CNBV y nueve bancos han sido hackeados

Criminales han vulnerado la seguridad de instituciones financieras en México

CIUDAD DE MÉXICO.

Nueve instituciones del sector financiero mexicano, entre ellas la Comisión Nacional Bancaria y de Valores (CNBV), se suman a 73 de “10 países prominentes” que fueron vulneradas por hackers internacionales para colocarles en sus sitios web un peligroso malware.

Así lo señala el informe Lazarus & Watering-Hole Attacks de BEA Systems, en poder de este diario, donde se asegura que las herramientas del hackeo son las mismas utilizadas por el grupo Lazarus, que el año pasado estuvo implicado en el robo de 81 millones de dólares al Banco Central de Bangladesh, y que se recuerdan por ser el grupo de cibercriminales que vulneraron y robaron material a Sony Pictures en 2014, como lo reveló en ese entonces Kaspersky Lab.

Los investigadores de BEA Systems encontraron las pruebas de un código similar que apuntaba hacia un kit de explotación específico que se encontraba en noviembre de 2016 en el sitio web de la CNBV. El mismo código se encontraba también en la página oficial del Banco de la República Oriental del Uruguay.

En el informe se señala que estos ciberataques pusieron recientemente en estado de alerta a bancos polacos, que fueron blanco de una amenaza que apuntaba también a otras instituciones financieras internacionales.

Según los documentos, los delincuentes emplean una táctica conocida como Watering-Hole, que consiste en comprometer a un sitio para que éste, a su vez, pueda atraer a otras víctimas e infectarlas para robar cuentas, contraseñas y, finalmente, dinero.

El programa que desencadenó estos ataques es un código malicioso al que la empresa de seguridad Symantec, otra de las compañías en la investigación, le dio el nombre de Downloader.Ratankba, que descarga otro código malicioso que puede parecerse a informaciones que ya se encuentran en el sistema informático comprometido.

De acuerdo con Sebastián Brenner, estratega de Seguridad para Latinoamérica de Symantec, la banca mexicana forma parte de una campaña global, que fue descubierta gracias a los datos recabados por un banco atacado en Polonia.

“Es un ataque que viene ocurriendo desde finales de 2016. Este banco en Polonia vio diferentes máquinas y servidores afectados, entregó la información a los investigadores y vimos que se trata de un ataque conocido como Watering-Hole”, explicó en entrevista con Excélsior.

Esto significa que, en lugar de atacar directamente a la víctima, se analiza qué tipos de páginas web visita y una de éstas se compromete, para que cuando uno acceda a ella se infecte sin que la persona se percate.

Brechas

“Hay que entender el nivel de profesionalidad y personalización. Debe entenderse que esto no es un ataque masivo. Cuando estábamos analizado el kit de explotación vimos que éste hace un filtrado de a quién se le va a estar realizando el ataque cuando visita la pagina web comprometida. Así reducen la cantidad de personas infectadas, apuntando a un grupo específico de compañías”, detalló.

Cuando Symantec y BEA Systems analizaron el filtrado, encontraron que los cibercriminales estaban interesados en atacar únicamente a 255 direcciones IP, las cuales pertenecen a cerca de 104 compañías en el mundo, en su mayoría de instituciones bancarias públicas y privadas, así como a unas cuantas empresas de telecomunicaciones.

Caso México

Una vez que tuvieron la lista de objetivos, ambas compañías de ciberseguridad comenzaron a comunicarse con los afectados y a analizar los datos que pueden recabar de los programas que tienen implementados.

En el país, gracias a sus servicios de telemetría y la colaboración de las instituciones, hasta el momento han encontrado que se bloquearon 14 actividades sospechosas y que coinciden con los componentes del ataque.

Indicó que la investigación en México continúa y, por eso, aún no se puede determinar el resultado de la afectación.

Brenner declinó precisar cuáles son los bancos en México que están en la mira de los cibercriminales o cuáles fueron las páginas web usadas como intermediario para esparcir el código malicioso, aunque BAE Systemas en su reporte fue un poco más detallado.

“Hay indicios de que la página web de la Comisión Nacional Bancaria y de Valores en México pudo ser el intermediario para el ataque, hackeada a través de vulnerabilidades en Silverlight y Flash”, se señala en el informe Lazarus & Watering-Hole Attacks.

Fuente: Excelsior.com.mx

About Gustavo Genez 415 Articles
Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.