Nuevos ciberataques del grupo norcoreano Lazarus amenazan organizaciones clave en México

abril 25, 2025

Nuevos ciberataques del grupo norcoreano Lazarus amenazan organizaciones clave en México

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

El grupo de ciberataques Lazarus, conocido por sus sofisticadas operaciones de ciberespionaje y actividades financieras ilícitas, ha intensificado sus ataques contra organizaciones en todo el mundo, incluyendo México.

Este grupo, presuntamente vinculado a Corea del Norte, está utilizando técnicas avanzadas para infiltrarse en sistemas, robar datos sensibles y financiar sus operaciones.

Lazarus ha demostrado un alto nivel de sofisticación en sus campañas, empleando una variedad de métodos para comprometer a sus objetivos:

- Phishing dirigido (Spear Phishing): Los atacantes envían correos electrónicos personalizados con archivos adjuntos maliciosos o enlaces que, al ser abiertos, instalan malware en los sistemas de las víctimas.

- Explotación de vulnerabilidades: El grupo explota fallos de seguridad en software desactualizado para obtener acceso no autorizado a redes corporativas.

- Malware personalizado: Lazarus utiliza herramientas como troyanos de acceso remoto (RAT) y wipers, diseñados para robar información o destruir datos críticos.

- Ataques a la cadena de suministro: En algunos casos, el grupo ha comprometido a proveedores de software para distribuir malware a través de actualizaciones legítimas.

Las víctimas de Lazarus abarcan diversos sectores, incluyendo instituciones financieras, empresas tecnológicas y organizaciones gubernamentales. Sus principales motivaciones parecen ser:

- Robo financiero: El grupo ha sido vinculado a ciberataques contra bancos y plataformas de criptomonedas, con el objetivo de financiar actividades ilícitas.

- Espionaje: Lazarus busca información estratégica, como datos militares, políticos o tecnológicos, que puedan beneficiar a sus patrocinadores.

- Desestabilización: Algunos ataques tienen como propósito generar caos o dañar la infraestructura crítica de sus objetivos.

Conocido por su sofisticación y motivaciones que combinan robo financiero, espionaje y desestabilización, este grupo representa un peligro creciente en el panorama de la ciberseguridad mexicana, siendo algunos de los ataques más relevantes:

En 2018, México fue escenario de un audaz intento de robo perpetrado por Lazarus contra el sistema financiero nacional. Según la Unidad de Investigaciones y Operaciones Tecnológicas de la Procuraduría General de la República (ahora FGR), hackers norcoreanos intentaron sustraer cerca de 100 millones de dólares. Aunque el ataque fue identificado y mitigado antes de causar pérdidas totales, se presume que los atacantes utilizaron técnicas como spear-phishing y explotación de vulnerabilidades en sistemas conectados a la red SWIFT, un método que Lazarus ha perfeccionado en asaltos similares, como el robo de 81 millones de dólares al Banco Central de Bangladesh en 2016.

Más recientemente, en 2022, Lazarus explotó vulnerabilidades en servidores de correo Zimbra (CVE-2022–27925 y CVE-2022–37042) para atacar dependencias gubernamentales mexicanas. La unidad de investigación de SILIKN reportó que el grupo extrajo aproximadamente 120 gigabytes de datos de buzones de correo, enfocándose en sectores de seguridad nacional e infraestructura crítica. Este ataque siguió a una filtración masiva de 6 terabytes de información de la Secretaría de la Defensa Nacional (Sedena) por el grupo hacktivista Guacamaya, que utilizó las mismas vulnerabilidades. Los incidentes destacan la persistencia de Lazarus en aprovechar fallos de seguridad no parcheados, particularmente en sistemas ampliamente utilizados por el gobierno mexicano.

Además, entre 2015 y 2016, Lazarus atacó bancos en México como parte de una campaña financiera global. Aunque los detalles específicos sobre las víctimas y el impacto en el país son limitados, estos ataques forman parte de una estrategia más amplia que combina malware personalizado, distracciones tácticas y transferencias fraudulentas para maximizar el lucro. La capacidad de Lazarus para adaptarse y reutilizar técnicas, como el ransomware WannaCry de 2017 o el robo de 1.5 mil millones de dólares a la plataforma de criptomonedas Bybit en 2025, subraya su peligrosidad y su interés en objetivos financieros.

Las organizaciones mexicanas más expuestas a los ataques de Lazarus incluyen dependencias gubernamentales, instituciones financieras, infraestructura crítica y sectores tecnológicos. Las secretarías como Sedena, Gobernación o Hacienda, que manejan datos sensibles y a menudo usan sistemas vulnerables como Zimbra, son blancos prioritarios para el espionaje.

En el sector financiero, el Banco de México (Banxico), bancos comerciales como Banorte o BBVA México, y plataformas de criptomonedas como Bitso enfrentan riesgos debido a la ambición de Lazarus por financiar al régimen norcoreano. La infraestructura crítica, como Petróleos Mexicanos (Pemex) y la Comisión Federal de Electricidad (CFE), es vulnerable a ataques que busquen interrumpir servicios o extorsionar. Asimismo, institutos de investigación como el Instituto Politécnico Nacional (IPN) y empresas tecnológicas emergentes podrían ser objetivos para el robo de propiedad intelectual.

La exposición de estas organizaciones se agrava por la falta de actualizaciones de software y la dependencia de sistemas obsoletos. Las vulnerabilidades en Zimbra, por ejemplo, siguen siendo un vector de ataque recurrente, ya que muchas entidades gubernamentales y privadas no han aplicado los parches necesarios. Además, la sofisticación de Lazarus, que incluye spear-phishing personalizado, malware destructivo y ataques a la cadena de suministro, exige una respuesta integral para mitigar riesgos.

Para protegerse, las organizaciones mexicanas deben actuar con urgencia. Aplicar parches de seguridad de inmediato, especialmente para software como Zimbra o Zoho ManageEngine (CVE-2022–47966), es fundamental. Capacitar al personal en la identificación de correos de phishing, implementar autenticación multifactor (MFA) robusta y segmentar redes para limitar el movimiento lateral de los atacantes son medidas esenciales. El monitoreo continuo con herramientas de inteligencia de amenazas y el mantenimiento de copias de seguridad offline también pueden prevenir o mitigar el impacto de ransomware o wiper malware.

La colaboración entre el sector público, privado y expertos en ciberseguridad es crucial para compartir inteligencia y fortalecer las defensas nacionales, pues el grupo Lazarus representa una amenaza significativa para México, con ataques que han puesto en riesgo la seguridad financiera, la estabilidad gubernamental y la infraestructura crítica.

Los incidentes de 2018 y 2022, junto con la actividad global del grupo, son un recordatorio de la necesidad de priorizar la ciberseguridad en todos los niveles. Fortalecer las defensas, actualizar sistemas y fomentar la cooperación internacional son pasos esenciales para proteger a México contra las tácticas avanzadas de Lazarus y salvaguardar los intereses nacionales.

Para más información, visite: https://www.silikn.com/