Gobierno de la CDMX: Bajo ataque cibernético
INTRODUCCIÓN
En un mundo cada vez más interconectado, la ciberseguridad se ha convertido en un tema de vital importancia en todo el mundo y México no es la excepción.
A medida que la tecnología avanza, también lo hacen las amenazas cibernéticas. Los ciberdelincuentes aprovechan la creciente digitalización para ejecutar ataques a empresas, gobiernos y ciudadanos comunes.
México es uno de los países con más ciberataques en América Latina (AL) y hemos entrado a una nueva era de cibercrimen avanzado con el uso de la Inteligencia Artificial (IA).
Al hablar de ciberseguridad, referimos a los controles y acciones que nos permiten proteger la información, dispositivos, activos informáticos y datos digitales de las amenazas que atentan contra dichos activos, buscando reducir el riesgo de ser víctimas de un ciberataque, o minimizar el impacto si se presenta.
La creación de una estrategia de ciberseguridad debe ser una práctica fundamental para las empresas y organizaciones en la actualidad, y debe estar enfocada siempre en la mejora continua, buscando reforzar cada vez más la protección establecida para reducir o mitigar cualquier amenaza o vulnerabilidad que atente contra la integridad, confidencialidad y disponibilidad de nuestros activos informáticos. Sin duda, hoy más que nunca, la protección de datos es trascendental, ya que estos representan un gran valor y, perderlos podría significar no solo un costo económico realmente importante para cualquier organización, sino también un potencial impacto en la reputación de la organización y pérdida de credibilidad de esta.
Los expertos advierten que la tendencia respecto al robo de datos se mantendrá este 2024 y los ciberdelitos ya no estarán dirigidos como prioridad a afectar a individuos, ahora será principalmente dirigido a las empresas y entidades de gobierno en sectores críticos. Los hackers ahora buscan la obtención de recompensas mayores atacando industrias y sectores lucrativos: petróleo y gas, transporte, finanzas, agua y servicios públicos.
Pese a que las operaciones de cibercrimen como servicio (CaaS por sus siglas en inglés) están creciendo, ahora los delincuentes están utilizando tecnologías con Inteligencia Artificial (IA) generativa por lo que cuentan con más herramientas para hacer más sofisticados sus ataques.
La IA generativa como arma digital, permitirá a los hackers respaldar sus actividades criminales de nuevas formas, por ejemplo, al impedir la ingeniería social e imitar las formas de comportamiento humano, por ejemplo, deep fakes creados con IA. Un deepfake es un video, una imagen o un audio generado que imita la apariencia y el sonido de una persona. También llamados «medios sintéticos», son tan convincentes a la hora de imitar lo real que pueden engañar tanto a las personas como a los algoritmos.
ESTADÍSTICAS EN CIBERATAQUES
En su informe de predicciones de amenazas para este 2024, Fortinet alerta sobre una nueva era de cibercrimen avanzado en el que la IA está cambiando el juego. Ahora los ciberataques serán más sigilosos, más precisos, más ágiles y más eficientes al tiempo que los controles de ciberseguridad más robustos serán obsoletos.
La recomendación de los especialistas en ciberseguridad para este 2024 es fortalecer aún más la cultura de prevención, tanto en lo corporativo como en lo individual, enfocando las baterías hacia una cultura de ciber resiliencia que prevenga e inhiba estos ataques más que a acciones de reacción ante los ciberdelitos.
Se debe tener mayor colaboración entre sector privado y gobierno para compartir experiencias e inteligencia sobre amenazas y así poder estandarizar medidas y crear protocolos para informar incidentes.
Hay que entender que la ciberseguridad nos involucra a todos, se deben hacer ejercicios prácticos para ejecutivos, mejorar los controles de confianza del personal, reducir la brecha de conocimiento entre el personal y aprovechar a nuevos grupos de talentos que no sean de las áreas de sistemas.
El tema de ciberseguridad requiere no perder nunca el foco; de acuerdo con sitio itmastersmag.com México es uno de los países que recibe la mayor cantidad de ataques cibernéticos en América Latina. De hecho, las estadísticas muestran un crecimiento histórico: en 2022 hubo 187,000 millones de intentos de ciberataques, un crecimiento de 20% frente a 2021.
La cifra, que se desprende de un informe semestral que publicó Fortinet, es la más elevada de la región, quedando en segundo lugar Brasil con 103,000 millones.
En 2023 en México se incrementaron 63% los ataques de ransomware. De acuerdo con un informe de Palo Alto Networks, en el país se cometieron 42 ataques de ransomware en 2023, 16 más que el año anterior, representando un crecimiento del 61.5%, siendo el principal responsable de estos ataques (18) el grupo cibercriminal de hackers LokBit 3.0.
De acuerdo con el estudio de Infoblox sobre el estado global de la ciberseguridad de 2023, para México las ciber amenazas más urgentes en los próximos 8 meses en el país serán:
Fugas de datos (51%)
Ataques directos a través de servicios en la nube (43%)
Ataques a través de desconexiones de trabajadores remotos (35%)
Amenazas avanzadas persistentes (27%)
Ataques a través de loT en la red (21%)
El reporte de Infoblox también encontró que son tres los principales vectores de ataque a organizaciones:
Correo electrónico/ phishing (59%);
Ransomware (54%) y
Terceros/cadena de suministro (46%).
Derivado de lo anterior, la ciberseguridad en México se ha convertido una necesidad imperiosa. De hecho, las organizaciones aumentaron la inversión que realizan en este campo y hoy, existe un consenso generalizado en el ámbito corporativo acerca de la necesidad de tomar medidas fuertes para combatir estas amenazas.
SITUACIÓN ACTUAL
El gobierno de la Ciudad de México fue atacado a través de una vulnerabilidad que desde 2019 se advirtió y que, pese a constantes avisos, no se resguardó de manera adecuada. De esta manera, hackers del grupo Mexican Mafia accedieron a alrededor de 2.1 millones de correos confidenciales de más de dos millares de cuentas de servidores públicos.
La inseguridad del sistema fue advertida, desde hace cinco años, por el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés), que reportó una vulnerabilidad crítica en la suite de colaboración Zimbra, utilizada por muchas empresas y gobiernos —como el de la capital del país— para operar correos electrónicos, contactos, tareas y almacenamiento general de archivos.
En ese entonces, el Instituto Nacional de Ciberseguridad de España (Incibe) calificó esta vulnerabilidad, nombrada CVE-2019-9670, como crítica y advirtió que una de las versiones del servidor denominado Zimbra presentaba un riesgo de inyección de entidad externa XML (XXE).
En general, el XXE funciona como una puerta trasera por donde un hacker puede colarse en el sistema de correos electrónicos sin permiso. Este tipo de acción puede permitir diversos ataques, como robar información confidencial o incluso tomar el control del sistema.
Así fue como el hacker conocido como ‘Lord Peña’ logró vulnerar los sistemas de seguridad para acceder a un total de 2,300 cuentas de correo electrónico del gobierno de la Ciudad de México, incluyendo diversas dependencias y organismos autónomos bajo el dominio “cdmx.gob.mx”. Esto le permitió tomar control de estas, acceder a los mensajes recibidos y enviados, así como enviar correos electrónicos desde cualquiera de las cuentas comprometidas, que son miles.
Estas acciones quedaron al descubierto este lunes 1 de abril a través de publicaciones que circularon brevemente en la red social X. En estos mensajes, se compartieron capturas de pantalla de algunas cuentas de correo comprometidas; sin embargo, posteriormente desaparecieron.
UNA CRECIENTE OLA DE CIBERATAQUES
En las últimas semanas, el seudónimo de Lord Peña ha destacado por varios hackeos. Por ejemplo, el pasado 23 de marzo, Publimetro México informó que este mismo hacker sustrajo más de 2.3 millones de archivos del Instituto de Investigaciones en Matemáticas Aplicadas y en Sistemas (IIMAS) de la Universidad Nacional Autónoma de México (UNAM). En total, descargó casi un terabyte de información, que incluía datos sensibles como información bancaria.
Apenas dos días después de haberse publicado dicho ataque, Lord Peña puso a la venta la base de datos del IIMAS en el sitio web de Breach Forums, un lugar comúnmente utilizado por hackers para comercializar este tipo de información y filtraciones. El hacker fijó un precio de tan solo 500 dólares, aproximadamente $8,300 MXN, para cualquier persona interesada en adquirir la base de datos y utilizarla a su discreción.
Asimismo, Lord Peña también reveló al menos tres vulnerabilidades en el sitio web del Servicio de Administración Tributaria (SAT) justo en medio de la campaña para la declaración anual de impuestos de personas físicas para el año 2023. Además, el pasado domingo 31 de marzo, publicó en Breach Forums la oferta de acceso a los servidores internos del Órgano de Fiscalización Superior del estado de Veracruz (ORFIS) por tan solo 1,500 dólares, equivalente a aproximadamente $24,981 MXN.
¿QUÉ HAY DEL HACKEO AL GOBIERNO DE LA CIUDAD DE MÉXICO?
Recientemente se confirmó que el servidor Zimbra, utilizado por varias entidades gubernamentales de la Ciudad de México, fue efectivamente comprometido. De los 1.4 terabytes descargados por Lord Peña, al menos 415 gigabytes fueron enviados a este medio de comunicación, lo que equivale a cientos de miles de correos electrónicos.
Según una primera revisión, de las 2,300 cuentas de correo electrónico a las que accedió el ciber atacante, se filtraron a este medio los datos de 1,327. Estos datos incluyen conversaciones sobre protocolos durante la pandemia de Covid-19, así como información relacionada con la autorización de obras en la capital, presupuestos, entre otros temas que aún no han sido revisados por la amplitud de la información.
La base de datos de correos abarca todos los mensajes recibidos y enviados por funcionarios de diversas entidades, como:
El Museo de Arte Popular.
La Procuraduría Social.
La Secretaría de Obras y Servicios.
Centros del DIF.
El Consejo de Evaluación de la Ciudad de México.
Las secretarías de Finanzas, Medio Ambiente, Educación, Ciencia, Tecnología e Innovación. Heroico Cuerpo de Bomberos.
Las 16 alcaldías de la CDMX, entre otras dependencias del gobierno local.
Por su parte, el especialista y fundador de la firma de ciberseguridad SILIKN, Víctor Ruiz, destacó que el gobierno, en sus diferentes niveles y ordenes no ha optimizado sus sistemas de seguridad, a pesar de que las vulnerabilidades de Zimbra se hicieron evidentes en el país después del hackeo que realizó el grupo Guacamaya al servidor de la Secretaría de la Defensa Nacional (SEDENA).
El hacker Lord Peña aseguró que este martes 2 de abril pondrá a la venta la base de datos de los Chilango Leaks, incluyendo 1.3 terabytes de información.
“Mientras el gobierno no invierta en ciberseguridad, México será el paraíso para nosotros”: Lord Peña
Es por esto que la ciberseguridad en México es una necesidad imperiosa. De hecho, las organizaciones deberían considerar la inversión en este campo y, hoy en día, existe un consenso generalizado en el ámbito corporativo acerca de la necesidad de tomar medidas fuertes para combatir estas amenazas.
FUENTE:
- Ciberseguridad en México: lo que debe saber. IT Master Mag, Redacción. 20-marzo-2024. https://www.itmastersmag.com
Comments