Un usuario identificado como ‘Onanist’ publicó en un foro de hackers la venta de cuentas de correo con el dominio oficial del gobierno de México, así como de otros países como Argentina, Brasil, India, Italia, Perú y Ucrania.
Según el usuario, quien tiene una amplia trayectoria en el foro y ostenta la insignia “GOD”, concedida solo a quienes han demostrado experiencia real en filtraciones y hackeos, los precios por dichas cuentas oscilan entre 90 y 140 dólares, es decir, entre 1,645 y 2,559.12 pesos mexicanos.
La publicación inmediatamente captó la atención en este foro, el más famoso entre la comunidad de ciberatacantes, ya que otros usuarios han expresado su interés en adquirir las cuentas de correos oficiales, las cuales pueden ser utilizadas para diversos fines delictivos.
¿Qué dice el posible hacker?
Publimetro México contactó al vendedor para obtener más información sobre su oferta y su opinión respecto a la ciberseguridad en México. El presunto atacante comentó:
En cuanto al dominio específico gob[.]mx, Onanist destacó que vende correos electrónicos de ese dominio, pertenecientes a funcionarios de distintos niveles de gobierno, por 100 dólares, es decir, alrededor de 1,826 pesos mexicanos.
¿Cómo pueden acceder a estas cuentas?
Según Nicolás Azuara, analista en ciberseguridad consultado por Publimetro México, las credenciales de acceso pudieron ser obtenidas de diversas formas. Esto podría deberse a que el funcionario cayó en una campaña de phishing, por fuerza bruta, o a través de malware como infostealers, insiders (personas dentro de la institución que filtran información a propósito) o hackeos a las dependencias, como en el caso de Chilango Leaks, donde el hacker conocido como Lord Peña accedió a más de 2,000 cuentas de correos de funcionarios de la Ciudad de México.
“Las cuentas de correo electrónico de empresas y gobiernos son un negocio lucrativo para los cibercriminales: una sola cuenta comprometida puede ser usada en infinidad de fraudes. Estos accesos los consiguen mediante campañas phishing, usando infostealers o explotando vulnerabilidades en los servidores. También pueden provenir de un insider o simplemente la contraseña es débil”, señaló Nicolás Azuara.
El especialista en seguridad informática también enfatizó la importancia del uso de autenticación de dos factores (2FA) para dificultar el acceso no autorizado a las cuentas, incluso si la contraseña ha sido comprometida. Además, recomendó que empresas y gobiernos implementen medidas para monitorear y detectar intrusiones en sus equipos y redes, sigan políticas de confianza cero y capaciten constantemente a sus empleados.
¿Qué tan expuesto está el gobierno?
Existen herramientas como Intelx, que permiten la búsqueda y análisis de información de diversas fuentes, incluidas bases de datos públicas, archivos filtrados y la dark web. En este sitio de paga hay información comprometida y publicada en línea, como bases de datos de usuarios, contraseñas y otros datos sensibles.
Una búsqueda específica del dominio gob[.]mx revela al menos 1,992 registros de logs obtenidos a través de filtraciones, lo que corresponde al 15.63% de todos los archivos, así como filtraciones restringidas (14.97%) y filtraciones públicas, como WikiLeaks (4.71%), entre muchas otras.
Asimismo, herramientas como Hudson Rock revelan, en el caso de vulnerabilidades con el dominio cdmx[.]gob[.]mx, que habría cerca de 33,000 usuarios comprometidos, así como 328 empleados, incluyendo credenciales de diferentes accesos.
