Ciberataques avanzados explotan vulnerabilidades en ASP.NET y amenazan a CFE, Conagua y otras infraestructuras críticas en México

julio 09, 2025

Ciberataques avanzados explotan vulnerabilidades en ASP.NET y amenazan a CFE, Conagua y otras infraestructuras críticas en México

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

Una sofisticada operación cibernética ha sido identificada recientemente, liderada por un grupo de brokers de acceso inicial (IAB, por sus siglas en inglés), quienes han estado explotando claves de máquina filtradas en sitios web desarrollados con ASP.NET para obtener acceso no autorizado a organizaciones específicas. Entre los objetivos destacan entidades clasificadas como infraestructura crítica.

Los brokers de acceso inicial son actores criminales especializados en infiltrarse en redes y sistemas informáticos para luego vender ese acceso a otros grupos de ciberdelincuentes, especialmente aquellos dedicados al ransomware. Actúan como intermediarios en la cadena del cibercrimen, facilitando que otros actores maliciosos penetren en sistemas vulnerables.

El grupo detrás de esta campaña ha sido identificado como Prophet Spider, un colectivo que compromete servidores web vulnerables para fungir como canal de acceso a terceros, quienes posteriormente despliegan ransomware. Sus ataques han estado dirigidos principalmente a organizaciones ubicadas en Europa y Estados Unidos, afectando sectores como servicios financieros, manufactura, comercio minorista y transporte.

Este grupo utiliza una técnica avanzada conocida como deserialización del estado de vista de ASP.NET, lo que les permite ejecutar cargas maliciosas directamente en la memoria del servidor, minimizando así cualquier rastro forense detectable.

Los atacantes se valen de listas públicas que contienen claves de máquina comprometidas — claves criptográficas utilizadas para proteger los estados de vista en aplicaciones ASP.NET — para construir cargas de deserialización maliciosas que burlan las medidas de seguridad nativas. Estas cargas se generan mediante herramientas como ysoserial.net y se inyectan a través del parámetro __VIEWSTATE en solicitudes HTTP.

Una vez que estas cargas son procesadas, el código malicioso se ejecuta dentro del contexto del proceso de trabajo de Internet Information Services (IIS), otorgando a los atacantes la capacidad de ejecutar comandos, transferir archivos y mantener el acceso sin dejar evidencia tradicional en disco. Esta técnica requiere un intento de explotación por cada comando ejecutado, lo que establece una relación de uno a uno entre cada intento y su ejecución correspondiente.

Durante la investigación se han identificado varios conjuntos .NET empleados en estos ataques, los cuales incluyen módulos especializados para ejecución de comandos, carga de archivos y verificación de explotación exitosa.

Prophet Spider también ha sido observado utilizando de forma reiterada el directorio C:\Windows\Temp\111t como espacio de pruebas, así como herramientas personalizadas como “updf”, un binario que simula ser legítimo, pero que en realidad aprovecha el exploit GodPotato para escalar privilegios y obtener acceso con nivel de SISTEMA en los equipos comprometidos.

El patrón de ataques sugiere un enfoque oportunista, consistente con la metodología del grupo, que si bien apunta a múltiples industrias, pone especial énfasis en aquellas relacionadas con infraestructura crítica.

Tras obtener acceso, el grupo realiza tareas extensas de reconocimiento utilizando comandos nativos de Windows y herramientas diseñadas a medida como TxPortMap, un escáner de puertos basado en el lenguaje de programación Go (Golang).

Según el análisis de comportamiento del grupo, su objetivo principal continúa siendo el de establecer y mantener accesos iniciales, que posteriormente pueden ser comercializados con otros actores delictivos dentro del ecosistema del cibercrimen.

Esta campaña pone en evidencia importantes puntos ciegos en los esquemas tradicionales de monitoreo de seguridad, ya que los ataques basados en la deserialización del estado de vista pueden ejecutarse sin dejar señales visibles a menos que se cuente con una telemetría avanzada.

Uno de los mayores desafíos de detección radica en el uso de solicitudes POST, las cuales frecuentemente no son registradas por la infraestructura de seguridad estándar, lo que dificulta la identificación de actividades maliciosas.

En México, un análisis realizado por la unidad de investigación de SILIKN reveló que aproximadamente 400 dependencias gubernamentales presentan configuraciones vulnerables similares, entre las que se encuentran la Comisión Federal de Electricidad (CFE) y la Comisión Nacional del Agua (Conagua), ambas consideradas parte esencial de la infraestructura crítica del país.

La CFE ha sido históricamente un objetivo frecuente de ciberataques, debido a su rol estratégico en el sector energético. Desde 2015 — cuando cerca del 70% de los ataques dirigidos al gobierno federal se centraron en la CFE y Pemex — hasta 2019, con más de 4,200 incidentes reportados en apenas cinco meses, la empresa ha estado en la mira de cibercriminales interesados en obtener datos sensibles o interrumpir operaciones. En 2020, la Auditoría Superior de la Federación (ASF) advirtió sobre fallas en sus controles de ciberseguridad, entre ellas la falta de actualizaciones y pruebas de penetración. Como respuesta a las amenazas crecientes, la CFE invirtió recientemente más de 400 millones de pesos en 2025 para la modernización de sus sistemas y reforzamiento del monitoreo, especialmente tras incidentes globales como apagones y ataques atribuidos a grupos como Guacamaya.

Por otro lado, la Conagua sufrió un severo ataque en abril de 2023, cuando el ransomware BlackByte paralizó sus sistemas, incluido el Sistema Nacional de Información del Agua y los servidores del Servicio Meteorológico Nacional. Esta intrusión, que explotó vulnerabilidades en servidores Microsoft Exchange, no solo afectó procesos administrativos, sino que puso en riesgo datos esenciales relacionados con la infraestructura hídrica del país. En 2024, Conagua fue enlistada entre las 39 dependencias gubernamentales más vulnerables a ataques de ransomware, revelando un rezago de hasta 15 años en sus prácticas de ciberseguridad.

Frente a esta amenaza, expertos recomiendan que las organizaciones revisen de manera urgente sus implementaciones de ASP.NET para detectar la posible exposición de claves de máquina comprometidas. Es crucial asegurar que esté habilitada la firma de código de autenticación de mensajes (MAC) del estado de vista.

También se insta a las organizaciones a implementar el registro condicional de solicitudes POST, monitorear el ID de evento 1316 de Windows — indicador clave de fallos en deserialización — y considerar la adopción de soluciones avanzadas de detección en endpoints que sean capaces de identificar la carga reflexiva de ensamblajes .NET, técnica empleada por Prophet Spider para eludir controles tradicionales.

Este caso expone con claridad cómo brechas en configuraciones aparentemente menores pueden convertirse en puertas de entrada para ciberataques de gran escala, afectando tanto a empresas privadas como a dependencias clave del sector público. La vigilancia continua, el monitoreo avanzado y la actualización permanente de infraestructuras tecnológicas son esenciales para contener esta nueva ola de amenazas.

Para más información, visite: https://www.silikn.com/