La startup de ciberseguridad, SILIKN, resaltó la “urgente necesidad” de combatir los infostealers, malwares que ciberdelincuentes han empleado para atacar dependencias y organismos, y por los que se han filtrado millones de datos del gobierno de México.
Ejemplo del alcance de estas amenazas son el ciberataque de 2024 a la Consejería Jurídica de la Presidencia, en el que el grupo RansomHub filtró 206 GB de datos sensibles.
Dos años antes, hubo un ataque masivo contra la Secretaría de la Defensa Nacional (Sedena), perpetrado por el colectivo Guacamaya, que expuso 7 terabytes de documentos clasificados. También destaca la continua vulnerabilidad de Petróleos Mexicanos (Pemex).
Igualmente fue comprometida la seguridad en instituciones como la Lotería Nacional, Conagua, el Sistema de Acreditación de Prensa de Presidencia y la plataforma Llave CDMX, una plataforma de identidad digital para la gestión de trámites.
“Estas vulneraciones han implicado el acceso no autorizado y la extracción de información confidencial, incluida una gran cantidad de datos operativos y de empleados”, así como datos de figuras políticas.
Según una investigación de SILIKN, las vulneraciones han sido facilitadas por actividades ilícitas de empleados o ex-empleados, quienes han vendido o compartido credenciales legítimas con grupos cibercriminales, como por el uso de métodos más sofisticados.
El análisis revela que el empleo de infostealer (ladrón de información) ha permitido a los atacantes obtener credenciales reales, vigentes y críticas y así acceder inicialmente a los sistemas comprometidos.
En este sentido, se ha documentado que diversos accesos se han logrado a través de plataformas empleadas en los sitios web gubernamentales, como Cpanel, Zimbra, WordPress, Microsoft, Active Directory, a los servicios de inicios de sesión de intranet y cuentas de correo web, así como mediante subdominios como https://www[.]gob[.]mx/cms/admin/sign_in o https://www[.]gob[.]mx/sso/.
“Un caso específico ha revelado que el sitio gob.mx está asociado con 572 computadoras comprometidas por infostealers, además de 54 credenciales de empleados de terceros. Esto pone en riesgo las credenciales almacenadas en estos dispositivos, que podrían ser utilizadas indebidamente por cibercriminales”, acentuó la firma de ciberseguridad.
En un artículo, la startup especializada resaltó que entre los más notables infostealers están Redline Stealer, que roba credenciales de navegadores y datos del sistema operativo; Raccoon Stealer, que se propaga principalmente a través de correos de phishing y ha afectado a instituciones gubernamentales; Formbook, especializado en recolectar datos del portapapeles y registros de teclas; y Lumma Stealer, que ha surgido recientemente como una amenaza significativa.
“La filtración de datos en diversas dependencias del gobierno de México resalta la creciente amenaza de los infostealers, que continúan siendo uno de los métodos principales para obtener acceso inicial a las redes gubernamentales.
“Estas infecciones permiten a los ciberdelincuentes obtener las credenciales necesarias para infiltrarse en los sistemas y, como se ha evidenciado en este caso, pueden ser aprovechadas para expandir el acceso mediante avanzadas tácticas de ingeniería social”, alertó.
Finalmente, la startup advirtió que los robos de información actúan como una plataforma para ataques más complejos, lo que los convierte en una preocupación crítica para todas las organizaciones en el país.
er
