Amenazas Persistentes Avanzadas incrementan sus ataques contra el sector de telecomunicaciones. ¿Está México en riesgo?
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, instructor certificado en ciberseguridad — CSCT™, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
Recientemente se dio a conocer que la actual administración presidencial en México recortó 3 mil 300 millones de pesos en los servicios de informática y ciberseguridad en todo el gobierno, lo cual significa que muchos funcionarios trabajen con computadoras y sistemas operativos obsoletos, sin actualizaciones, sin parches de seguridad, sin antivirus y utilizando programas piratas, poniendo en peligro a millones de ciudadanos, así como a sus respectiva información personal.
Además, lo anterior también afecta a organismos como la Secretaría de la Defensa Nacional, la Secretaría de Marina, la Guardia Nacional o a la Policía Cibernética ya que los deja sin recursos de ciberdefensa y totalmente expuestos ante el cibercrimen organizado, hacktivistas, ciberterroristas, amenazas avanzadas persistentes (APT) y Estados-nación.
Un punto crucial a señalar es que este recorte también coloca en riesgo a organismos como el Instituto Federal de Telecomunicaciones (IFT) ya que una de las tendencias más fuertes en lo que a ciberamenazas se refiere es el incremento de los ataques de grupos conocidos como amenazas avanzadas persistentes (APT), vinculadas a Estados-nación como China, contra organismos del sector de telecomunicaciones.
El IFT tiene por objeto el desarrollo eficiente de las telecomunicaciones y la radiodifusión y se encarga de regular, promover y supervisar el uso, aprovechamiento y explotación del espectro radioeléctrico, las redes y la prestación de los servicios de telecomunicaciones y la radiodifusión en México, así como el acceso a infraestructura y otros insumos esenciales, contribuyendo a garantizar el derecho a la información y el acceso universal a dichos servicios.
Por ello, se presenta como un objetivo importante para los cibercriminales ya que atacar a este instituto podría dar como resultado no sólo la pérdida de información confidencial, sino además, la interrupción de servicios públicos que impactarían de forma negativa a los ciudadanos.
Un punto fundamental a enfatizar es que cualquier entidad que tenga el poder de tomar el control de las redes de los proveedores y organismos de telecomunicaciones puede potencialmente aprovechar estos accesos y controles ilegales de la red para apagar o interrumpir una red celular completa, como parte de una operación de guerra cibernética, como parte de actividades de espionaje o para compartir o comercializar los accesos obtenidos con otros grupos cibercriminales, como los enfocados al ransomware.
Esta tendencia se ha visto confirmada por los recientes ataques de estos grupos contra proveedores de telecomunicaciones globales, que tienen como meta obtener grandes cantidades de datos sobre personas y organizaciones de alto perfil, todo esto como parte de avanzadas campañas de espionaje.
En primera instancia estos ataques buscan conseguir acceso a los registros de detalles de llamadas, que están en manos de las empresas de telecomunicaciones y proporcionan una gran cantidad de registros de metadatos. Entre la información que las APT buscan recopilar se encuentran los detalles específicos de llamadas, de los dispositivos, la ubicación física, así como el origen, el destino y la duración de las llamadas.
Las herramientas y técnicas utilizadas en los ataques al parecer han sido consistentes con las empleadas por APT10, un grupo de ciberatacantes que podría estar respaldado por China. Durante estas campañas, APT10 pudo moverse libremente a través de los sistemas de los operadores de telecomunicaciones, en algunos casos utilizando cuentas de administrador y redes privadas virtuales para disfrazar su actividad y aparecer como empleados.
APT10 (también conocido como Menupass Team, Stone Panda, happyyongzi, Potassium, Red Apollo, CVNX, Hogfish, Cloud Hopper, Bronze Riverside, ATK41, G0045 o Granite Taurus), es un grupo de ciberatacantes que se enfoca en atacar empresas de telecomunicaciones, construcción e ingeniería, aeroespaciales y gobiernos, con la finalidad de obtener información militar y de inteligencia, así como propiedad intelectual, información confidencial corporativa y tecnológica.
¿Por qué están en riesgo las instituciones mexicanas?
La transformación digital y el acelerado avance de las tecnologías han introducido nuevas vulnerabilidades en las redes corporativas y de gobierno, lo que las convierte en un objetivo cada vez más atractivo para los ciberatacantes.
Para mantener la competitividad y productividad en el mercado digital, las grandes empresas (y algunas instituciones de gobierno) están adoptando más servicios en la nube, agregando datos, desarrollando código y conectando aplicaciones y sistemas a través de APIs.
Como resultado, abundan los servicios mal configurados, las bases de datos desprotegidas, las aplicaciones poco probadas y las APIs desconocidas y no seguras, todo lo cual puede ser aprovechado por los atacantes.
Adicional a lo anterior, tanto las instituciones de gobierno, como los órganos autónomos (como el IFT), deben inmediatamente instalar los parches de seguridad en todos los equipos que conformen sus sistemas e infraestructura, pues recientemente, otros grupos como APT5 están explotando fallas en los dispositivos relacionados con vulnerabilidades de Citrix y Fortinet que permite a los atacantes llevar a cabo la ejecución remota de código. La noticia de la vulnerabilidad de Citrix poco tiempo después de las fallas de Fortinet significa que una gran cantidad de sistemas pueden estar expuestos a ataques hasta que se implementen los respectivos parches de seguridad.
APT5 es un conocido grupo chino de ciberatacantes con un historial de ataques a diferentes empresas y dispositivos de redes. APT5 (también conocido como Keyhole Panda, Manganeso, Bronze Fleetwood o TEMP.Bottle) se ha enfocado en atacar empresas de telecomunicaciones y tecnología, con un interés particular en los sistemas militares de defensa, así como los sistemas satelitales. En este mismo sentido, APT5 ha mostrado un gran interés en comprometer los dispositivos de red y manipular su software.
Además de implementar los parches disponibles y las actualizaciones del sistema, la recomendación es poner en marcha los planes de prevención, gestión y respuesta a incidentes, como medida para mitigar posibles ataques, que incluyan la eliminación o el aislamiento inmediato de los dispositivos sospechosos comprometidos; segmentar la red para limitar o bloquear el movimiento lateral; deshabilitar servicios de red, puertos, protocolos y dispositivos no utilizados o innecesarios; y hacer cumplir la autenticación multifactor para todos los usuarios, incluidos aquellos en conexiones VPN.
Para mayor información, visite: https://www.silikn.com/