Ministerio de Relaciones Exteriores de Guatemala víctima de ataque cibernético

La brecha de seguridad digital está enfocada en el Minex, ya que la mayoría de los subdominios fueron reportados entre el ataque de un ransomware

Por

Guatemala — Desde el 19 de septiembre pasado el Ministerio de Relaciones Exteriores (Minex) está bajo un ataque cibernético, y desde ese entonces, empezó a reportar fallas en su sitio web.

Sin embargo, fue el 27 de septiembre del presente año, que la entidad se encuentra dentro de la lista de sitios que fueron vulnerados, entre ellos, varios subdominios y el dominio principal del Minex, aproximadamente son 49 los sitios web que fueron afectados.

Dentro de ese listado aparece el sitio del proyecto AdA con la Unión Europea, y específicamente es la biblioteca virtual, la que se encuentra fuera de línea.

También se incluyen sitios que forman parte de los servicios que el Minex presta de forma digital, los cuales están temporalmente suspendidos debido a dicho ataque. Por ejemplo, la página serviciosenlinea.minex.gob.gt, que actualmente no está disponible para los usuarios.

De acuerdo con la información obtenida, la entidad Cloudflare es la red encargada de la seguridad de los sitios web del Minex, ya que al momento de que un visitante se dirige a uno de sus sitios, Cloudflare analiza y autoriza o deniega la solicitud para ingresar al mismo.

Como se observa a continuación, todo parece indicar que el problema se encuentra en los servidores que hospedan los sitios y/o subdominios del Minex.

El servicio principal que ofrece Cloudflare es la protección contra ataques DDoS, que protege a un servidor que almacena una página web de solicitudes falsas que no provenga de visitantes reales, sin embargo, no es el único servicio que la empresa ofrece y no se tienen identificados los servicios que el Minex contrató con ellos.

Por otro lado, el Minex cuenta con un sitio interno que actualmente no se muestra disponible para los visitantes en la web, pero se desconoce si este sitio no está disponible porque únicamente se puede visitar a través de un acceso VPN o bien también ha sido víctima del ataque cibernético.

Según los especialistas de ESET Latinoamérica, las ciberamenazas de los últimos tiempos generan más repercusiones en contra de usuarios, organizaciones y gobiernos mismos, en algunos casos, se trata de hechos sin precedentes. “Estas condiciones determinan que se trata de uno de los principales riesgos que enfrenta la humanidad desde hace algunos años”.

Ransomware Onix

El ransomware que creó la brecha de seguridad en el Minex es el llamado Onix, y es uno de los grupos más recientes que ha surgido en la escena de los ciberataques, el grupo ha generado una gran cantidad de problemas para sus víctimas, en su sitio web ya tiene seis empresas que figuran como víctimas, detalló la página Digital Recovery.

El malware del grupo no sólo ha cifrado los archivos, sino que también los ha corrompido; y está diseñado para cifrar archivos de al menos de 2 Megabytes, los archivos más grandes son destruidos e incluso después de pagar el rescate y recibir la clave de descifrado, estos archivos no se pueden recuperar.

Esta es una de las tácticas más dañinas de los últimos años, y al grupo no parece importarle su imagen ni la posibilidad de que las víctimas no paguen el rescate, el grupo es altamente destructivo.

El día 27 de septiembre pasado se confirmó que los sitios del Ministerio de Relaciones Exteriores fueron atacados por el ransomware Onix, hasta el momento, la entidad gubernamental no ha dado declaraciones respecto al impacto, exigencias y/o pagos para recuperar la información o los sitios que aún se encuentran fuera de línea.

Bloomberg Línea se encuentra recabando información y envío las consultas al Departamento de Comunicación Social del Minex para conocer más detalles.

Casos similares

El presidente Andrés Manuel López Obrador confirmó, el 30 de septiembre pasado, que la Secretaría de la Defensa Nacional sufrió un ataque cibernético, luego de que la información confidencial de algunos de los archivos filtrados detallara su estado de salud, operativos de seguridad y la relación entre los líderes de las fuerzas armadas.

“Es cierto. Hubo un ataque cibernético”, dijo el presidente durante su conferencia de prensa matutina de ese viernes.

La información, revelada por el periodista Carlos Loret de Mola en una emisión de YouTube del medio Latinus, fue obtenida por un grupo internacional denominado “Guacamaya”, que también ha intervenido documentos de fuerzas armadas de otros países de América Latina como Colombia, El Salvador, Chile, Guatemala y Perú.

De acuerdo con Loret de Mola, entre los miles de oficios, correos electrónicos, comprimidos en 6 Terabytes se reporta el seguimiento de personajes de alto rango, como el embajador de Estados Unidos en México, Ken Salazar, además de contener informes de inteligencia y transcripciones de intervenciones telefónicas.

En el caso de Costa Rica, desde abril de 2022, varias entidades gubernamentales costarricenses fueron víctimas de un ataque con ransomware por el grupo Conti, que sustrajo al menos un terabyte de datos del gobierno. Este grupo exigió un rescate de US$20 millones y actualmente continúa impactando la capacidad del gobierno para acceder a los sistemas atacados.

Los ataques interrumpieron numerosos servicios gubernamentales, incluidos, las plataformas de impuestos y aduanas del país, los servicios digitales de tesorería y al menos un proveedor de energía, explicó la firma internacional PwC en su sitio web.

La Cámara de Exportadores de Costa Rica afirmó que los ataques causaron que el país perdiera US$200 millones, debido a la falta de los sistemas aduaneros.

Luego de estos ataques, el Departamento de Estado de los Estados Unidos anunció una recompensa de hasta US$10 millones por información que ayude a identificar o localizar a algún individuo o grupo de personas que lideren el grupo Conti, así como hasta US$5 millones por información sobre cualquier persona que intente o conspire para participar en las actividades de este grupo cibercriminal.