Hasta 439 dependencias del gobierno mexicano se encuentran en riesgo de ciberataque debido a una amenaza activa dirigida contra servidores Microsoft Internet Information Services (IIS), según alertó la unidad de investigación de la firma de ciberseguridad SILIKN.
El análisis reveló la existencia de un script malicioso denominado UpdateChecker.aspx, un archivo disfrazado como una página web legítima, pero que en realidad funciona como un web shell diseñado para otorgar a los atacantes control remoto total sobre los sistemas comprometidos. Este software utiliza técnicas avanzadas de ofuscación para evadir análisis y pasar desapercibido ante soluciones de seguridad tradicionales.
De acuerdo con SILIKN, el código malicioso se ejecuta mediante solicitudes HTTP tipo POST con el contenido application/octet-stream, lo que permite a los atacantes ejecutar comandos remotos, moverse lateralmente dentro de la red, robar información confidencial y desplegar malware o payloads personalizados.
La empresa advirtió que el diseño modular del script, sumado a sus capacidades de evasión, sugiere que podría tratarse de una herramienta utilizada en operaciones cibernéticas complejas, posiblemente vinculadas a actores estatales extranjeros.
Cabe mencionar que Internet Information Services es un servidor web desarrollado por Microsoft que permite alojar y gestionar sitios web, aplicaciones y servicios en sistemas operativos Windows.
Es ampliamente utilizado en entornos corporativos y gubernamentales debido a su integración con otras tecnologías de Microsoft, como ASP.NET y Windows Server. IIS proporciona funciones para el manejo de protocolos como HTTP, HTTPS, FTP y SMTP, así como herramientas para la administración de seguridad, rendimiento y autenticación.
Su popularidad lo convierte en un objetivo frecuente de ciberamenazas, especialmente cuando no se actualiza o configura adecuadamente.
Instituciones potencialmente comprometidas
Debido a que utilizan servidores IIS, hasta 439 dependencias del gobierno mexicano podrían estar en riesgo.
Entre las instituciones potencialmente comprometidas se encuentran el Sistema de Administración Tributaria (SAT), el portal Tributario de la Secretaría de Hacienda del Estado de Hidalgo, la Comisión Nacional del Agua (Conagua) y el Ayuntamiento de Aguascalientes.
Igualmente, el Portal Oficial del Gobierno del Estado de Aguascalientes, autoridad Certificadora del Gobierno del Estado de Guerrero, el Congreso del Estado de Jalisco, PrevenIMSS en Empresas del Instituto Mexicano del Seguro Social (IMSS) y el Sistema Nacional de Vigilancia Epidemiológica (SINAVE).
Estas entidades manejan información crítica y estratégica, por lo que cualquier intrusión podría comprometer la seguridad nacional, advirtió SILIKN.
Acciones de ciberseguridad
Ante esta amenaza, la firma recomienda activar protocolos de respuesta a incidentes, realizar una auditoría inmediata en los servidores IIS para identificar archivos .aspx sospechosos y reforzar las políticas de filtrado de solicitudes HTTP.
Además, enfatiza la necesidad de capacitar al personal en temas de ingeniería social, particularmente en phishing, una de las principales vías de acceso utilizadas por los atacantes.
“Este caso evidencia la necesidad urgente de implementar medidas proactivas en México y en cualquier país que utilice infraestructura digital crítica basada en servidores IIS. Esto incluye la instalación oportuna de parches de seguridad, auditorías periódicas, así como el fortalecimiento de las competencias de ciberseguridad entre los equipos de TI”, concluyó SILIKN.
er





