La startup SILIKN advirtió que más de dos mil sitios gubernamentales mexicanos están en riesgo debido a una campaña de ataque, coordinado a gran escala, dirigida contra interfaces de administración de Apache Tomcat en todo el mundo, incluyendo México.
De acuerdo con indagatorias de la firma de ciberseguridad, el incidente involucró a 390 direcciones IP únicas, las cuales realizaron intentos de acceso y ataques de fuerza bruta, “representando una escalada significativa en los esfuerzos de los ciberatacantes por explotar servidores de aplicaciones web”.
“Entre los sitios potencialmente vulnerables se encuentran 2,298 plataformas gubernamentales mexicanas que utilizan tecnologías Apache y Apache Tomcat, como aquellos alojados bajo el dominio gob.mx”, expuso SILIKN en un artículo.
Según la unidad de investigación de la empresa de ciberseguridad, la naturaleza coordinada de la campaña sugiere una planificación sofisticada, con una concentración notable de actividad maliciosa originada en la infraestructura de DigitalOcean.
“Los atacantes aprovecharon la facilidad de aprovisionamiento rápido de recursos en este proveedor de servicios en la nube. Las IPs involucradas provienen de países como Estados Unidos, Reino Unido, Alemania, Países Bajos y Singapur, lo que evidencia la escala global del ataque”, indicó.
¿Cuál es el riesgo para sitios mexicanos?
SILIKN advirtió que la combinación de campañas de fuerza bruta y explotación de vulnerabilidades sugiere que los atacantes buscan interrumpir servicios, así como obtener acceso administrativo para realizar acciones más dirigidas, como la instalación de malware o el robo de datos.
“El análisis de la unidad de investigación de SILIKN revela que numerosos sitios web bajo el dominio gob.mx utilizan tecnologías Apache y Apache Tomcat, por lo que están en riesgo.
“Estas plataformas, que incluyen sitios gubernamentales mexicanos críticos, podrían ser objetivos debido a su exposición en internet y la posible falta de parches de seguridad actualizados”, alertó.
La empresa añadió que, si no está protegida adecuadamente, la interfaz de administración de Apache Tomcat representa un punto de entrada ideal para los atacantes.
En este sentido, acentuó que entre los sitios que se encuentran en riesgo está el del Centro Nacional de las Artes, el de la Secretaría de Medio Ambiente y Recursos Naturales, el del Servicio de Administración Tributaria (SAT), el del Ayuntamiento de Playa del Carmen en el Estado de Quintana Roo y el de la Secretaría de Educación Pública.
Igualmente, el del Poder Judicial del Estado de Chiapas, el del municipio de Atotonilco el Grande en el Estado de Hidalgo, el de la Alcaldía Álvaro Obregón en la Ciudad de México, el del Consejo Nacional de Normalización y Certificación de Competencias Laborales, el del Gobierno del Estado de Puebla, el de la Secretaría de Seguridad y Protección Ciudadana, el del municipio de Chapala en el Estado de Jalisco, el de Biodiversidad Mexicana, el de la Alcaldía de Cuajimalpa en la Ciudad de México, el de la Secretaría de Cultura del Estado de Guerrero, y el del Servicio Geológico Mexicano.
Para todas las organizaciones que operan servidores Apache Tomcat, SILIKN recomendó aplicar parches de seguridad, es decir, actualizar Apache Tomcat a las versiones más recientes. También deben proteger interfaces administrativas, monitorear actividad sospechosa, revisar configuraciones de red y auditar infraestructura en la nube.
er
