El pasado 26 de noviembre de 2020, la cuenta de Twitter de la organización Bank Security difundió que una persona había puesto a subasta accesos de administración de dominio y 10 GB de datos confidenciales de la Comisión Nacional de Seguros y Fianzas. El ataque del ransomware Lockbit contra la institución vino unos cuantos días después.

 

Quizá si la Comisión Nacional de Seguros y Fianzas hubiera estado más al pendiente de Twitter entre el 26 y el 29 de noviembre, podría haber evitado ser víctima de un ataque del ransomware Lockbit que ocasionó que información de la CNSF, al menos 10 GB de datos, estén a días de ser publicados en internet. Ni el CERT de la Guardia Nacional y tampoco el de la UNAM hicieron nada para evitar este incidente, pese a que este parecía un hackeo más que anunciado.

 

El 26 de noviembre de 2020, la cuenta de Twitter de la organización Bank Security difundió que una persona había puesto a subasta accesos de administración de red y 10 GB de datos confidenciales de la Comisión Nacional de Seguros y Fianzas, un órgano desconcentrado de la Secretaría de Hacienda y Crédito Público que se encarga de supervisar que las compañías aseguradoras y afianzadoras operen de acuerdo con el marco normativo mexicano.

 

En el post de Bank Security pueden verse dos publicaciones hechas en un foro de la dark net o red oscura, en las que un usuario pone a subasta el acceso a dos cuentas de administración de red dentro del dominio cnsf.gob.mx y, por tanto, a 448 servidores dentro de la red de la CNSF; así como a 10 gigabytes de información que, de acuerdo con el autor de la publicación, está compuesta por documentos muchos de los cuales “no deben ser diseminados de acuerdo con la ley en México”, reza el post.

 

Además de asentar el país al que pertenece la institución hackeada, México, junto con su función dentro de la estructura gubernamental y las vulneraciones cometidas contra sus sistemas, el usuario inicia la subasta con una suma inicial de 70,000 dólares que puede ser incrementada en montos de 1,000 dólares hasta 48 horas después de la puja más reciente o cuando la subasta alcance 100,000 dólares. Bank Security notificó a través de Twitter al Equipo de Emergencia ante Incidentes de Seguridad de la UNAM ( CERT-UNAM), pero al perecer su aviso fue ignorado.

 

 

 

Tres días después de la publicación de Bank Security, el 29 noviembre, la CNSF anunció también a través de Twitter que un día antes, el 28 de noviembre, había sufrido un incidente de seguridad cibernética que había afectado su continuidad operativa. La comisión dijo haber aplicado los protocolos de seguridad establecidos en este tipo de situaciones; además de que estaba realizando las investigaciones pertinentes y tomando las acciones legales procedentes.

 

 

El ataque de ransomware en contra de la comisión no fue un ataque cualquiera; se trata de Lockbit, una de las más recientes formas de ransomware que aparecieron en la segunda mitad del 2019 y que no sólo buscan cifrar la información y los equipos (computadoras y servidores) de sus víctimas para exigir un rescate, sino que también extraen la información con el fin de hacerla pública en caso de no recibir el rescate exigido, el cual es casi siempre denominado en alguna criptomoneda, como bitcoin y monero. La petrolera estatal Pemex y el banco CIBanco están entre las instituciones y compañías cuyos datos se han visto expuestos debido a ataques de ransomware como el que sufrió la CNSF.

 

El ransomware, término que proviene de las palabras ransom (rescate) y malware (software malicioso), es un tipo de malware que los cibercriminales usan para encriptar la información de los sistemas infectados. Al usar este tipo de software, buscan pedir un rescate, casi siempre económico, para devolver los equipos y la información a sus titulares. Esto afecta a la disponibilidad de la información, considerada uno de los tres elementos básicos de la seguridad informática, además de la integridad y la confidencialidad.

 

Hiram Camarillo, director de la firma de ciberseguridad Seekurity, aseguró que cuando una persona tiene acceso a las cuentas de administración de una red es capaz de ver todos los equipos conectados en esa red; además de activar y desactivar servicios, entre otras acciones. De acuerdo con el analista de seguridad, lo más probable es que los desarrolladores del ransomware Lockbit hayan adquirido los datos de la CNSF subastados en la dark net y con esa información hayan introducido la pieza de malware.

 

Después que se diera a conocer del tipo de ataque que había sufrido la CNSF, la comisión publicó un segundo anuncio en su cuenta de Twitter en el que aseguró que la información “detectada como posiblemente comprometida” en el incidente incluye información pública y representa una proporción poco significativa, aunque no detalla respecto de qué total. La CNSF aclara también que no cuenta con una base de datos con información de asegurados.

 

 

Seis días después de que la propia comisión diera a conocer que había sido víctima de un hackeo, los administradores del ransomware que afectó a la institución comenzaron a exigir, a través de un sitio en la dark web, una cantidad de dinero no revelada para que la información en su poder no sea hecha pública y dieron un plazo de nueve días para recibir el dinero, de los cuales quedan poco más de dos días. De lo contrario, los ciberdelincuentes planean cumplir su amenaza de publicar la información extraída a la comisión en esta crónica de un hackeo anunciado.