• Servicios
    • Servicio de Reporte SOC
    • Managed services
    • Asesoría de TI
      • Asesoría en Vulnerabilidad TI
      • Pruebas de Penetración
      • Gestión de Acceso Privilegiado
      • Ingeniería Social
      • SHIELD: Para Pequeñas y Medianas Empresas
    • Servicios Financieros Auditoría
      • Servicio PCI DSS
    • Cumplimiento TI Con Gobierno
  • Industrias
    • Servicios Financieros
    • Concesionarias
    • Empresas
  • Acerca de Nosotros
    • Conozca al equipo
    • Trabaja con Nosotros
    • Aviso de Privacidad
  • Blog
  • Contacto
  • Learning

Llámanos hoy 5640015585

Encuéntranos
ecalvillo@ocd-tech.com.mx
OCD Tech MéxicoOCD Tech México
  • Servicios
    • Servicio de Reporte SOC
    • Managed services
    • Asesoría de TI
      • Asesoría en Vulnerabilidad TI
      • Pruebas de Penetración
      • Gestión de Acceso Privilegiado
      • Ingeniería Social
      • SHIELD: Para Pequeñas y Medianas Empresas
    • Servicios Financieros Auditoría
      • Servicio PCI DSS
    • Cumplimiento TI Con Gobierno
  • Industrias
    • Servicios Financieros
    • Concesionarias
    • Empresas
  • Acerca de Nosotros
    • Conozca al equipo
    • Trabaja con Nosotros
    • Aviso de Privacidad
  • Blog
  • Contacto
  • Learning

¿POR QUÉ SE SIGUEN HACKEANDO LAS PLATAFORMAS DEL GOBIERNO MEXICANO?

Inicio » Blog OCD Tech » ¿POR QUÉ SE SIGUEN HACKEANDO LAS PLATAFORMAS DEL GOBIERNO MEXICANO?

¿POR QUÉ SE SIGUEN HACKEANDO LAS PLATAFORMAS DEL GOBIERNO MEXICANO?

¿POR QUÉ SE SIGUEN HACKEANDO LAS PLATAFORMAS DEL GOBIERNO MEXICANO?

El pasado mes de Octubre se realizaron al menos tres hackeos a diversas dependencias del Gobierno Mexicano, todos con una plataforma en común, Zimbra.

En una investigación de la revista digital EMEEQUIS, se asegura que Zimbra, la plataforma que sirvió a los hackers de Guacamaya para extraer 6 terabytes de información de la Secretaría de la Defensa Nacional (Sedena), continúa siendo utilizada por distintas dependencias del gobierno mexicano, incluyendo fiscalías, instituciones de salud y hasta por la Secretaría de Marina y el gobierno de la Ciudad de México (Incluidas alcaldías).

En un mensaje colgado en la página enlacehacktivista.org, Guacamaya explica cómo se realizó la extracción masiva de información: “Ya había muchas otras webshells allí, con fecha desde el 5 de julio (la fecha puede ser fácilmente cambiada con touch -t pero también está documentado que en julio se empezó a explotar muchos servidores de Zimbra)”. También se aclara explícitamente que al acceder a servidores del Ejército en Zimbra, pudieron detectar “otros hackers” los cuales “estuvieron descargando los correos a la vez”. Lo que significa que atacantes informáticos de denominaciones desconocidas ahora tienen en sus manos información clasificada del ejército mexicano. Sin embargo, esta vulnerabilidad no es exclusiva de la Sedena.

Meses antes de la revelación de las comunicaciones secretas del Ejército mexicano, entre julio y principios de agosto, se contrató a una empresa de seguridad cibernética de alcance global para investigar varias infracciones al sistema de Zimbra Collaboration Suite.

“A través de múltiples investigaciones, se descubrieron pruebas” que indican que una vulnerabilidad de ejecución remota de código en Zimbra, CVE-2022-27925, que el proveedor parchó en marzo de 2022 y que estaba siendo “explotada en masa”.

Tras un escaneo en todo internet para identificar “instancias Zimbra comprometidas”, se identificaron más de mil en todo el mundo que fueron “hackeadas y comprometidas”. Estas instancias pertenecen a organizaciones como “departamentos y ministerios gubernamentales; ramas militares; negocios de todo el mundo con miles de millones de dólares de ingresos”.

Y agregan que, “Teniendo en cuenta que este análisis solo usó rutas de shell conocidas por el contratista, es probable que la cantidad real de servidores comprometidos sea mayor”.

Según la investigación, los servidores que sufrieron estos ataques “no estaban completamente actualizados con parches, en la mayoría de los casos, sólo tenían un parche atrasado”.

Los resultados de la investigación especifican que algunas organizaciones pudieron priorizar la aplicación de parches para esta vulnerabilidad “en función de la gravedad de los problemas de seguridad”. “En este caso, la vulnerabilidad se clasificó como media, no alta ni crítica, lo que pudo haber llevado a algunas organizaciones a posponer la aplicación de parches”. Cabe destacar que en México fueron detectadas cuatro “infecciones”.

Además, la Cybersecurity and Infrastructure Security Agency (CISA) publicó un aviso el 4 de agosto de 2022 en el que informa que descubrió que CVE-2022-27925 puede que no sea la única vulnerabilidad de Zimbra que los atacantes utilizan para extraer datos.

¿POR QUE SE SIGUE UTILIZANDO?

Zimbra es utilizada por oficinas gubernamentales por lo barato de sus planes para correos. La empresa vende paquetes desde 18.99 pesos mensuales por buzón y “precios especiales” para más de 150 buzones, dependiendo de las necesidades del cliente. Estos espacios ofrecen 5 gigas de almacenamiento como mínimo.

En comparación, Amazon WorkMail cuesta 4 dólares por usuario al mes e incluye 50 GB de almacenamiento en el buzón de correo por usuario. Esto equivale a alrededor de 80.27 pesos mexicanos. Por su parte, Google Workspace cobra 105.30 pesos al mes por usuario (más IVA).

Bajo esta empresa se encuentra información de dependencias en México encargadas de investigaciones judiciales, servicios de salud y funciones militares que podrían ser atacadas por hackers anónimos para fines desconocidos, vulnerando información clave para la seguridad de la nación y datos personales que deberían estar seguros bajo el resguardo del gobierno mexicano.

¿QUÉ HACER?

Zimbra ha lanzado parches para contener diversas fallas de seguridad en su Collaboration Suite, que podrían aprovecharse para cargar o extraer archivos arbitrarios en instancias vulnerables.

Además de aplicar los parches, se recomienda a los administradores y propietarios de servidores Zimbra la comprobación de indicadores de compromiso (IOC).

Cualquier industria o empresa puede ser vulnerable, en OCD TECH contamos con los protocolos de prevención adecuados para mantenerte protegido. Contáctanos, nuestro equipo esta para ayudarte.

Contáctenos

Si tiene alguna duda sobre nuestros servicios, escribanos y nos comunicaremos a la brevedad.

Enviar mensaje

Auditoría de TI – Consultoría en Ciberseguridad – Aseguranza

OCD Tech, con sede en Boston, ha sido un referente en la región noreste de EE.UU. Con más de 12 años de operación, hemos consolidado nuestra experiencia en ciberseguridad.

En 2022, tras un crecimiento excepcional en Auditoría y Seguridad de TI, nos convertimos en una entidad independiente y expandimos nuestro alcance con la creación de OCD Tech México, fortaleciendo nuestra presencia internacional en ciberseguridad.

Información de Contacto

  • OCD Tech México
  • Blvd. Adolfo López Mateos 2235 Piso 9, Las Águilas, Álvaro Obregón, CDMX
  • 5640015585
  • lmendoza@ocd-tech.com.mx
  • ecalvillo@ocd-tech.com.mx

ocd-tech.com.mx

Síguenos

Certificaciones de nuestro Equipo

  • Certified Information Systems Security Professional (CISSP)
  • Certified Information Systems Auditor (CISA)
  • Offensive Security Wireless Professional (OSCP)
  • System Security Certified Practitioner (SSCP)
  • CSX Cybersecurity Practitioner
  • CyberArk Trustee / CyberArk Defender
  • Symantec Certified Security Awareness Advocate
  • Qualys Certified Vulnerability Management Specialist
  • Project Management Professional (PMP)
  • GIAC Penetration Tester (GPEN)
  • CompTIA Security+
  • CompTIA Network+
  • Certified in Risk and Information Systems Control (CRISC)
  • Jamf Certified Associate
  • Microsoft Technology Associate – Security
  • AWS Certified Cloud Practitioner
  • Apple Certified Associate
  • Sumo Logic Certified
  • Splunk Core Certified User
  • JumpCloud Core Certification

© 2025 — Highend WordPress Theme. Theme by HB-Themes.

  • Aviso de Privacidad