El pasado 29 de septiembre se dio a conocer de manera masiva el grupo hacktivista autodenominado Guacamayas, a través del medio de comunicación Latinus, anunciando su existencia y el hackeo a empresas e instancias de seguridad de diversos países latinoamericanos, incluyendo México, aunque el contenido de toda la información aún está por revelarse.
Lo que no se puede negar es que abrió muchos temas que deben ser discutidos y atendidos con urgencia, como el estado de la ciberseguridad del estado mexicano; pues la Secretaría de la Defensa Nacional (SEDENA) se presentó como víctima de este grupo y seguramente también de su propia negligencia.
Guacamaya apareció en marzo de este año, cuando reveló información privada de la minera Fénix en Guatemala, seguido por otros ataques a empresas petroleras y otras industrias. el 19 de agosto la línea cambió cuando anunció su ataque al Ejército chileno, en el mismo comunicado anunciaba que también había hecho lo suyo en México, Colombia, Perú y El Salvador.
En ese momento saltaron las alarmas de los expertos en ciberseguridad, alarmas que debieron haber sonado antes y al interior de la SEDENA.
Cómo ocurrió el ataque
Es por la página Enlace hacktivista que el grupo Guacamaya ha dado a conocer sus acciones, incluso han sido tan benévolos que subieron un video en el que enseñan paso a paso como han sido sus ataques, de igual manera han salido a hacer precisiones o correcciones si lo han considerado necesario, como fue el caso de sus apócrifas redes sociales y el pequeño pero importante detalle en el hackeo mexicano. Con esto nos referimos a la aclaración sobre que a diferencia de los otros ataques en donde usaron una proxyshell de Microsoft Exchange, en México usaron una vulnerabilidad en Zimbra.
Empecemos, Microsoft Exchange es un programa que se utiliza para trabajar desde la nube con correo electrónico, que además permite colaborar con otras cuentas; en 2021 especialistas se percataron que existía una brecha de seguridad, digamos una puerta trasera que nadie se había dado cuenta que estaba abierta, por la que podían entrar y sacar información sin ser detectados, por lo que crearon parches para tapar estas vulnerabilidades y fueron lanzadas entre mayo y julio del 2021, para que estuvieran instaladas sólo había que bajar las actualizaciones del sistema y listo.
Pero como ya sabemos que la mayoría de las veces las cosas no funcionan de la manera ideal, muchas organizaciones, incluyendo a gobiernos latinoamericanos, no lo hicieron o lo hicieron muy tarde y ya había intrusos dentro de sus sistemas gracias a la instalación de proxyshell, que son un conjunto de órdenes que se dan al servidor desde otro lugar para poder aprovechar estas vulnerabilidades.
El caso de México es algo muy similar al de sus homólogos, con la diferencia que aquí se introdujeron a través de una vulnerabilidad de Zimbra, un programa que también da servicio desde la nube de correo electrónico y calendario que puede ser compartido con otros. Así que, primero buscaron la puerta abierta, dejaron un exploit, que es como una bombita con una pequeña carga de acciones para poder entrar, con esto crearon un caminito o cadena, para después dejar una webshell, que es lo mismo que la proxyshell, un conjunto de comandos para ejecutar una acción y finalmente, con esto lograron escalar a otorgar privilegios, es decir que el sistema les dejaba hacer lo que quisieran sin pedir una contraseña o verificar su identidad.
Es importante aclarar que en este caso también ya existía un aviso sobre la existencia de esta brecha y parches para componerla desde principios de agosto de este año, incluso gobiernos como Uruguay, República Dominicana y Colombia ya tenían advertencias sobre esto en sus páginas oficiales. De nuevo, alguien no hizo su trabajo cuando y como debía.
Después de haber entrado al sistema sin ser detectados (que déjeme decirle no es una tarea para cualquiera, hay que saberle, y mucho) encontraron que ya había más webshells instaladas de otros hackers y también estaban sacando información, en cuanto a lo que corresponde a Guacamayas estuvieron obteniendo información por aproximadamente un mes; comúnmente o idealmente, una acción como esto hubiera prendido lo que se llama en ciberseguridad, indicadores de compromiso, que es básicamente una alarma que te dice “¡Cuidado, alguien se metió y te está robando!”, tampoco fue el caso de la SEDENA, pues durante este ataque y los anteriores nadie se cuenta.
Durante el hackeo los ciberatacantes fueron borrando sus movimientos, esto hace posible que se dificulte saber con el análisis forense cómo entraron, si lo hicieron por ingeniería social, es decir alguien dio click en un enlace que no debía, tuvieron información privilegiada, o de plano tuvieron mucha paciencia y mucha suerte, además será difícil saberde qué hicieron, qué borraron y más importante qué dejaron.
El grupo hacktivista sacó 6 terabytes de información, que es igual a tener en su computadora 1500 películas en HD o 39 millones de páginas escritas en Word. Esto lo hace el robo de información a gobierno más grande en Mëxico, se van a necesitar meses, mucho almacenamiento, personas y tiempo para que la información pueda ser revisada y verificada, porque confiamos en que así sea.
De acuerdo a las Guacamayas, la información ya se había hecho pública a varios medios de comunicación, pero fue sólo Latinus quien la puso en evidencia en nuestro país, aunque muchos esperaríamos que hubieran ventilado algo de mayor calidad que la conocida salud del presidente.
Lo que nos deja el ataque
Como es de esperar en un caso de esta magnitud deja más incógnitas por resolver que certezas. Para empezar, nos queda claro que el presupuesto debería de ser mayor y no limitarse en el tema de ciberseguridad, también no podemos obviar la urgencia de una estrategia nacional de ciberseguridad que los gobiernes anteriores han dejado pendiente, pero dejemos el espacio para las dudas sin resolver.
Mientras tanto, ya se está haciendo un análisis forense para saber lo que pasó dentro de la SEDENA y qué permitió este ataque. El resultado será público y cómo se procederá con los responsables, como el prestador de servicios de seguridad.
¿Quiénes son los que entraron antes y dónde está esa información? ¿Qué consecuencias habrá en cuanto a políticas públicas de ciberseguridad en el gobierno mexicano? ¿Habrá otras dependencias aún vulnerables o que ya han sido vulneradas en el gobierno? Y algo crucial: saber quién verificará la veracidad de la información publicada a consecuencia del ataque y quiénes serán recibirán dicha información por parte del grupo Guacamayas.
Es importante resaltar que el talento mexicano ha levantado la voz en estos días para acompañar la información e impulsar el trabajo nacional, el cual deberíamos estar altamente orgullosos; no olvidemos que somos también nosotros, la ciudadanía, quienes tenemos que agregar a nuestro cotidiano la ciberseguridad.
Hemos explicado de la manera más simple, cómo sucedió el ataque y así, querido lector, esperamos haber aportado información suficiente para que pueda sacar sus propias conclusiones.
