Decenas de sitios Hackeados del Gobierno Mexicano
Los gobiernos en México, tanto municipales, estatales o federales, tienen poco o nulo interés por la seguridad informática. Tras un trabajo de investigación, encontramos más de dieciséis sitios gubernamentales, vulnerados y que permanecen en el abandono o que sus administradores no se han dado cuenta que alguien los ha hackeado.
Pero ¿Qué hace tan preocupante a esta situación?
Ya han ocurrido ataques como los reportados por BAE Systems a entidades mexicanas y aún así, los gobiernos parecen haber hecho caso omiso de los resultados.
En febrero del 2017, Symantec y BAE Systems alertaron que habían bloqueado intentos de infección ligados a un Grupo de Hackers Norcoreanos “Lazarus Group” (El mismo grupo involucrado en el robo de 300 millones de pesos al SPEI) contra usuarios en Polonia, México y Uruguay con el mismo kit de explotación que infectó a bancos polacos. Los atacantes explotaron “Watering hole” para infectar las máquinas de una audiencia específica con un malware previamente desconocido.
Watering hole attack: Ataque de abrevadero por su traducción al español. Estos ataques consisten en comprometer sitios web específicos que serán probablemente visitados por las víctimas o sitios en los que ellos confían y colocar malware, robar contraseñas, robar información sensible y más.
De acuerdo con el análisis publicado por BAE Systems, uno de los dominios utilizados en el ataque “Watering hole” contra entidades financieras en Polonia, también estuvo dirigido a la Comisión Nacional Bancaria y de Valores de México.
También, en Junio del 2018, el equipo de Seekurity le notificó a la CNBV que uno de sus sistemas exponía públicamente información sensible de 1,700 usuarios, documentos e información interna. Dicho sistema pudo haber sido utilizado fácilmente para realizar ataques “Watering hole” contra entidades financieras mexicanas.
Hallazgos
La investigación de Seekurity consistió en identificar todos los sitios relacionados a los dominios de segundo nivel “GOB.MX”, dichos dominios solo están designados a entidades gubernamentales federales, estatales o municipales (.gob deriva de la palabra en español para: “Gobierno”).
Los sitios comprometidos pertenecen a algunos gobiernos como Estado de México, Sonora, Jalisco, Chiapas, Tlaxcala, Nuevo León, San Luis Potosí, Guerrero, Guanajuato, Veracruz, Hidalgo, Puebla, entre otros.
¿Cómo podría funcionar un ataque?
Listamos algunos ejemplos de cómo un atacante puede aprovechar la inseguridad de estos sitios gubernamentales y engañar a los empleados, aún cuando los empleados hayan recibido cursos de concientización en seguridad de la información.
Si algún empleado llega a dudar de la autenticidad de estos sitios, observará que realmente está en una página oficial pero no se dará cuenta que un atacante la controla.
- Un atacante puede generar una página falsa de inicio de sesión e invitar a empleados de gobierno a iniciar sesión con sus credenciales.
- Enviar correos a empleados de gobierno, invitándolos a descargar software malicioso que infectará el equipo y permitirá a los atacantes entrar a la red interna y atacar sistemas internos con información sensible.
- Engañar a personal de gobiernos aliados a colocar información sensible o descargar software en sus equipos.
Datos Abiertos de México
Gobierno de Sonora
Gobierno de Jalisco
Gobierno de Chiapas
Gobierno de Tlaxcala
Gobierno del Estado de México
Gobierno de Nuevo León
Gobierno de Guanajuato
Gobierno de San Luis Potosí
Gobierno de Guerrero
Gobierno de Querétaro
Gobierno de Veracruz
Gobierno de Hidalgo
Sin embargo, existe una larga lista de sitios gubernamentales “hackeados” y en algunos de ellos, los administradores ya han tomado medidas para eliminar los rastros dejados por los atacantes, pero con una simple búsqueda en Twitter “hacked gob.mx” podemos ver a otros investigadores que han reportado otros sitios en el pasado.
El gobierno de México comienza a dar pasos importantes en temas de Seguridad de la Información y Ciberseguridad. Los pasos recientes incluyen la Estrategia Nacional de Ciberseguridad (Noviembre 2017), la propuesta de creación de una Agencia Nacional de Ciberseguridad Informática (ANSI) y la iniciativa de Ley de Seguridad Informática.
Puedes ver los sitios web que han sido hackeados con el siguiente google dork:
https://www.google.com/search?q=Hacked+By+site:gob.mx
Fuentes: Seekurity y Hiram Camarillo