Una VPN que de acceso con el usuario y contraseña es como tener una contraseña de tu banco con 1234. Cualquier empresa mediana ya tiene tecnologías de zero trust, que esencialmente es no confiar de ti en todo momento, verificando decir quien eres y desde donde te conectas, y asi valorar a donde puedes acceder. Esto la mayoria de las soluciones comerciales tienen algo que ya hace cosas de estas y a un muy buen nivel, cosas como que verifique una clave de registro, certificado digital o proceso corriendo en el ordenador cliente.
- Consoltas a un servicio de terceros desde la red sara. Tiene pinta de ser una API. Las API son ahora mismo la fuente de ataques más importantes, ya que no se tiene mucho conocimiento de como funcionan como norma general, con lo que la seguridad básica pues lo dejan andando. Cuando te cuelas por ahi, el estropicio es importante. 
¿por que no se invierte más en seguridad? Pues puede ser que la policia, cuando le gan X cientos de miles de euros para gastar, la seguridad IT no sea uno de puntos principales, de eso no se ganan votos, ya que no puedes enseñar tus nuevos elementos de seguridad en el puesto delante de tus jefes, que son policias y no expertos en IT. Esto me lo invento, pero me imagino que será algo asi, ya que me lo he encontrado en algun cuerpo del estado con ese argumento.

#7 Lo obvio es que el ataque tuvo que hacerse "desde dentro", es decir que lo ejecutaron policías. Ahora falta seguir el dinero, saber quién lo encargó y quién se ha beneficiado.

#35 me parece o que falta información o que es vergonzoso. Con usuarios y contraseña no se debería de poder extraer muchos datos y dudo que sea la única barrera hasta la información: vpn, certificados, doble factor, filtro por IP, filtro por máquina, horas de actividad y actividad sospechosa.

Yo veo aquí una negligencia a mayores a parte del funcionario de turno.

#71 Ese tipo de "hacker" es un mito. Un hacker originalmente era un programador rápido capaz de improvisar soluciones o desarrollar cosas difíciles que no son obvias, optimizando los recursos o expandiendo su funcionalidad. Y antes de eso, un hacker era alguien capaz de tunear, reciclar o construir un recurso electrónico con sus propias manos.

Los "hackeos" de seguridad casi siempre giran en torno a la ingeniería social. Cuando se empezó a filtrar información confidencial mediante burdos engaños (como el caso de Kevin Mitnick y el código fuente de Motorola) las empresas afectadas crearon la imagen del "hacker peligroso" para justificar su propia incompetencia frente a la opinión pública y convencer a los jueces de que la persona a la que enviaron voluntariamente la información lo hizo todo él sólo y de forma imprevisible, o que de alguna manera es punible ser más listo que un encargado de seguridad. La mentira caló hondo y se acabó convirtiendo en un tópico de películas y novelas, pero el mundo real no funciona así.

Mitnick, probablemente el primer condenado por ser un "hacker peligroso", nunca utilizó conocimientos avanzados de tecnología para saltarse ninguna limitación. Simplemente Mitnick llamó a Motorola y dijo "Hola, ¿me pasáis vuestro código fuente?" La persona que le atendió le dijo que sólo el encargado de seguridad podía darle acceso, así que llamó al encargado (Momento en que Mitnick se asustó y pensó que le iban a pillar). Para su sorpresa, el encargado se puso al teléfono y le dio acceso sin preguntar nada.

Aaron Swartz, otro joven condenado por ser un hacker peligroso, lo único que hizo fue descargar en su portátil muchos libros de la universidad, cuando tenía permiso para hacerlo.

El capitán Crunch llamaba a las líneas de soporte técnico diciendo que no tenía credenciales y las operadoras le activaban lo que pidiera igualmente.

Esta gente fueron prodigios de la informática y la electrónica, pero nunca utilizaron esos conocimientos para los actos por los que fueron condenados. Se utilizó su inteligencia como carácter distintivo para dibujarlos como peligrosos en un mundo que ignoraba todo sobre seguridad informática.

De varias formas, una de ellas es spoofearla

www.cloudflare.com/es-es/learning/ddos/glossary/ip-spoofing/

o conseguir poner un bicho en un PC de la red

#59 En los últimos años los ataques se han centrado mucho en vulnerar la seguridad de las VPN, y lo han conseguido en muchos casos.

#55 El phising cada día está más logrado.

#3 También lo hizo una empresa de seguridad con sus propios empleados, y también cayeron muchos.

#44 hubo una temporada que solo con el visionado de cierto tipo de vídeos alterados, o la vista previa, te podían infectar.

#27 no tenían ni un triste MFA? Nada? Con usuario y contraseña de 2 tipos accedes a la info de 500k contribuyentes. Me parece de risa, precisamente pq coincido con lo que dices que cualquiera puede caer en un pishing. Por eso es necesario más seguridad.

Y luego los datos van todos sin encriptar? Entiendo que no... Pero seguro que si

#51 utilizó una IP de un ordenador la Policía, se refiere, no una IP de un policía. En las diligencias está bien explicado.

#7 Phishing a dos funcionarios de Bilbao, así robó los credenciales.

#51 Existe la reserva de IP´s...

es.wikipedia.org/wiki/Anexo:Direcciones_IP_reservadas

#35 Y poner un MFA para acceder a datos sensibles como hay en otros servicios?

#51 Antes con el ADSL te daban IP fija en lugar de dinamica. Tenias la misma IP hasta que cambiabas de contrato. Con ipv6 supongo que se volveran a dar IPs fijas.

Entiendo que se metio en la red u ordenador con esa IP y desde ahi accedio o en la red se puso la mac que recibia esa IP y se la dieron.

#59 Lo de que ha robado un par de credenciales me queda claro. Lo de la VPN podría ser una explicación pero si la Policía Nacional no usa los propios certificados del DNI, que emiten ellos, igual es para hacérselo de mirar y que los ciudadanos les pidamos responsabilidades. ¿Podría haber robado también los certificados? Podría, pero eso ya es algo más complicado que el usuario y la contraseña. No sé. En todo caso, es muy gore que alguien robe datos judiciales y de hacienda desde una IP autorizada de la PN.

#97 No.

#95 Sí, pero no van por ahí los tiros.