El grupo de ransomware RansomHub añadió al Gobierno de México en su lista de víctimas, apuntando específicamente a la Consejería Jurídica del Poder Ejecutivo Federal (CJEF). Según datos compartidos en su plataforma en la deep web, el grupo afirma haber encriptado y secuestrado 313 GB de información confidencial, lo que constituye un grave riesgo para la seguridad y operación de esta entidad clave en la administración pública.
La advertencia fue reportada inicialmente por el especialista en ciberseguridad y analista de amenazas Miguel Becerra, quien, a través de su cuenta en X, señaló que el dominio www[.]gob[.]mx podría haber sido comprometido por los atacantes.
¿Qué datos secuestro RansomHub?
- El grupo de ransomware asegura haber obtenido información altamente sensible, entre la que se incluyen:
- Contratos administrativos.
- Datos financieros.
- Información de seguros.
- Listas de funcionarios de la CJEF con nombre completo, fotografía, RFC, correo institucional y área de trabajo.
Como prueba de su ataque, el grupo publicó un contrato de lineamientos para el arrendamiento de inmuebles utilizados por la Consejería Jurídica. Esta dependencia, fundamental para la estructura administrativa del Ejecutivo Federal, es responsable de revisar y validar los instrumentos jurídicos que se someten a consideración del Presidente de la República y de elaborar los proyectos de iniciativas de ley que este presenta al Congreso de la Unión.
Plazo y consecuencias de una potencial filtración del Gobierno de México
El grupo de ciberdelincuentes otorgó un plazo de 10 días para que el gobierno de México pague el rescate. Aunque la cifra exigida no se ha hecho pública, RansomHub amenaza con liberar toda la información en la deep web si no se cumple con el pago.
Entre los archivos secuestrados se encuentran datos críticos que, de ser divulgados, podrían comprometer tanto la operatividad de la Consejería Jurídica como la confidencialidad de los funcionarios y las decisiones estratégicas del gobierno.
Cabe destacar que diversos especialistas como Víctor Ruiz, instructor certificado en ciberseguridad y fundador de SILIKN, recomiendan no pagar a los grupos de ransomware; sin embargo, la decisión también puede depender de las potenciales afectaciones.
“Al saber que la víctima paga, el grupo de ciberdelincuentes puede optar por vender, alquilar o intercambiar con otros grupos el acceso inicial, las credenciales o la información extraída, permitiendo que otros atacantes también se aprovechen de la situación”, alertó Ruiz en otro caso reciente de ransomware.
En referencia al ataque a la CJEF, Ruiz advirtió que los grupos cibercriminales especializados en ransomware, como RansomHub, suelen conservar la información utilizada para vulnerar los sistemas de una empresa o institución gubernamental: “Esto les permite, por un lado, ejecutar nuevos ataques contra las mismas víctimas, continuar extorsionándolas o incluso comercializar estos datos con otros grupos delictivos para amplificar el impacto del ataque”.
El especialista, en declaraciones para Publimetro México, señaló que es fundamental que el gobierno implemente medidas inmediatas y refuerce sus controles de seguridad, ya que, de no hacerlo, “corren el riesgo de que vuelvan a ser atacados y vulnerados en el transcurso de las siguiente semanas”.
¿Quién es RansomHub y cómo opera?
RansomHub es un grupo de ransomware que ha ganado notoriedad global por sus ataques bien organizados y su modelo de Ransomware-as-a-Service (RaaS). Fundado a inicios de 2024, tras el desmantelamiento del grupo ALPHV/BlackCat, RansomHub permite que sus afiliados (quienes utilizan su malware) ejecuten ataques y retengan el 90% de los pagos obtenidos, mientras que el grupo central recibe el 10%. Este modelo ha atraído a numerosos ciberdelincuentes y ha ampliado su impacto global.
El grupo opera bajo un conjunto de reglas que limitan sus objetivos. Por ejemplo, prohíben atacar hospitales sin fines de lucro y organizaciones en países como Cuba, Corea del Norte, y China. Sin embargo, se enfocan en instituciones y empresas con alta capacidad de pago, priorizando objetivos que manejan información sensible, como el sector gubernamental y corporativo.
Una de sus estrategias es liberar pequeñas muestras de datos robados para presionar a las víctimas a pagar. Si el rescate no se realiza, los datos completos son liberados en la deep web, exponiendo información confidencial que puede ser utilizada por otros actores malintencionados.
Víctimas mexicanas de RansomHub
México ha sido un blanco recurrente de este grupo. Entre sus víctimas más destacadas se encuentran:
- Grupo Aeroportuario del Centro Norte (OMA): RansomHub liberó 2.2 terabytes de información, incluyendo auditorías, contratos y datos de seguridad de 13 aeropuertos mexicanos.
- Universidad Nacional Autónoma de México (UNAM): En mayo de 2024, atacaron a la universidad, comprometiendo datos de más de 37,000 usuarios y empleados.
- Mabe: La empresa mexicana de electrodomésticos también fue blanco del grupo, con amenazas de liberar datos bancarios y personales de miles de clientes.
La creciente amenaza del ransomware en México
Este nuevo ataque al Gobierno de México subraya la creciente amenaza que representa el ransomware para las instituciones públicas y privadas en el país. Con datos estratégicos comprometidos y el riesgo de divulgación masiva en caso de incumplimiento, la presión sobre la CJEF es enorme. Este incidente también refuerza la necesidad de invertir en ciberseguridad y establecer protocolos robustos para prevenir y mitigar ataques cibernéticos que comprometen no solo a las organizaciones, sino a la confidencialidad y seguridad nacional.
