El ciberataque a la Fiscalía de Quintana Roo y el data breach de sus registros

Dentro de la "reducida" (en comparación a otros sectores profesionales mucho más numerosos) comunidad de investigadores en cibercriminalidad, es muy común acostumbrarse a que pocas noticias de ciberataques lleguen a filtrarse a los principales medios de comunicación, ya sea porque estos temas son difíciles de tocar para quienes redactan las notas debido al nivel de conocimiento requerido para redactar apropiadamente, o en un terreno de mayor especulación, debido a que esto significaría mostrar vulnerabilidades de poderosos organismos públicos y privados.

Si bien no quedó claro la razón por la cual el caso de data breach que se presentó a inicios del mes de enero de 2023 dentro de la Fiscalía de Quintana Roo no llegó a recibir una cobertura mediática considerable, sí nos hemos encontrado que la información filtrada corresponde a una enorme cantidad de registros de datos confidenciales (al menos así se planteaba en el mensaje de difusión de la información).

No obstante, al investigar sobre el tratamiento que se le dio a este incidente de parte de los servidores públicos involucrados, se encontró que existen declaraciones y comunicados oficiales, donde "aclaran" que esta información corresponde a "registros menores" y que la sensibilidad de los datos filtrados, no tienen la gravedad que se ha mencionado por parte del autor de la publicación donde se dio a conocer la respectiva filtración.

Es menester recordar que en los casos de ciberataques a gobiernos (y esto no se restringe a los gobiernos mexicanos) las versiones oficiales y las de los cibercriminales suelen distanciarse notoriamente (es oportuno recalcar que no se debe crear un sesgo de creencia basado en que las versiones de los gobiernos sean mentiras o que las de los ciberatacantes sean verdaderas).

Recordemos que cuando el ataque de ransomware ocurrió en las bases de datos de PEMEX, las instancias oficiales minimizaron el incidente afirmando que "únicamente" había sido menos del 5% de sus equipos afectados.

Por ello, para los investigadores de debe contar con un criterio muy agudo para evitar caer en sesgos de preferencias ideológicas o políticas, ya que ambas partes pueden estar modificando sus aseveraciones con base en sus intereses.

Lockbit, la evolución del ransomware a una poderosa agrupación cibercriminal internacional

En este blog comúnmente se abordan tendencias que ya son una problemática para la ciberseguridad a nivel mundial, o están encaminadas a serlo. Tal es el caso de Lockbit, que en una entrada pasada lo considerábamos como un ransomware de alto riesgo para instituciones del sector público y privado, como prueba de lo mencionado se comparte el enlace con redireccionamiento a dicha entrada: LockBit el malware de mayor amenaza creciente para México y la comunidad internacional en el 2023

En la mencionada publicación, se clasificaba a Lockbit como un ransomware agresivo y de fácil expansión, sin embargo, esta denominación fue utilizada por sus creadores para identificarse con el mismo título a la agrupación, la cual comenzó con una serie de ataques dirigidos a objetivos específicos.

Si bien las agrupaciones cibercriminales son un común denominador en la actualidad, su nivel de peligrosidad se mide no solo por el historial de sus miembros, sino por los antecedentes de sus ataques. Y en este caso, las "hazañas" recientes de estos cibercriminales, han ganado un respeto considerable, por la magnitud de algunos ciberataques, siendo el realizado al servicio postal británico uno de los más complejos, considerando que incluso las actividades de servicio al público se vieron paralizadas durante varios días.

Una mayor celebridad les generó una de sus más recientes decisiones: cuando después de cifrar archivos de un hospital infantil, sus miembros tomaron conciencia de las características de las víctimas de este ciberataque y ofrecieron de manera gratuita el software para poder desinstalar dicho ransomware, además de ofrecer una disculpa pública.

Es en este escenario donde se clasifica a Lockbit como una organización criminal de alta expansión y niveles de riesgo que pueden interferir en la prestación de servicios de los países más industrializados a nivel mundial. Por lo que a partir de esta entrada se realizarán enfoques específicos hacía este equipo, señalando aquellas actividades más trascendentales que los lectores del presente blog deben conocer.

El riesgo de los anuncios de Google y su redireccionamiento a páginas falsas

Todos los usuarios en internet hemos automatizado procesos de manera habitual, ahorrando así esfuerzo y tiempo en nuestras actividades digitales.

Una de estas mecánicas que se volvió tan recurrente como desapercibida, fue el visitar sitios web a través de los buscadores, debido a que es muy común desconocer exactamente cómo se escriben las direcciones URL.

Desafortunadamente, como suele suceder en aquellas actividades donde los usuarios muestran descuidos asiduos, los cibercriminales aprovechan estos comportamientos que los ven como una enorme oportunidad de tomar ventaja de omisiones que pasan inadvertidas para la persona común.

¿En qué consiste el malware o phishing por anuncios publicitarios? Se tomará como ejemplo al buscador Google, ya que este concentra un dominio abrumador sobre el resto de sus competidores, incluso sumando las visitas totales de todos estos juntos. 

Para explicar este proceso, lo ejemplificaremos con un usuario promedio que busca descargar su estado de cuenta bancario y no recuerda el nombre de dominio de su banco. Por lo que decide ingresar a Google y escribir el nombre de su banco en el buscador para darle click al primer resultado encontrado.

En un escenario benigno, el usuario accede sin mayores contratiempos, ya que el resultado principal es el sitio web legitimo debido a que el buscador lo posicionó en el primer lugar debido a la valoración de los metadatos en la web.

Desafortunadamente, hay otras ocasiones que suceden en una pequeña frecuencia, aunque con un crecimiento cada vez más notorio. Ya que, haciendo uso del posicionamiento que ofrece Google a través de su servicio de anuncios, estos suelen colocarse en los primeros resultados de una búsqueda.

Basta con crear un sitio lo suficientemente similar en cuanto a características visuales, para posicionarlo a través de pagos de anuncios en el buscador de Google. Esta suplantación puede resultar enormemente efectiva, para aquellos clientes que no reparan en detalles de seguridad para identificar sitios dedicados al phishing.

Por ello, la principal recomendación que se puede realizar al respecto es cerciorarse del sitio en el que se está navegando. Se pueden utilizar apoyos externos, como visitar las redes digitales del sitio web para compararlo con el enlace oficial, también se pueden realizar sitios de verificación del certificado digital como site 24/7.