Luego de que en días pasados circuló en redes sociales y medios de comunicación información sobre una presunta vulneración al sistema Llave CDMX, el titular de la Agencia Digital de Innovación Pública, Eduardo Clarck, emitió un posicionamiento en el que informó sobre los análisis realizados al respecto por la dependencia que encabeza. Asimismo, informó sobre la medida que se adoptará para reforzar la seguridad.

Aquí te contamos todo el contexto y la información más reciente.

Reportan robo de usuarios y contraseñas de Llave CDMX

El 21 de mayo el experto en ciberseguridad Víctor Ruiz publicó en su cuenta de la red social X que grupos de ciberdelincuentes anónimos accedieron a las credenciales de usuarios de la plataforma gubernamental Llave CDMX.

Ruiz mostró capturas de pantalla en las que se observa el acceso a varias cuentas de la plataforma con la que ciudadanos de CDMX autentifican su identidad digital para realizar trámites y servicios en la administración pública del gobierno capitalino y de las alcaldías.

⚠️🇲🇽Alerta: Se reporta que las credenciales (nombres de usuario y contraseñas) de la plataforma gubernamental conocida como "Llave CDMX" (https://t.co/rL3oAEVW9U), se encuentran al alcance de grupos de ciberdelincuentes anónimos a través de canales de mensajería cifrada. pic.twitter.com/qOta68p74n

— Víctor Ruiz (@victor_ruiz) May 21, 2024

Al respecto, el experto aseguró que “este incidente afectaría a aproximadamente 6.3 millones de usuarios”. Por ello, recomendó a quienes tengan una cuenta en Llave CDMX cambiar su contraseña de forma inmediata.

Sobre los datos de usuarios que podrían estar en riesgo, comentó que “La plataforma recopila una serie de datos personales, que incluyen nombre, CURP, fecha de nacimiento, dirección de correo electrónico, número de teléfono celular, género, así como información sobre los trámites y servicios realizados por el usuario”.

Sin evidencia de vulneración: Eduardo Clarck

En respuesta, el titular de la Agencia Digital de Innovación Pública, Eduardo Clarck, informó que la dependencia inició una investigación sin encontrar evidencias de alguna vulneración.

Asimismo, negó que Llave CDMX guarde las contraseñas de los usuarios:

“Llave no guarda contraseñas, guarda solo un hash seguro. Sería imposible que tuvieran las credenciales, ya que por protocolo no existe una lista de usuarios y contraseñas claras. Ni nosotros la tenemos”, escribió en su cuenta de X.

Respecto a las capturas de pantalla de accesos al sistema con distintas cuentas, Clarck dijo que ello no implica que Llave CDMX haya sido hackeada. En contraste, opinó que “es más probable [que los responsables] hayan obtenido los datos personales de un pequeño número de individuos de forma ilegal“. A manera de analogía, señaló que “a veces hay filtraciones de cuentas de email”, lo cual “no significa que google haya sido hackeado, sino que alguien robó credenciales personales”.

En este caso es más probable que hayan obtenido los datos PERSONALES de un pequeño número de individuos de forma ilegal no que Llave fuera hackeada. A veces hay filtraciones de cuentas de email: no significa que Google fue hackeado, sino que alguien robó credenciales personales.

— Eduardo Clark (@EduardoClark) May 21, 2024

Activarán doble autentificación en Llave CDMX

En una publicación posterior, Clarck repitió que el equipo de la ADIP “no ha encontrado evidencia de un acceso no autorizado al sistema llave”. También descartó que al momento exista evidencia de alguna intrusión o conducta sospechosa. No obstante, informó que se seguirá investigando.

Agregó que “la propia ADIP, siguiendo las mejores prácticas globales, no guarda contraseñas”:

“No existe y no puede existir una base como la que se reporta que ha sido filtrada”, sentenció.

Agregó que el sistema es tan seguro que tomaría 9.5 años poder hackear una contraseña con un ataque de fuerza bruta. Sin embargo, dijo que, como medida preventiva, se activará un segundo factor de autentificación en Llave CDMX.

Esto quiere decir que, además de su contraseña, las personas usuarias deberán introducir un código que se les enviará vía email o SMS para ingresar a su cuenta. Así será posible verificar que, en efecto, se trata del titular de la cuenta tratando de ingresar.

“De esta manera buscamos dar tranquilidad”, finalizó.

Como titular de la @LaAgenciaCDMX y para la tranquilidad de los usuarios de Llave CDMX quisiera compartir con ustedes información sobre notas de una posible vulneración

En 1er lugar, el equipo de la ADIP NO HA ENCONTRADO EVIDENCIA de un acceso no autorizado al sistema llave 1/7

— Eduardo Clark (@EduardoClark) May 22, 2024