El ciberataque a la Consejería Jurídica del Ejecutivo Federal (CJEF) ha puesto en evidencia el riesgo de posibles vulnerabilidades internas en el gobierno de México, principalmente después de que analistas de ciberseguridad han advertido la posibilidad de que empleados o exempleados hayan facilitado el acceso a RansomHub, el grupo de ransomware responsable del ataque.
Según Víctor Ruiz, instructor certificado en ciberseguridad, fundador de SILIKN y líder del Capítulo Querétaro de la Fundación OWASP —quien incluso alertó el pasado 1 de julio sobre los riesgos de posibles insiders debido al cambio de gobierno—, el riesgo de una megafiltración de información es alto y existen varios riesgos que podrían desatarse después de este ataque.
“El rumor es que un empleado o exempleado pudo haber vendido las credenciales de acceso al sistema de la CJEF o información sobre la topología y segmentación de la red. Esto no sería una sorpresa, considerando el cambio de administración y la falta de controles robustos”, afirmó Ruiz en declaraciones para Publimetro México.
Insiders: la amenaza invisible
Ruiz advirtió que el reciente cambio de gobierno, que lleva apenas un mes en funciones, podría haber dejado brechas de seguridad significativas. Muchos exfuncionarios podrían seguir teniendo acceso a las redes gubernamentales, mientras que empleados actuales, sin restricciones claras o controles efectivos, podrían comercializar información confidencial.
Estas vulnerabilidades internas no solo podrían facilitar futuros ciberataques, sino que también permitirían a grupos como RansomHub moverse lateralmente dentro de la red gubernamental, ampliando su alcance y comprometiendo otras dependencias clave. “La información sobre cómo está estructurada la red del gobierno tiene un impacto mayor que los datos ya robados, porque permite a los atacantes explorar y explotar nuevos objetivos”, explicó Ruiz.
RansomHub y el impacto de los insiders
RansomHub, conocido por cumplir sus amenazas, ha dado un plazo hasta el 25 de noviembre para que el gobierno de México pague un rescate antes de liberar 313 GB de datos sensibles de la CJEF. Aunque la información publicada como prueba incluye contratos y datos personales de funcionarios, Ruiz señaló que el verdadero peligro radica en el acceso que los atacantes podrían tener a la red del gobierno.
“La capacidad de moverse lateralmente dentro de la red significa que el ataque a la CJEF podría ser solo el inicio. Sin controles adecuados, otras dependencias podrían ser blanco de ransomware antes de que termine el año”
— Víctor Ruiz, instructor certificado en ciberseguridad, fundador de SILIKN y líder del Capítulo Querétaro de la Fundación OWASP
Recomendaciones urgentes para mitigar riesgos
Ante este escenario, Ruiz presentó una serie de medidas urgentes que el gobierno debería implementar de inmediato para reducir los riesgos asociados con insiders:
- Principio de privilegios mínimos: Limitar el acceso a sistemas y datos exclusivamente a lo necesario para realizar cada trabajo.
- Segmentación de la red: Dividir la red en zonas para minimizar el impacto de un insider comprometido.
- Revocación inmediata de accesos: Cancelar todas las credenciales y accesos de ex-empleados de forma inmediata.
- Control de acceso y MFA: Implementar autenticación multifactorial y auditar regularmente los permisos de los usuarios.
- Monitoreo continuo: Utilizar herramientas como SIEM para identificar comportamientos sospechosos en tiempo real.
- Capacitación y cultura organizacional: Educar a los empleados sobre los riesgos y fomentar una ética laboral positiva.
- Plan de respuesta a incidentes internos: Diseñar procedimientos específicos para detectar y mitigar amenazas internas.
Ruiz enfatizó que estas medidas no solo prevendrían filtraciones adicionales, sino que también fortalecerían la seguridad general de las dependencias gubernamentales en un momento crítico.
