Casi una veintena de dependencias del gobierno de México, tanto a nivel estatal como federal, se encuentran en riesgo ante la aparición de un nuevo ataque de phishing que utiliza herramientas avanzadas para robar credenciales de acceso a cuentas de Microsoft 365.
De acuerdo con Víctor Ruiz, instructor certificado de ciberseguridad y fundador de SILIKN, esta campaña pone en riesgo el servicio de correo más usado por las dependencias públicas y sería capaz de burlar la autenticación multifactor, accediendo a información confidencial de miles de funcionarios.
“Recientes campañas maliciosas de correo electrónico han sido identificadas utilizando un kit de phishing como servicio (PhaaS) conocido como Rockstar 2FA, diseñado específicamente para robar credenciales de cuentas de Microsoft 365″
— Víctor Ruiz, instructor certificado de ciberseguridad y fundador de SILIKN
Entre los organismos afectados se encuentran el Instituto Mexicano del Seguro Social (IMSS), el Servicio de Administración Tributaria (SAT), gobiernos estatales como los de Yucatán y Tabasco, así como instituciones locales de agua potable, congresos estatales y entidades como el Canal del Congreso, de acuerdo con el análisis de Víctor Ruiz.
¿Cómo funciona el ataque Rockstar 2FA?
La campaña emplea una técnica avanzada conocida como “Adversario en el Medio” (AitM). A diferencia de otros métodos, este tipo de ataque puede superar la autenticación multifactor, esa segunda capa de seguridad que muchos consideran casi infalible.
En palabras de Ruiz, “este ataque funciona como un intermediario que intercepta y manipula las comunicaciones entre el usuario y el servidor, capturando las credenciales y permitiendo al atacante suplantar la identidad de la víctima en tiempo real”.
El ataque se lleva a cabo utilizando un kit llamado Rockstar 2FA, disponible en plataformas como Telegram, donde ciberdelincuentes sin experiencia técnica pueden adquirirlo por menos de $350 dólares al mes. Este software permite crear páginas falsas que imitan a la perfección las de Microsoft 365 o las propias interfaces de las dependencias gubernamentales, engañando a los usuarios para que ingresen sus datos de acceso.
Asimismo, aprovecha servicios legítimos como Atlassian Confluence, Google Docs Viewer, LiveAgent, Microsoft OneDrive, OneNote y Dynamics 365 Customer Voice para alojar enlaces de phishing, explotando la confianza asociada a estas herramientas.
¿Cómo llegan los correos maliciosos?
Según Víctor Ruiz, los atacantes utilizan mensajes disfrazados de notificaciones legítimas, como solicitudes de firma electrónica o intercambios de documentos. Estos correos incluyen enlaces que llevan a páginas falsas, diseñadas para parecer completamente auténticas. Incluso usan servicios legítimos como Google Docs Viewer o Microsoft OneDrive para alojar los enlaces, explotando la confianza que las personas tienen en estas plataformas.
Ruiz explica que una vez que la víctima introduce sus datos, estos son enviados al atacante, quien puede acceder directamente a la cuenta, evadiendo las medidas de seguridad. “Esto les permite realizar actividades maliciosas en nombre de la víctima, desde el robo de información hasta fraudes financieros”, añade.
¿Cómo puede impactar al SAT y al IMSS?
La filtración de credenciales puede ser devastadora para organismos como el IMSS, que maneja información de millones de pacientes, o el SAT, cuya base de datos contiene detalles fiscales críticos. También afecta a entidades estatales y locales, como organismos de agua potable y congresos, que dependen de estas cuentas para operar de manera segura. Si los ciberdelincuentes acceden a estas cuentas, podrían realizar desde sabotajes internos hasta la difusión de información falsa.
¿Qué pueden hacer las instituciones y usuarios para evitar ser víctimas de Rockstar 2FA?
La solución no está solo en la tecnología, sino también en la educación de los usuarios. Según Ruiz, es crucial que las instituciones implementen medidas de seguridad más robustas, como autenticación multifactor basada en hardware o biometría, y que entrenen a su personal para detectar intentos de phishing. Además, recomienda usar herramientas avanzadas que monitoreen actividades sospechosas y detecten enlaces maliciosos antes de que lleguen a los usuarios.
“Las organizaciones deben emplear soluciones de detección y respuesta contra amenazas (XDR), monitoreo continuo de accesos sospechosos, y herramientas que inspeccionen enlaces en tiempo real para identificar redirecciones maliciosas, además de limitar los permisos de acceso a cuentas sensibles”
— Víctor Ruiz, instructor certificado de ciberseguridad y fundador de SILIKN
Las dependencias más expuestas a este ataque son las siguientes:
- Instituto Mexicano del Seguro Social (IMSS)
- Servicio de Administración Tributaria (SAT)
- Gobierno del Estado de Yucatán
- Gobierno del Estado de Tabasco
- Canal del Congreso
- Unidad De Especialidades Médicas del Estado de Baja California
- Organismo Operador Municipal de Agua Potable, Alcantarillado y Saneamiento de Cajeme del Estado de Sonora
- Congreso del Estado de Yucatán
- Sistema Operador de los Servicios de Agua Potable y Alcantarillado del Municipio de Atlixco del Estado de Puebla
- Agua y Saneamiento de Toluca del Estado de México
- Sistema Integral del Aseo Público de León del Estado de Guanajuato
- Gobierno del Estado de Colima
- Consejo de Ciencia y Tecnología del Estado de Tabasco
- Ayuntamiento de Champotón del Estado de Campeche
- Secretaría del Agua y Medio Ambiente del Gobierno del Estado de Zacatecas
- Secretaría de Asuntos Parlamentarios del Estado de México
