EMEEQUIS. Después de la bomba que significó la revelación de documentos de la SEDENA por parte del grupo de ciberactivistas Guacamaya, varias dependencias del gobierno mexicano han sido vulneradas de manera similar por hackers que venden la información al mejor postor a través de foros especializados.
Apenas el 6 de octubre, EMEEQUIS publicó un reportaje en el que se evidenciaba que dependencias del gobierno mexicano de distintos niveles continuaban utilizando Zimbra, plataforma cuya vulnerabilidad CVE-2022-27925 fue la entrada para los activistas y otros atacantes hasta ahora desconocidos.
En ese momento se señaló que la plataforma seguía activa para la Secretaría de Marina, el Gobierno de la Ciudad de México, la Consejería Jurídica y de Servicios Legales, el Ayuntamiento de Morelia, el Instituto de Seguridad Social del Estado de Tabasco, el Gobierno de Tlaxcala, la Policía Auxiliar de la Ciudad de México y la Fiscalía General del Estado de Tabasco.
TE RECOMENDAMOS: ¿OTRA GUACAMAYA? MARINOS ESTÁN VULNERABLES A FALLAS, HACKEOS, ROBO DE INFORMACIÓN…
El 20 de octubre, Hiram Alejandro Camarillo, especialista en ciberseguridad y CEO de la consultoría Seekurity, hizo público en Twitter que un reconocido “grupo de hacking”, identificado como kelvinsecurity, puso a la venta 664 MB de correos electrónicos del Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios”. ¡Sorpresa! El hackeo también había sido ejecutado a través de Zimbra.
Post de información robada al Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios. Fuente: Hiram Alejandro Camarillo, CEO de la consultoría Seekurity,
Por si fuera poco, Hiram publicó otro tuit el 22 de octubre donde se ampliaba el número de dependencias mexicanas que seguían utilizando Zimbra: la Secretaría de Salud capitalina, el Instituto Nacional de Psiquiatría, la Fiscalía General de Justicia del Estado de México, el Instituto Nacional de Rehabilitación, el Poder Judicial del Estado de Chiapas, el Gobierno de Chiapas y el Poder Judicial del Estado de México.
“Si no cuentan con una correcta gestión de parches, están en riesgo de ser atacados”, advirtió Hiram.
El 31 de octubre, el descuido en la ciberseguridad hizo estragos en el Gobierno de la Ciudad de México, específicamente en la Secretaría de Finanzas capitalina. Hiram informó en sus redes que el grupo kelvinsecurity ofreció 72 mil 853 archivos de la dependencia: “Son 6 GB de información robada ¿Otro sistema Zimbra?”
Post de información robada a la Secretaría de Finanzas de la CDMX. Fuente: Hiram Alejandro Camarillo, CEO de la consultoría Seekurity,
El 27 de octubre publicó que el grupo ransomware BlackByte hackeó al Gobierno de Chihuahua. Pedían “$600,000 USD por borrar la info” y “$500,000 USD x su venta”. Adjunto al post, colocaron un enlace de descarga de 2.45 GB, pero Hiram aclaró que “no hay info que valga el $ monto que BlackByte está solicitando”.
Post de información robada al Gobierno de Chihuahua. Fuente: Hiram Alejandro Camarillo, CEO de la consultoría Seekurity.
El 6 de noviembre Hiram advirtió de otro hackeo más. El usuario sc0rp 10n vendía “acceso ‘costoso’ a nivel de administrador a 1 sistema de la Secretaría de Turismo del gobierno de Jalisco”.
Dos días después, un grupo de hacking, no identificado, ofreció gratis “1.5 GB de información del gobierno de Coahuila”. “Los documentos son de Julio 2019 a Mayo 2022”, escribió Hiram.
Post de la información robada al gobierno de Coahuila. Fuente: Hiram Alejandro Camarillo, CEO de la consultoría Seekurity,
Post de información robada a la Secretaría de Turismo de Jalisco. Fuente: Hiram Alejandro Camarillo, CEO de la consultoría Seekurity,
En entrevista con EMEEQUIS, Hiram cuenta que se ha dado cuenta de estos ataques porque monitorea distintos portales y foros de hacking (a los cuales no se puede tener acceso de manera convencional). También relata que estos grupos colocan “evidencia de que la información” robada: documentos en PDF, recibos de pago, comprobantes de depósito, para después pedir dinero por ella.
Hiram ya conoce a kelvinsecurity: “Son un grupo que se dedica al hackeo de plataformas nacionales e internacionales”, que si bien “no son nada político” muchas veces atacan a entidades de gobierno. Los hackers que robaron la información realizaron las ventas a través de un ID de Telegram, sin poner precio en los post.
TE RECOMENDAMOS: HACKEO: DESDE 2021 ASF REPROBÓ A SEDENA POR DEFICIENCIAS GRAVES EN CIBERSEGURIDAD
En el caso de la venta de la información de Finanzas “lo único que está es ese pantallazo, borraron el post o ya vendieron la información o están viendo si la van a vender”.
Sin embargo, el CEO de Seekurity compartió con EMEEQUIS los enlaces donde los hackers revelan “las pruebas” de sus saqueos a Finanzas de CDMX, Turismo de Jalisco y el Gobierno de Coahuila.
En el caso de la Secretaría de Finanzas, se subieron imágenes de capturas de documentos poco contextualizados: la ubicación de un edificio en la colonia Cuauhtémoc, firmado por Luis. Antonio Montes de Oca Mayagoitia, que efectivamente es notario público en la Ciudad de México. Otro documento es un recibo del Banco Nacional por un depósito por 51 mil 900 pesos realizado el 4 de mayo de 2021. El tercero es una declaración para el pago del impuesto sobre la renta, también con el nombre del notario Montes de Oca Mayagoitia, emitida el 14 de abril de 2021.
Documentos robados de la Secretaría de Finanzas de la CDMX. Fuente: Hiram Alejandro Camarillo, CEO de la consultoría Seekurity,
En cuanto a la Secretaría de Turismo de Jalisco, los hackers compartieron un registro de trámites en proceso de prestadores de servicio y una constancia de inscripción que debía ser firmada por Hilario Pérez León, entonces director general de Certificación Turística de Sectur. Este documento también se encuentra de manera pública en el siguiente enlace: http://rnt.sectur.gob.mx/RNT_TipoPrestador.html y cuenta con los mismos datos.
Documentos robados de la Secretaría de Turismo de Jalisco. Fuente: Hiram Alejandro Camarillo, CEO de la consultoría Seekurity,
Por último, los archivos descargables del Gobierno de Coahuila están compuestos por una lista de PDF y hojas de Excel que en sus títulos mencionan temas tales como seguridad, justicia, proyectos de infraestructura, DIF y denuncias. Sin embargo, los 3 mil 241 ficheros son inaccesibles sin una contraseña.
Fichero con documentos robados del gobierno de Coahuila. Fuente: Hiram Alejandro Camarillo, CEO de la consultoría Seekurity,
AL MEJOR POSTOR
Hiram explica que este tipo de información se vende con precios de “500 dólares (9 mil pesos 753 aproximadamente) hacia arriba; hay personas que lo venden entre 100 (cerca de 1950 pesos) y 200 dólares (cerca de 390 pesos)”. Los pagos regularmente se realizan a través de criptomonedas Bitcoin, ya que son difíciles de rastrear y no tienen como intermediarios bancos o gobiernos.
En su experiencia, ha observado “que muchas de las entidades tienen una seguridad muy pobre”, ya que las actividades de prevención de ataques “no son suficientes y no están funcionando”, ya sea por falta de presupuesto o por falta de capacitación de personal o deficiencias en las empresas contratadas para la revisión de la ciberseguridad de las dependencias. Esos agujeros en las armaduras cibernéticas han sido un festín y un negocio lucrativo para hackers en la red. La información de los mexicanos está al alcance del mejor postor, sin garantía de qué se pueda hacer con ella o de en qué manos vaya a terminar.
@Ciudadelblues
Powered by Froala Editor