Una alerta publicada en portales de ciberseguridad encendió las alarmas sobre una posible filtración de datos de ciudadanos colombianos en sistemas de la Dirección de Impuestos y Aduanas Nacionales (DIAN).
Según el portal Daily Dark Web, un actor habría accedido de manera no autorizada a la plataforma de agendamiento de citas de la entidad, supuestamente a través de una vulnerabilidad conocida que no habría sido solucionada.
De acuerdo con esa información, el atacante habría extraído una base de datos SQLite de 16 GB que contendría 18 millones de registros de ciudadanos colombianos y que estaría siendo ofrecida en foros de hackers por 2.000 dólares.
Entre los datos presuntamente comprometidos figuran nombres y apellidos, tipos y números de identificación, correos electrónicos y números de teléfono móvil.
La respuesta de la DIAN
Tras conocerse el reporte, la DIAN aseguró que activó sus protocolos de gestión de incidentes y comenzó un proceso de verificación técnica para determinar si efectivamente ocurrió una filtración de información.
La entidad explicó que también inició revisiones especializadas en sus sistemas junto con el proveedor tecnológico de la plataforma de citas, desarrollada por la empresa Cielingeniería.
Como parte de las medidas adoptadas, la DIAN decidió deshabilitar temporalmente el sistema de agendamiento de citas, mientras se realizan análisis de seguridad y se revisan posibles vulnerabilidades.
Además, el caso fue reportado al Grupo de Respuesta a Emergencias Cibernéticas de Colombia (ColCERT) para apoyar la investigación y evaluar el alcance del supuesto incidente.
Por ahora, la entidad señaló que no se ha confirmado una filtración de datos, pero reiteró que continúa con las verificaciones técnicas para establecer si hubo acceso no autorizado a información de los ciudadanos.
Recomendaciones a los usuarios
Mientras avanzan las investigaciones, la DIAN pidió a los ciudadanos tomar medidas básicas de seguridad digital, como cambiar periódicamente sus contraseñas, evitar compartir información personal en sitios no oficiales y verificar la autenticidad de los mensajes que reciban en nombre de la entidad.
