Segunda llamada: los infostealers se mantienen como una amenaza crítica para la ciberseguridad del sector gubernamental mexicano
Imagen: Zdzisław Beksiński
No es la primera vez que se emite una alerta de esta naturaleza. De hecho, la unidad de investigación de SILIKN ha estado señalando el creciente y alarmante robo de información en los últimos años, revelando cómo familias de malware como Vidar, Lumma, RedLine y Raccoon operan de forma discreta para extraer credenciales y facilitar ataques de gran impacto. Además, se ha logrado rastrear numerosos incidentes tanto corporativos como gubernamentales originados por dispositivos comprometidos.
Un análisis reciente de la unidad de investigación de SILIKN confirma que el robo de información no es una amenaza transitoria, sino un elemento central en el panorama actual de la ciberseguridad. Este tipo de ataques ha sido responsable del 30.5% de los incidentes cibernéticos registrados durante 2024 y en lo que va de 2025.
Este informe pone de manifiesto que los infostealers (ladrones de información) han sido una de las principales amenazas durante 2024 y 2025, representando el 30.5% de los incidentes observados, superando tanto a los scripts maliciosos como al malware tradicional. Esto implica que uno de cada cuatro ciberataques estuvo relacionado con este tipo de malware.
¿Por qué es relevante? Porque los datos obtenidos por la unidad de investigación de SILIKN no provienen de teorías, sino de la experiencia directa en el terreno, donde las pequeñas y medianas empresas (PyMEs) enfrentan las mismas amenazas avanzadas que las grandes corporaciones y las entidades gubernamentales. Los hallazgos subrayan que los infostealers son una puerta de entrada al cibercrimen, que de manera sigilosa recopilan credenciales de acceso, datos financieros e información confidencial, para luego entregarla a bandas de ransomware, grupos de extorsión o brokers de acceso inicial.
Un ejemplo claro se encuentra en el sector gubernamental en México, donde la seguridad tiene una relevancia crítica. Se ha descubierto que existen amenazas significativas, ya que se detectaron los siguientes datos:
Recientemente, se identificaron vulnerabilidades graves en los sistemas del Gobierno Mexicano (gob.mx), lo que resultó en la infección de más de 500 usuarios y dos empleados a través de infostealers, un tipo de malware especializado en el robo de información confidencial. Este incidente ha afectado a diversos servicios de terceros y ha puesto en evidencia la preocupación por la seguridad de las contraseñas y la protección de los dispositivos utilizados por el personal.
Hasta el momento, se han detectado 502 usuarios y 2 empleados infectados por infostealers. Entre los infostealers más comunes se encuentran RedLine, con 572 infecciones reportadas, y Raccoon, con 210. Otros infostealers detectados incluyen Vidar (78 infecciones), Azorult (54 infecciones), y un grupo no identificado con 56 infecciones. Estos ataques destacan la creciente amenaza de los infostealers en las instituciones gubernamentales y la necesidad urgente de implementar medidas de seguridad más estrictas.
Una de las principales preocupaciones es la seguridad de las contraseñas utilizadas por empleados y usuarios. El 100% de las contraseñas de los empleados fueron clasificadas como débiles, lo que incrementa notablemente el riesgo de accesos no autorizados a sistemas críticos. Entre los usuarios, el 16.32% utilizaba contraseñas extremadamente débiles, mientras que el 81.68% empleaba contraseñas consideradas débiles. Aunque un pequeño porcentaje (2.00%) de las contraseñas de los usuarios se clasificaron como fuertes, la mayoría de las credenciales de empleados y usuarios no cumplen con los estándares de seguridad recomendados.
Varios portales de autenticación y participación en línea fueron comprometidos durante estos ataques. Las URL más afectadas incluyen el portal de inicio de sesión de empleados (https://www.gob.mx/cms/admin/sign_in) con 2 infecciones reportadas, y entre los portales más comprometidos por los usuarios están: https://www.gob.mx/sso/ (521 infecciones), https://www.gob.mx/participa/users/sign_up (103 infecciones) y https://www.gob.mx/participa/users/sign_in (59 infecciones). Estas brechas de seguridad han permitido que los infostealers se infiltren en las redes gubernamentales y extraigan información sensible.
Los ataques también afectaron a varios dominios de terceros, muchos relacionados con el gobierno y la educación, como el Municipio de Veracruz y la Secretaría de Educación Pública. También se detectaron interacciones con servicios corporativos y tecnológicos, como microsoftonline.com (5 casos) e iusasol.com.mx (6 casos). Esta conexión con múltiples dominios refuerza la idea de que el ataque no solo afecta al gobierno mexicano, sino que también pone en riesgo a otras entidades asociadas.
Un aspecto crítico de este incidente es la falta de protección antivirus adecuada en los dispositivos infectados. Se reportaron 39 detecciones antivirus, 15 de ellas realizadas por Windows Defender. Sin embargo, también se encontraron 17 casos en los que no se detectó ningún antivirus en los dispositivos afectados. Otros programas antivirus, como VirusScan de McAfee y McAfee Firewall, detectaron 6 infecciones cada uno, mientras que Bitdefender y Kaspersky encontraron algunas detecciones menores.
Este incidente resalta la urgente necesidad de que el gobierno mexicano refuerce su infraestructura de ciberseguridad. Con más de 500 usuarios comprometidos y 2 empleados infectados, es crucial tomar medidas para mejorar la seguridad de las contraseñas, implementar políticas más estrictas de protección antivirus y asegurar que los portales críticos estén adecuadamente protegidos. La ciberseguridad debe ser una prioridad en la agenda gubernamental, especialmente cuando se trata de proteger la información de los ciudadanos y las operaciones del gobierno.
Para más información, visite: https://www.silikn.com/