Una investigación de ciberseguridad reveló que más de 570 computadoras de instituciones gubernamentales en México —asociadas con el dominio [.]gob[.]mx— han sido infectadas con un malware especializado conocido como infostealers.
Este software malicioso, diseñado para robar datos sensibles como contraseñas, ha facilitado el acceso de ciberdelincuentes a sistemas críticos del gobierno, comprometiendo la seguridad de la información pública y exponiendo a millones de ciudadanos y funcionarios a riesgos de suplantación de identidad y otros ataques.
Según la unidad de investigación de SILIKN, liderada por el experto en ciberseguridad Víctor Ruiz, estos ciberataques no solo se deben a fallos técnicos en los sistemas, sino también a actividades ilícitas de empleados o exfuncionarios que han vendido o compartido credenciales legítimas con grupos cibercriminales.
“Las vulneraciones han sido facilitadas tanto por actividades ilícitas de empleados o ex-empleados, quienes han vendido o compartido credenciales legítimas con grupos cibercriminales”, explica Ruiz.
La investigación de SILIKN identificó que el uso de malware infostealer ha sido clave para comprometer las redes gubernamentales. Estos programas permiten a los atacantes obtener credenciales de acceso y aprovecharlas para obtener información confidencial.
Los infostealers más notorios utilizados en estos ataques incluyen Redline Stealer, Raccoon Stealer, Formbook y Lumma Stealer. Estos malware son capaces de robar contraseñas de navegadores, registros de teclas y datos del sistema operativo, lo que da a los atacantes un acceso crucial para realizar movimientos más complejos en los sistemas infectados.
¿Qué son los infostealers y por qué son tan peligrosos?
El malware infostealer funciona como un ladrón digital, recopilando y exfiltrando datos sensibles de las víctimas. A través de estos programas, los ciberdelincuentes han logrado robar información interna vital de diversas dependencias gubernamentales, exponiendo millones de correos electrónicos, contraseñas y datos de usuarios.
“Mediante este tipo de malware, los atacantes han logrado extraer y exfiltrar una gran cantidad de datos internos, incluidos millones de correos electrónicos y nombres de usuarios de diversas dependencias”, añade Víctor Ruiz.
Cientos de computadoras de gobierno infectadas
Un caso específico que ilustra el impacto de los infostealers es el relacionado con los sitios web con dominio “gob.mx”. Según el análisis de SILIKN, se han identificado 572 computadoras comprometidas asociadas a este dominio, junto con 54 credenciales de empleados de terceros. Estas credenciales robadas actúan como puerta de entrada para que los ciberdelincuentes se infiltran en los sistemas y realicen ataques más sofisticados.
Además, un análisis reciente realizado por Publimetro México refuerza la magnitud del problema. Tan solo el pasado fin de semana, en un foro de ciberdelincuencia, se filtraron más de 250,000 contraseñas, de las cuales aproximadamente 2,000 pertenecen a instituciones gubernamentales con la extensión [.]gob[.]mx.
Entre las credenciales encontradas, se incluyen cuentas de correo de funcionarios de las fiscalías de Edomex, Puebla, Veracruz, Nuevo León y Aguascalientes, así como de la Subsecretaría de Educación Media Superior, la Autoridad Educativa Federal en la Ciudad de México (AEFCM) y el ISSSTE, entre otros.
El riesgo de las contraseñas débiles
Estas filtraciones subrayan la gravedad de los ataques y la amenaza que representan los infostealers y las traiciones internas de empleados o exfuncionarios. La debilidad de las contraseñas, junto con la falta de políticas de seguridad adecuadas, ha facilitado el acceso de los ciberdelincuentes a sistemas gubernamentales cruciales.
La información robada, como correos electrónicos y datos de acceso, puede ser utilizada en ataques posteriores de phishing, suplantación de identidad e incluso para intentar sabotear operaciones clave.
“La filtración de datos en diversas dependencias del gobierno de México resalta la creciente amenaza de los infostealers”, señala Ruiz. Él enfatiza que es imperativo que el gobierno mexicano refuerce sus políticas de ciberseguridad, implemente contraseñas más robustas y aumente la concientización sobre los riesgos de la ingeniería social entre los empleados.
Incidentes de ciberseguridad más relevantes a los gobiernos de México
Víctor Ruiz expuso algunos de los incidentes informáticos que más han impactado en los últimos años:
- Ciberataque de 2024 a la Consejería Jurídica de la Presidencia, en el que el grupo RansomHub filtró 206 GB de datos sensibles, aunque posteriormente se borró la liga.
- El ataque masivo de 2022 contra la Sedena, perpetrado por el colectivo Guacamaya, que expuso 7 terabytes de documentos clasificados.
- La continua vulnerabilidad de Pemex frente a ciberataques, además de compromisos de seguridad en instituciones como Conagua, el Sistema de Acreditación de Prensa de Presidencia y la plataforma Llave CDMX.
