.webp)
El hacktivismo en América Latina: Mirando hacia atrás al incidente de la SEDENA
El pasado mes de septiembre se dio a conocer la noticia de una violación masiva de datos en contra de la Secretaría de la Defensa Nacional (SEDENA), con un total de 6 TB de información comprometida la cual fue enviada al medio de comunicación seleccionado. Esto, comprensiblemente, envió ondulaciones a través del país y de la industria de ciberseguridad, ya que este es considerado como el mayor incidente de su tipo en la historia de México. En la raíz de estos incidentes está el colectivo ambiental, Guacamaya, que ha sido responsable de algunos de los mayores ataques en la región en los últimos años, y más recientemente han logrado comprometer no solo a la SEDENA en México sino también a la Policía Nacional Civil en El Salvador, el Comando General de las Fuerzas Militares en Colombia, La Fuerza Armanda en El Salvador y el Ejercito del Perú.
¿Qué pasó?
El pasado 28 de septiembre, el periodista mexicano Carlos Lauret de Mola dio a conocer que la Secretaría de la Defensa Nacional (SEDENA) fue comprometida por un grupo de hackers denominado “Guacamaya” con un total de 6 terabytes exfiltrados.
Dentro de los datos exfiltrados, alrededor de 20 millones de documentos incluyendo correos electrónicos, informes, cartas y presentaciones que abarcan desde 2016 hasta 2022. Documentos exfiltrados incluyeron prioridad y objetivos de las fuerzas armadas, el estado de salud del presidente, reportes relacionados con el narcotráfico entre otros. A partir de que el grupo filtró dicha información a periodistas e investigadores, el propósito de las filtraciones parece encaminado a exponer los temas del gobierno federal y las prácticas de corrupción; sin embargo, también arroja luz sobre el estado de la ciberseguridad dentro del país.
El Ataque
El ataque se llevó a cabo contra un servidor Zimbra, un software colaborativo utilizado para correo electrónico empresarial privado entre otras cosas, los atacantes identificaron una vulnerabilidad en el servidor que permitió una usuario autenticado con derechos de administrador, la capacidad de cargar archivos arbitrarios en el sistema, lo que conduce a la travesía de directorios [1]. Esto permitió a los atacantes subir un shell web y desde allí usarlo para descargar todos los correos electrónicos de la ruta /opt/zimbra/tienda, que Zimbra utiliza para almacenar todos los mensajes de correo electrónico. Los atacantes también mencionaron que no fueron los primeros en hacer uso de esta vulnerabilidad y que para cuando violaron los servidores, ya estaban instalados muchos web shells y robando información que data del 5 de julio de 2022.
La violación de datos
Entre los mayores descubrimientos de la filtración está cómo el gobierno espía a periodistas y defensores de derechos humanos utilizando el spyware Pegasus [2], la vigilancia que realiza la agencia en países vecinos [3], cómo la agencia vigiló al cantante Mon Laferte [4]; los documentos también muestran cómo el gobierno está más preocupado por los partidos de oposición que por el narco [5], y cómo la agencia está utilizando TikTok difundir propaganda [6].
Las filtraciones sólo fueron enviadas a unos pocos medios noticiosos que posteriormente dieron a conocer la noticia de la violación y el motivo por el cual no se hicieron públicos los documentos, que según explicó el grupo, fue para evitar que la información cayera en manos de grupos del crimen organizado y evitar cualquier posible mal uso de los documentos.
En cuanto a la respuesta del gobierno a las filtraciones, el mandatario negó en un primer momento que se hubiera dado la brecha y posteriormente mencionó en televisión en vivo que la filtración fue un ataque fallido de la oposición para debilitar al gobierno. [8]
Grupo Guacamaya
Poco se sabe del grupo hacktivista, lo que se sabe es que han apuntado a numerosas agencias gubernamentales y grandes empresas alrededor de América Latina, además de ser responsables de hackear a la petrolera colombiana New Granada Energy Corporation, a la minera brasileña Tejucana, a la minera Compañía Guatemalteca de Niquel, y también han llevado a cabo una serie de ciberataques dirigidos a las fuerzas armadas de diversos países latinoamericanos entre ellos el Estado Mayor de la Defensa Nacional de Chile y la SEDENA.
Aparte del caso SEDENA, todos los demás ataques utilizaron un shell proxy para penetrar en los servidores y robar los datos.
El grupo ha declarado que quieren exponer a las empresas y gobiernos con el objetivo de que todos sepan cómo operan y cómo se benefician con poca o ninguna consideración de quién se lastima en el camino. También mencionaron en un manifiesto [9] cómo creen que naciones como EEUU y corporaciones occidentales han aprovechado los recursos naturales en América Latina también mencionaron cómo están luchando contra estas prácticas.
Los hackers también han publicado videos en línea detallando algunos de los hackeos que han llevado a cabo.
Conclusión
No todos los días un grupo de hackers logró violar y dar a conocer información confidencial de una agencia gubernamental, en general este incidente arrojó luz no solo sobre la corrupción dentro de las entidades gubernamentales sino también sobre el estado de la ciberseguridad en su conjunto y la importancia que se le da a la protección de la información confidencial.
En general, la moralidad detrás de las acciones del grupo es cuestionable y algo que seguramente encenderá una serie de acalorados debates, lo que es seguro es que es probable que estos ataques sean más frecuentes. Esperamos que gobiernos y empresas por igual estén preparados y comiencen a darle a la ciberseguridad la importancia que requiere.
[1] https://nvd.nist.gov/vuln/detail/CVE-2022-27925
[3] https://www.connectas.org/analisis/latinoamerica-hacktivismo-guacamaya-leaks/
[4] https://remezcla.com/music/the-guacamaya-leaks-allege-the-mexican-army-kept-an-eye-on-mon-laferte/
[9] https://enlacehacktivista.org/comunicado_guacamaya.txt
.jpg)
