Hackeo: El Estado Mayor Conjunto ya había sido advertido de vulnerabilidades cibernéticas en julio de 2021

El Estado Mayor Conjunto (EMCO) ya había sido alertado el 13 de julio del año pasado de una “vulnerabilidad crítica” que afectaba a los servicios de correo Outlook.  Así lo indica la Alerta de Seguridad a la que Mega Investiga tuvo acceso y que fue enviada por el Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT, por su sigla en inglés) del Ministerio del Interior, a todos los organismos públicos, incluyendo al Estado Mayor Conjunto.

El CSIRT es el organismo a cargo de generar las alertas de seguridad informática y, cuando ello ocurre, los organismos deben aplicar los parches de seguridad correspondientes para fortalecer sus sistemas informáticos, actualizando sus servidores ante vulnerabilidades críticas que pudieran afectar a la infraestructura tecnológica. La idea es evitar lo que sucedió con los 400 mil mensajes de correos electrónicos del EMCO que quedaron al descubierto tras el hackeo del grupo de “hacktivistas” Guacamaya,  un grupo que se define como “hijos y defensores de la Abya Yala (América)” y que tiene en la mira a empresas mineras que provocan daño al medio ambiente, pero también a organismos militares y policiales.

El informe con la alerta emitida por el CSIRT explicaba que la vulnerabilidad se refería a la ejecución de código remoto de Microsoft Exchange Server e incluía las medidas de mitigación, “consistentes en instalar la última actualización de los productos afectados”. Ese fue el mensaje recibido el 13 de julio de 2021.

Ataques de “hacktivistas”

El hackeo masivo de los correos del EMCO incluye aquellos emails enviados por el CSIRT Sectorial de Defensa, el organismo que coordina las alertas de seguridad informática del Ministerio de Defensa. Mega Investiga revisó los intercambios de esos correos e identificó que, semanalmente, los analistas de ciberseguridad del Estado Mayor Conjunto envían informes sobre incidentes informáticos que pueden afectar al organismo.

Los analistas del EMCO afirman en sus informes que las infraestructuras tecnológicas del organismo reciben “constantes ataques que realizan los grupos hacktivistas” y por ello, es necesario que realicen trabajos preventivos y de monitoreo a sus sistemas.

Mega Investiga observó que semanalmente el CSIRT Sectorial de Defensa identificaba en promedio 30 alarmas de escaneo de “vulnerabilidades externo-interno a la infraestructura del EMCO”, es decir, donde un atacante externo utiliza una herramienta de escaneo de vulnerabilidades “para detectar activos vulnerables. Normalmente esta comunicación se produce entre el atacante situado en Internet y el host interno ubicado en una DMZ pública”.

Otras alertas del sistema

El organismo también emitió al menos 12 alertas de incidentes de seguridad informática. Entre 2020 y 2021, se enviaron avisos de detección de vulnerabilidades por malwares (software hostiles) y correos phishing dirigidos a funcionarios del EMCO.

La principal diferencia entre el phishing y los malware radica en el método que se utiliza para llegar a los datos. En el caso del phishing es cuando mediante un correo o mensaje se busca engañar a la víctima, haciéndose pasar por empresas o servicios para que los mismos usuarios compartan sus contraseñas e información sensible. Por otra parte, los malware son programas maliciosos que se instalan en un equipo para infiltrarse, robando la información de las personas o dañando los dispositivos.

El organismo de Defensa categoriza estos incidentes en cinco niveles: bajo, moderado, medio, alto y crítico. De los informes revisados, en tres se alertó sobre incidentes altos por malwares, y en nueve fueron incidentes moderados por phishing.

Sin espacio de almacenamiento

El miércoles 28 de julio de 2021, un funcionario del CSIRT Sectorial de Defensa informó sobre “una falla crítica” en un sistema que ocupa el EMCO para gestionar eventos e información de seguridad que está encargado de detectar, analizar y avisar ante cualquier amenaza a su organismo.

La alerta advirtió que algunas alarmas de dicho programa no podrían ser analizadas por los funcionarios del EMCO, porque el sistema no tenía espacio de almacenamiento para mostrar el detalle de las alertas emitidas. Es decir, si alguien que no fuera parte del EMCO accedía al sistema o si había un movimiento inusual de un usuario del organismo, el EMCO no podría enterarse porque, pese a que la alerta se emitiría, el sistema no tendría espacio suficiente para desplegar el contenido de la misma.

Luego de recibir la alarma un funcionario levantó un ticket de atención sobre la situación con carácter “urgente” para que un técnico lo viera.

Todo sobre Hackeo Correos