¿Cómo fue posible que un grupo que hackers robara información a la SEDENA?

Aquí la información detrás de tal hazaña y algunas medidas para proteger tus datos.

El grupo responsable de este acto se denomina “Guacamaya”, ellos realizaron un robo de información de 6 terabytes.

¿Pero que tanto es 6 terabytes?

6 terabytes es el equivalente a 2,100 episodios de Los Simpson o 1,428 de Friends en formato digital si es que lo hubiera ya que Friends solo tiene 238 episodios y los Simpson 728.

En música sería el equivalente a 1,500,000 canciones Mp3, 12 semanas de películas en DVD o 3,000,000 de fotografías.

¿Cómo sucedió?

El ataque cibernético fue posible gracias a una vulnerabilidad del sistema, derivado del mal soporte brindado, ya que la vulnerabilidad había sido notificada desde agosto del 2021, en un principio se creía que habían realizado un ataque mediante ProxyShell. (ProxyShell es el nombre que se le ha dado a la ejecución de una serie de vulnerabilidades en la plataforma Microsoft Exchange, que, al ser encadenadas, permiten la ejecución remota de código en el servidor.) pero posterior se informó que el ataque se realizó mediante Zimbra (Zimbra es un programa informático colaborativo o Groupware que consta de un servicio de correo electrónico creado por Zimbra).

El grupo de hackers explotó las vulnerabilidades CVE-2022-27925 y CVE-2022-37042 del sistema de correo electrónico Zimbra con la que extrajo los 6 terabytes de información del ejército mexicano y se dio cuenta de que otros ciber atacantes ya habían intentado descargar archivos desde sus servidores.

El grupo Hacktivista narra con detalle la forma en la que accedió:

“El ataque a SEDENA fue con una vulnerabilidad antigua de Zimbra. Fue simplemente usar esto para explotar la vulnerabilidad y subir una webshell, y luego usar la webshell para descargar todos los correos de /opt/zimbra/store. Ya había muchas otras webshells allí, con fecha desde el 5 de Julio (la fecha puede ser fácilmente cambiado con touch -t pero también está documentado que en Julio se empezó a explotar muchos servidores de Zimbra) y vimos que otros hackers también estuvieron descargando los correos a la vez”.

El grupo Guacamaya tardó alrededor de un mes desde que explotó la vulneración hasta que extrajo la información del servidor de la SEDENA, de acuerdo con Hiram Camarillo, especialista en ciberseguridad de Seekurity, quien entabló comunicación con Guacamaya a través del Enlace Hacktivista, dijo que resultaba difícil de creer que la SEDENA no hubiera detectado que 6 terabytes de información estaban siendo extraídos de sus sistemas.

“Es demasiada información. 6 terabytes que se estén transmitiendo desde tu red hasta internet, debe levantar las alarmas”, dijo.

⚠️ El gpo Guacamaya ha actualizado su blog:
– Subieron documentos de la SEDENA accesibles públicamente
– Ellos NO son los únicos hackers que entraron a los servidores de la SEDENA, cuando ingresaron encontraron evidencia que desde el 5 de Julio ya alguien tenía acceso pic.twitter.com/7ZrJdY9wbJ

— Hiram Alejandro (@hiramcoop) October 2, 2022

Te proporcionamos algunas medidas para proteger tus datos:

1. Un buen antivirus, actualizado constantemente, es esencial para la protección de tu equipo.
2. Contar con un firewall confiable y actualizado que te ayude a identificar amenazas y conductas sospechosas, también te ayudará.
3. Tener una copia de seguridad y actualizarla constantemente es una de las mejores medidas contra la pérdida de información.
4. Habilitar las actualizaciones automáticas para el sistema operativo es otra práctica sustancial para evitar ciberataques de este tipo.
5. Verificar los remitentes de los emails que recibes también es una buena práctica. Antes de descargar archivos o entrar en páginas indicadas en un email, debes comprobar su origen.
6. Desconfiar de ventajas exageradas, películas gratis, promociones imperdibles, entre otros beneficios es fundamental, ya que pueden llevarte a descargar ransomware escondido.
7. Nunca dar información confidencial por Internet, uno de los riesgos a los que puedes enfrentarte es a que te contacte una supuesta empresa por e-mail o incluso por teléfono para pedirte información confidencial. En todos los casos, podrás verificar fácilmente que no son quienes dicen ser. Por ejemplo, el emisor del correo nunca proviene de un correo real de la empresa (Banco, Compañía de la Luz, Google, etc.). Tiene, sin embargo, un dominio parecido o con alguna variación.
8. No instales programas si desconoces el fabricante, otra de las fuentes de virus es los softwares que descargamos de Internet creyendo que son algo inofensivo. Quizás piensas que te estás descargando un antivirus, pero lo que estás bajándote en realidad es un peligroso malware disfrazado de antivirus. En la red no puedes arriesgarte. No descargues nunca nada de Internet de un fabricante desconocido. Con el tiempo aprenderás a evadir las páginas web de descargas y apostar siempre por descargar los programas de la página oficial de los fabricantes, o adquirir software de pago.
9. Evita conectarte a redes no autorizadas o públicas, inocentemente, a través de tu teléfono móvil, puedes conectarte a una red Wifi abierta en la que haya más gente trabajando. Las redes Wifi son un peligro para tu privacidad. Si te conectas con el portátil de tu negocio o tu smartphone a redes Wifi abiertas, corres el riesgo de que alguien pueda monitorizar tu actividad en Internet, copiar tus contraseñas, conseguir información sobre ti, etc.
10. Crea contraseñas difíciles de adivinar, uno de los métodos que utilizan los crackers para adivinar contraseñas es a través de la “fuerza bruta”. Consiste en ir probando contraseñas hasta que encuentren la correcta. Si resulta que la contraseña es fácil de adivinar (es el mismo nombre de usuario, por ejemplo), entrarán donde quieran antes de que te lo imagines. Los crackers no se pasan la vida introduciendo contraseñas para probar a ver si funcionan, disponen de programas que de manera automatizada van probando contraseñas. Debemos proteger nuestros servidores para evitar que este tipo de ataques se produzcan, además de crear contraseñas que sean difíciles de adivinar.

Lo más peligroso de la ciberseguridad es que ahora mismo podrías estar siendo espiado y no lo sabes. Podrías tener programas no autorizados instalados en tu ordenador que te están ralentizando la computadora o realizando actividades ilícitas desde tu computadora.

Esto es algo lo suficiente serio como para que, si nunca te has detenido a pensar en la ciberseguridad, empieces a hacerlo ahora. Pregúntate si con el sistema de seguridad que tienes ahora mismo en los ordenadores de tu negocio o casa estás seguro.