Las organizaciones víctimas de Guacamaya, entre ellas la Secretaría de la Defensa Nacional (Sedena), no aplicaron parches de seguridad en sus sistemas que desde 2021 corregían las vulnerabilidades explotadas este año por el grupo hacktivista.
Así lo explica un informe del Equipo de Investigación y Análisis Global (GReAT) de Kaspersky, que revela que aprovecharon las fallas de los servidores de correo electrónico (Microsoft Exchange) para entrar en la red, conocidas como “ProxyShell/ProxyLogon” (CVE-2021-34473, CVE-2021-31206, CVE-2021-34523 y CVE-2021-31207) así como Zimbra (CVE 2022-27925).
Además de la Sedena, cuyo ciberataque fue reconocido por el presidente Andrés Manuel López Obrador, el grupo hacktivista entró a los sistemas de comunicación de empresas mineras y petroleras de Guatemala, Chile, Ecuador, Venezuela y Colombia. En este último país, el fiscal general también fue víctima.
En un comunicado, Kaspersky indicó que su informe de inteligencia de amenazas muestra que las vulnerabilidades explotadas por Guacamaya se identificaron desde febrero de 2021 y se corrigieron en septiembre de ese mismo año.
La firma de ciberseguridad señaló que de haberlas aplicado, les habría permitido evitar los incidentes.
“El único y mejor método para evitar estos ataques”
Uno de los integrantes del Equipo Global de Respuesta a Incidentes (GERT) para América Latina de Kaspersky, Eduardo Chavarro, subrayó que “es esencial que las empresas y los Gobiernos mantengan actualizados los servidores de Exchange, ya que nada impide que los delincuentes sigan utilizando este mecanismo de acceso”.
Chavarro insistió en que sus hallazgos muestran que al no actualizar sus sistemas, las organizaciones dejan las puertas abiertas a los ciberdelincuentes. “Para evitar estos ataques, basta con aplicar las correcciones necesarias que, en este caso, están disponibles desde hace más de un año”, dijo.
El integrante de GERT comentó que a pesar de comprender la criticidad que representan los correos electrónicos para la vida digital actual y la dificultad de aplicar correcciones en este entorno, “este es el único método y la manera más efectiva para prevenir estos ataques”.
Gobierno ahorra más al prevenir que al solucionar ciberataques: OEA
Guacamaya logra acceso permanente a la red
GReAT también detalló que una vez que los miembros de Guacamaya ingresan a la red de las víctimas, crean puertas traseras a fin de tener acceso permanente a la red comprometida y utilizan herramientas legítimas para robar credenciales o elevar los privilegios de acceso de usuario.
Agregó que de esta forma, los delincuentes obtienen acceso a todas las cuentas de correo electrónico de la organización infectada y a la información crítica que contienen.
El analista de Seguridad para América Latina en Kaspersky, Leandro Cuozzo, explicó que tras extraer todos los correos electrónicos, el grupo comienza a evaluar qué mensajes tienen el potencial de generar daños a la reputación de las víctimas.
“El siguiente paso es publicar todo en internet y avisar a la prensa de la filtración con el fin de que el ataque adquiera visibilidad pública. Esta exposición y las posteriores crisis que genera para las organizaciones afectadas es el verdadero daño de los ataques hacktivistas”, comentó.
