La principal amenaza para el gobierno de México continúa siendo la persistente presencia de problemas básicos en materia de seguridad
Imagen: Zdzisław Beksiński
Estamos en una situación compleja. El gobierno de México, en tan sólo lo que va de 2024 ha experimentado una serie de ciberataques que ha dejado vulnerable a sus sistemas en general. A esto se suman ataques previos de ransomware y filtración de información.
¿Qué ha pasado? Que los atacantes internos y externos han encontrado diferentes formas de atacar estos sistemas, pero sin la necesidad de utilizar herramientas o metodologías sumamente avanzadas. Por el contrario, han estado aprovechando vectores de ataque y vulnerabilidades que ya tienen varios años de existencia.
De acuerdo con un análisis de la unidad de investigación de SILIKN, en casi el 92.2% de los ataques a los sistemas del gobierno mexicano, el incidente podría haberse mitigado con aplicación de parches de seguridad, autenticación multifactor o principios de privilegios mínimos, lo cual indica que la seguridad básica ha sido más difícil de lograr de lo que se estima.
Los ataques de ransomware al gobierno mexicano se incrementaron, incorporando nuevas funcionalidades como infostealers (malware que está programado para robar información), wipers (malware que está programado para destruir la información sin posibilidad de recuperación) y spyware (malware programado para espiar e interceptar el tráfico de información y las comunicaciones), lo cual trajo como consecuencia ataques más exitosos.
No estamos tomando en cuenta que ahora los ataques modernos han integrado Inteligencia Artificial para generar un impacto mayor y que el uso de estas nuevas tecnologías podría desencadenar nuevos y múltiples ataques, a escala, contra estos sistemas gubernamentales.
Pero en el caso del gobierno mexicano, es importante que primero atienda lo básico y conocido, para luego poder profundizar en lo novedoso y desconocido.
Por ejemplo, uno de los ataques más recurrentes es el robo y uso de cuentas y credenciales válidas. Este tipo de ataques se ejecutan porque siguen siendo efectivos. Funcionan porque las organizaciones no implementan los controles básicos de seguridad.
Explotar cuentas válidas se ha convertido en el camino de menor resistencia para los ciberdelincuentes, con miles de millones de credenciales comprometidas accesibles en la Dark Web hoy en día.
Entre 2022 y 2023, hubo un incremento del 305% en las actividades que hicieron los atacantes para obtener las identidades de los usuarios, con un enfoque en adquirir infostealers, con los cuales poder sustraer información personal como correos electrónicos, credenciales de redes sociales y aplicaciones de mensajería, datos bancarios, datos de criptomonedas, entre otros.
Y tal como ha ocurrido con el gobierno de México, este tipo de ataques son difíciles de detectar, lo cual ha representado un problema serio y costoso. En este sentido, los incidentes importantes causados por atacantes que utilizaban cuentas válidas han provocado un 450% más esfuerzo y medidas por parte del gobierno mexicano para poder contenerlos, en caso de que se logren detener, pues los defensores han tenido que luchar por distinguir entre la actividad de los usuarios legítimos y los maliciosos dentro de sus redes.
Es así que las vulneraciones causadas por credenciales robadas o comprometidas le han llevado al gobierno de México alrededor de 2 años detectarse y recuperarse, el ciclo de vida de respuesta más largo que cualquier otro vector de infección.
Los ataques contra el gobierno de México no son exclusivos de este país, pues son los que más han crecido a nivel mundial y éste es un hallazgo alarmante que destaca que los ciberdelincuentes están apostando por la necesidad de tiempo de actividad de estos objetivos de alto valor para avanzar en sus ejecuciones.
Cabe señalar que entre 2022 y 2023 la mayoría de los ataques exitosos contra agencias gubernamentales, organizaciones de infraestructura crítica y organismos estatales involucraron el uso de cuentas válidas. Esto resalta la necesidad de que estas organizaciones realicen pruebas frecuentes en sus entornos para detectar posibles exposiciones y desarrollen planes de respuesta a incidentes.
Y aunque el gobierno mexicano debe dar prioridad a la atención de sus sistemas actuales, también debe tener contemplado el uso en los próximos meses de la Inteligencia Artificial como arma de ciberataques, antes que los delincuentes amplíen sus actividades.
Para más información, visite: https://www.silikn.com/