‘Hackeo’ como el de Sedena deja huellas un año antes de llevarse a cabo
Julio Gutiérrez
Los grandes hackeos o robos cibernéticos de información –como el que se asegura fue cometido por un grupo de piratas informáticos hasta ahora desconocido contra la Secretaría de la Defensa Nacional (Sedena)– toman poco más de un año de trabajo de los ciberdelincuentes, pero comienzan a dejar huella en los sistemas de gobiernos y empresas 12 meses antes de concretarse, afirmaron expertos en ciberseguridad consultados por La Jornada.
Explicaron que si bien el robo de información en grandes cantidades toma unos minutos, su planificación se realiza en grupos desde meses atrás, y los ciberdelincuentes “van lanzando buscapiés”, principalmente con correos, a lo largo de este tiempo para comenzar a vulnerar los servidores de sus blancos.
“Hay mecanismos para robar información en cuestión de minutos, pero el caso que se ha mencionado de la Sedena, en particular, lleva tiempo; tomó meses, no fue algo que se hiciera en cinco minutos. Estimamos que llevó aproximadamente 16 meses de trabajo en los que se armó y se identificó cómo robar la información. Se buscaron contratos, estados financieros, etcétera”, señaló Lorena Bravo, directora de tecnología y transformación digital de Oracle en México.
Pishing o troyanos
El mecanismo más común usado por los ciberdelincuentes es el pishing o los troyanos, que consiste en enviar correos con ligas trampas de páginas de Internet, difíciles de identificar. Una vez que una persona accede a estos sitios, los atacantes comienzan su trabajo de inteligencia y de robo de información.
“Cuando hablamos de ciberataques, los grupos de criminales están cada vez más organizados. Ya hemos visto evidencia de eso en el pasado. Los atacantes utilizan diversas técnicas y procedimientos que van desde correos hasta mensajes de texto con links a sitios web maliciosos… El software malicioso a nivel general, y dependiendo de la tecnología que use, puede efectuarse de un día para otro o ir infectando los sistemas de una organización poco a poco de un modo sigiloso por meses”, expresó Arturo Torres, estratega de ciberseguridad para FortiGuard Labs, división de investigación de Fortinet para América Latina y el Caribe.
Espionaje
Lorena Bravo señaló que el sistema de espionaje que pudo haber sido utilizado en el hackeo a la Sedena fue el mismo utilizado por el grupo ruso Revil, el cual también penetra los servidores por medio de correos, pero además de robar la información, tiene la capacidad de acceder a cámaras y micrófonos de las computadores, por lo que funciona como una especie de espionaje.
“Una vez que entran, roban documentos estratégicos y hacen una copia perfecta de los documentos y los servidores. Luego se usa un mecanismo llamado Lokbit, el cual tiene la capacidad robar hasta 50 gigas de información en menos de 4 minutos; descargas la información, la copias y sigues, es decir, si te atrapan te cierran el acceso, pero con la copia puedes seguir”, mencionó Bravo.
Sin embargo, estos trabajos dejan huella, sobre todo los que se hacen por medio de correos electrónicos, y al menos desde hace 12 meses el gobierno y las empresas mexicanas habrían sido alertados sobre estas amenazas, precisó Miguel Hernández y López, gerente de ingeniería de seguridad de la firma especializada en seguridad cibernética Check Point México.
“Los hackeos como el de México y Latinoamérica se dan por vulnerabilidades en sistemas de correos electrónicos. Desde el año pasado se dio a conocer esta información; si hay estas alertas y no cuentas con los sistemas necesarios para protegerte y parchar los sistemas, hay un riesgo de ser atacado”, detalló el experto.
Advertencias
Comentó que la Universidad Nacional Autónoma de México y otras agencias internacionales ya habrían advertido de estas vulnerabilidades a gobiernos y empresas de la región por medio de CERTS, que son alertas presentadas confidencialmente antes de hacerse públicas.
Según Torres, el número de variantes de ransomware –mecanismos para robar y secuestrar la información de una empresa o gobierno– detectados pasó de 5 mil 400 en 2021 a 10 mil 666 hasta la primera mitad de 2022.
Con información de La Jornada