Redacción El País
Una base de datos con 350.800 archivos del Ministerio de Trabajo y Seguridad Social (MTSS) fue puesta a la venta en la deep web por un nuevo grupo de hackers llamado "Tacuara", confirmó a El País Mauro Eldritch, director de Birmingham Cyber Arms, empresa especializada en ciberseguridad que dio a conocer la vulneración.
En la tarde de este viernes el Ministerio de Trabajo y Seguridad Social (MTSS) emitió un comunicado al respecto de esta vulneración y explicó que se "detectó un incidente de seguridad vinculado a la plataforma Vía Trabajo, por el cual se produjo una filtración de datos personales pertenecientes a dicha base de datos".
El incidente fue detectado en la mañana del viernes y la cartera recibió una alerta del Centro Nacional de Respuesta a Incidentes de Seguridad Informática, que informó sobre "la publicación de aproximadamente 350.800 registros en foros de la dark web, los cuales incluirían datos personales de usuarios como documento de identidad, nombre y apellido".
El ministerio explicó en su comunicado que realizó las denuncias correspondientes ante la Unidad de Cibercrimen del Ministerio del Interior y ante la Unidad Reguladora de Control de Datos Personales (URCDP) de Agesic. También se iniciaron una serie de investigaciones para determinar el origen de la filtración.
La plataforma Vía Trabajo permanecerá fuera de servicio hasta nuevo aviso, como medida preventiva.
🤠 Sheriff: new #cybercrime intelligence.
— Birmingham Cyber Arms LTD (@BirminghamCyber) June 6, 2025
🇺🇾 #Uruguay: TA selling a DB belonging to the Ministerio de Trabajo y Seguridad Social, containing 350,800 records with CI numbers, full names, mobile phones and emails.
🔎 #ThreatIntelligence: @teamcapybara_.https://t.co/s3fxzZ55pO
Eldtrich había afirmado a El País que los archivos puestos a la venta incluían números de cédulas de identidad, números de celulares y correos electrónicos. Según Eldritch, los hackers accedieron al sistema del MTSS "abusando una interfaz (API) sin protección" y a partir de ahí fueron minando los registros de forma automática.
Aunque los hackers pueden haber accedido a través de la web, también pueden haber utilizado otro servicio expuesto en algún servidor del organismo estatal.
El director de Birmingham Cyber Arms detalló que, por ejemplo, el grupo ExPresidents —que ha perpetrado ataques a diferentes entes públicos en Uruguay— usó este método en el pasado con un "validados de historias de trabajadores". Bastaba con escribir un número de cédula para acceder a los datos. Con este sistema, lograron vulnerar "datos de políticos y de menores de edad", aseguró.
Por el momento, se desconoce si los hackers operan desde Uruguay o el extranjero.
Hackeo de datos de Sucive
El pasado domingo también se dio a conocer que una base de datos con 618.000 documentos del Sucive (Sistema Único de Cobro de Ingresos Vehiculares) fue puesta a la venta en la deepweb. Los archivos "contienen la información personal de los conductores y datos del vehículo (matrícula, motor, números de chasis)".
El hackeo se dio a conocer un día después de que un grupo de motociclistas se manifestara en contra de la colocación de un TAG para el seguimiento de estos vehículos a fin de reducir la delincuencia.
Los motociclistas aseguraron que esta medida vulnera la privacidad de los conductores y advirtieron que con este dispositivo se tiene control de todos sus movimientos.
En contrapunto, César García, presidente de Sucive, había asegurado en diálogo con Subrayado (Canal 10) que se trata de "un sistema bloqueado, solo para policías e inspectores de tránsito". "Nadie puede acceder a esa información desde afuera porque lo impide el sistema de bloqueo de ciberseguridad que tienen los equipos", aseguró.
Luego de darse a conocer la filtración, García emitió un comunicado en el que aseguró que se dio alerta a la fiduciaria Rafisa, que tiene asignado un delegado de datos personales ante Agesic.
Con base en el reporte de Rafisa, "no existe evidencia alguna de que sea un incidente de seguridad de la plataforma de Sucive", señala el comunicado.
Además, agrega que "esos datos publicados no traerían aparejada una afectación significativa a los derechos de las personas mencionadas en la publicación".
El jerarca de Sucive dijo, además, que estuvo en contacto con el Subdirector de Inteligencia del Ministerio del Interior a raíz de esta situación.
"Si bien somos conscientes que puede haber hackeos de distinto nivel y volumen que podrían afectar al Sucive como lo han hecho con la propia Agesic, esta base de datos ofrecida evidencia aspectos que nos inclinan a pensar que esos datos fueron obtenidos por algún agente secundario de sistema, como un agente de cobranzas, y en un tiempo no reciente. En un caso de los publicados comprobamos que una transferencia vehicular data de hace un año: si se tratase de un hackeo reciente ese dato sería otro", agrega el comunicado.
Sobre estos "agentes secundarios", García explicó que "existen operadores del Sucive con credenciales de acceso informativo para gestiones de cobro (agentes de cobranza) quienes pudieron haber sido la fuente de un hackeo". "La cantidad de datos ofrecida despeja de dudas precisamente por su limitada cantidad", sentencia el comunicado.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
de modo que se deslice hacia la izquierda.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
. Se pondrá en gris, lo que indica que ya no se bloquearán los anuncios de ese sitio web.
.