¿Hackers rusos vulneraron web de la Presidencia de México?
Redacción | V+ Noticias
Ciudad de México. El Gobierno de México enfrentaría una grave amenaza tras un supuesto ataque de ransomware perpetrado por el grupo hackers rusos RansomHub, el cual asegura haber vulnerado los servidores del sitio oficial gob.mx, según el medio Cybernews.
La organización criminal, vinculada con Rusia, afirmó haber sustraído 313 gigabytes de información confidencial, incluyendo contratos, seguros, datos financieros y archivos confidenciales.
La dirección gob.mx, que constituye la plataforma oficial para procedimientos, servicios públicos y participación ciudadana, fue publicada este viernes en el blog de filtraciones de RansomHub.
Según el grupo, el Gobierno mexicano dispone de un plazo de diez días para pagar un rescate, cuyo monto no se ha revelado, antes de que los datos sean expuestos públicamente.
Te sugerimos: Triple amenaza: Sara, DANA y nuevo ciclón impactarán México
Muestras filtradas y datos comprometidos
Como evidencia del ataque, RansomHub publicó más de 50 archivos de muestra, entre los cuales figuraría información personal de empleados federales, incluyendo nombres completos, fotografías, direcciones laborales, correos electrónicos y números de identificación.
Además, destacan documentos oficiales firmados en 2023, como un contrato de transporte valorado en 100 mil dólares dirigido al director de Tecnologías de la Información y Comunicaciones, Mario Gavina Morales.
El Palacio Nacional, sede de la Presidencia y de la Tesorería Federal, figura como dirección laboral de varios empleados afectados, aunque no se ha confirmado si las redes vulneradas corresponden a esta ubicación, de acuerdo con el medio.
Además: Hacienda informa corrección en presupuesto de la UNAM e IPN
¿Quiénes son RansomHub?
RansomHub, un actor emergente en el ecosistema del ransomware, debutó en febrero de 2024 y ha escalado rápidamente en actividad criminal. Según la Agencia de Ciberseguridad e Infraestructura (CISA) y el FBI, este grupo ha atacado a más de 210 víctimas en nueve meses, incluyendo empresas como Kawasaki Motors Europe y organizaciones como Planned Parenthood en Montana.
El grupo opera bajo un modelo de ransomware-como-servicio (RaaS) y emplea tácticas de doble extorsión, en las cuales amenaza con filtrar información robada si no se cumple con el pago del rescate.
Expertos de Searchlight Cyber identifican a RansomHub como un afiliado del grupo ALPHV/BlackCat, conocido por su vinculación con el hackeo a Change Healthcare en 2023.
Leer más: Casos de sarampión aumentan 20% en el mundo, alerta la OMS
Antecedentes y modus operandi
Los ataques del grupo suelen dirigirse a sectores estratégicos y empresas privadas, principalmente en Estados Unidos, donde se encuentran la mayoría de sus víctimas. RansomHub evita atacar en países como Rusia, Corea del Norte y China, característica típica de grupos cibernéticos con presuntos vínculos al Kremlin.
La CISA emitió un reporte en agosto de 2024 que detalla los indicadores de compromiso (IOC), herramientas empleadas y direcciones IP relacionadas con RansomHub.
Este grupo se posiciona como uno de los tres actores de ransomware más activos del primer semestre del año, según un informe de Searchlight Cyber.
Por el momento, el Gobierno de México no ha emitido declaraciones oficiales sobre el ataque ni las acciones para mitigar el posible daño a la información sustraída.
Te puede interesar: Bluesky, un X con alma de Twitter, alcanza 15 millones de usuarios tras comicios en EU