El sitio web de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) fue atacado el 6 de julio y el grupo de hackers llamado Anonymous México se adjudicó el ataque. Durante varios minutos, el portal mostró una imagen con un mensaje que mencionaba que el organismo no hace caso a los usuarios y que descarta la mayoría de las quejas recibidas.
Tras un rastreo y análisis, TPX, empresa de hacking ético con especialidad en análisis y gestión de vulnerabilidades, confirmó que el grupo puso a la venta información que extrajo del organismo.
TPX se dio a la tarea de añadir al sistema de monitoreo, con el fin de llevar un seguimiento a las publicaciones del atacante. Detectaron un match del 80% de coincidencia con el perfil de Twitter del usuario @an0n_mexico, el cual dijo ser el autor del ataque al sitio de Condusef.
El 3 de agosto, @an0n_mexico volvió a hacer una mención de Condusef en la que mencionaba que estaban por publicar datos. Aunque fue hasta el 6 de agosto que hicieron público un tuit para ofrecer información de una base de datos de la Condusef.
Dicen tener 12GB de datos sobre empresas, usuarios, contraseñas y correos y lo venden por 0.2 BTC, que equivale a 42,000 pesos.
Base de datos de @CondusefMX condusef a la venta
12GB, Datos de empresas, usuarios,contraseñas,correos.
0.2 BTC
3FG6SzxnxG19pWfJtC1dzRTj8tbJPL5622
DM pic.twitter.com/Onq0vvKUkm— An0n _Mx (@An0nMex) August 6, 2020
Corroboración de la información
Rafael Bucio, director de TPX, comenta a EL CEO que para su confirmación se usó ingeniería social, técnica que usan tanto los ciberdelincuentes como los hackers éticos para obtener información. Se hicieron pasar por una persona interesada en la base de datos.
El atacante les mostró, para demostrar la autenticidad de la información, la forma en que se realizó el ataque. Dijo haber vulnerado mediante una versión desactualizada y utilizando una falla de SQL Injection.
Además, dijo tener aún en su poder un BackDoor o puerta trasera que le permite tener acceso.
Nos mandaron una liga en la que se mostraba el nombre de las bases de datos que existían en el servidor. Este tipo de vector se llama SQL Injection que es un vector de ataque el cual se hace mediante la URL de la web. La censuramos por seguridad
Rafael Bucio
De acuerdo con TPX, el atacante les explicó cómo bajar la base de datos y cómo entrar al servidor de Condusef.
Condusef respondió a EL CEO que el ataque fue sobre una vulnerabilidad en el gestor de contenido que soportaba la revista electrónica “Proteja Su Dinero”.
Los resultados de los análisis forenses y de vulnerabilidades no muestran que el ataque haya trascendido más allá de la capa web de la página de la Condusef y del gestor de contenido de la revista
Condusef
Condusef respondió que la información sensible se encuentra protegida por tres capas de seguridad que nunca fueron vulneradas.
“Desde el incidente y hasta la fecha, se tiene un monitoreo permanente y constante por parte de los proveedores de servicios de seguridad para prevenir otro posible ataque”, dijo Condusef.
Sin embargo, al pedir más información sobre la estructura de la base de datos el atacante respondió a TPX con un esquema que demuestra esto podría ser legítima la información que tienen a la venta. Se logra apreciar tablas como “denuncias” y “fichas”.
“Pudieron tener acceso al servidor completo. Hackearon la página principal y no está en diagonal revista, sino en el directorio raíz del servidor web. Lo que hicieron fue modificar el index y eso es un defacement crítico”, comentó Bucio.
Ataques a otras instituciones de gobierno
El perfil realizó diversas publicaciones y amenazas a distintas instituciones de gobierno, entre ellas a Banco de México.
El 9 de julio se detectó el tag #OPBanxico donde el atacante se adjudica el crédito de haber afectado el sitio web de Banxico.
Banxico admitió, mediante un comunicado, que el intento de vulneración del 7 de julio se trató de una denegación de servicios (DoS) que provocó que el sitio web colapsara 30 minutos.
Un DoS sucede cuando numerosos flujos de información provocan que el servidor no pueda atender las solicitudes, por lo que el servicio es inaccesible a los usuarios.
En los últimos meses diversas instituciones de gobierno han sido blanco de ataques sin que a nivel federal se hable de alguna estrategia para reforzar la seguridad informática.