El caso Guacamaya Leaks: cómo prevenir filtraciones en las organizaciones

El grupo de hackers Guacamayas realizó una filtración de documentos del gobierno mexicano a partir de vulnerabilidades sobre servidores de software de correo electrónico.

Adriana Cedillo Morales - Technical Researcher
Andrew Johnson - Product Marketing Manager
Seguridad
El caso Guacamaya Leaks: cómo prevenir filtraciones en las organizaciones

Ciudad de México. Días después de haberse destapado uno de las mayores filtraciones a las fuerzas militares chilenas, a finales de septiembre, un grupo de periodistas mexicanos recibieron, por parte del grupo feminista de hackers Guacamayas, un número de usuario y contraseña para descargar 6 terabytes de documentos del gobierno y la milicia mexicana.

Los documentos contenían información como la agenda del ministro de defensa, reportes médicos del presidente y otros detalles de importantes operaciones militares.

Días más tarde, Guacamayas hizo público un video del hackeo en tiempo real en el cual se detalla cómo se utilizaron vulnerabilidades sobre los servidores del software de correo electrónico ZIMBRA (CVE-2022-27925 y CVE-2022-37042)[1], las cuales permiten cargar archivos de forma arbitraria y eludir privilegios.

En el último año, Guacamayas ha atacado también a organizaciones de Colombia y Perú.

Estos casos permiten ver que, en el mundo actual, ni las organizaciones más importantes están exentas de filtraciones, ya que vulnerabilidades críticas aparecen todo el tiempo.

Esto ha sido constatado en otros escándalos mundiales sobre filtración de datos de los últimos años como Wikileaks[2], Pandora Papers[3] o Panamá Papers[4].

Es por ello que tanto las entidades públicas como privadas deben tomarse en serio el contar con soluciones robustas para detectar vulnerabilidades y defectos a tiempo, que protejan no solamente sus servicios de red sino también sus aplicaciones, ya que un ataque puede tomar el control de los datos más sensibles en ellas e incluso en los servidores.

Vulnerabilidades web

El caso Guacayamas nos muestra que cualquier vulnerabilidad, ya sea conocida por los investigadores o solo por los hackers, es una oportunidad para atacar y ocasionar altos daños.

Actualmente, se estima que el costo del cibercrimen equivale al 1 % del PIB mundial y, en promedio, las organizaciones necesitan hasta 50 días para resolver un ataque interno[5].

En 2021, los principales ataques en el mundo fueron la extorsión, el robo de identidad, la violación de datos personales y los ataques de phishing[6].

En el caso específico de las aplicaciones web, existen diversas vulnerabilidades registradas por la fundación OWASP, las cuales representan riesgos de seguridad críticos para aplicaciones y están enumeradas en el OWASP Top 10.

En esta lista se destacan los fallos de control de acceso, criptográficos, de inyección en la integridad de los datos, de identificación y autenticación y los asociados a componentes desactualizados, entre otros.

Protege la cadena de suministro de tu software de aplicaciones

En la actualidad, gran parte del software usado por las empresas incluye código externo, así como una gran cantidad del código de sus aplicaciones, lo que representa la “cadena de suministro” de su software.

Esto se representa con los siguientes datos:

  • Un 70 % de las bases de código de las aplicaciones se componen de código open source (código abierto)[7].
  • Se utilizan en promedio 118 bibliotecas de código abierto en una aplicación[8].
  • Un 97 % de las aplicaciones Java se componen de bibliotecas de código abierto[9].

Ningún código es perfecto

Debido a que el software se vuelve obsoleto y se descubren vulnerabilidades frecuentemente, las bibliotecas de código y los frameworks deben actualizarse de manera constante. De lo contrario, el software y las aplicaciones que utilizan el código pueden expirar.

Hoy, cuando los investigadores de ciberseguridad y los hackers éticos descubren nuevas vulnerabilidades, las comparten dentro de las comunidades de su sector para que organizaciones de todo el mundo puedan encontrar soluciones para sanarlas.

Sin embargo, las vulnerabilidades también pueden ser descubiertas por hackers poco éticos y ocasionar efectos desastrosos.

De hecho, tener componentes vulnerables y desactualizados es un riesgo tan grande que incluso constituye una categoría en la lista de las 10 principales amenazas de aplicaciones web de OWASP.

Apache Log4j vulnerabilities

Como mencionamos anteriormente, las vulnerabilidades se descubren y se divulgan continuamente a lo largo del tiempo y algunos de los ejemplos recientes más críticos y conocidos se encontraron en bibliotecas de Apache, de uso muy común en 2021.

Estas vulnerabilidades, CVE-2021-44228 y CVE 2021-41773, representan grandes riesgos.

La primera es un exploit que permite extraer la biblioteca de registro, otorgando a los usuarios no autorizados el control total de un servidor.

Esto representa una de las vulnerabilidades más peligrosas y permite a los atacantes ejecutar código malicioso desde los servidores afectados en lo que se conoce como RCE (Remote Code Execution, ejecución remota de código), uno de los peores escenarios para un equipo de seguridad.

Este exploit puede presentarse en servidores sin parches y brinda a los atacantes la capacidad de ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada.

La segunda vulnerabilidad surgió de los cambios realizados en Apache HTTP Server 2.4.49 para la normalización de rutas, que permite a los atacantes acceder a archivos y directorios almacenados fuera de la carpeta raíz web.

Esto hace posible que los hackers accedan a directorios que contienen archivos como scripts CGI o incluso que tomen el control del servidor.

Es difícil medir el alcance total del daño causado a las organizaciones que demoraron en hacer parches o que tenían una seguridad inadecuada, pero debido al amplio uso de estas bibliotecas, se puede suponer que estos CVE causaron muchos problemas en todo el mundo.

Cómo protegerse contra vulnerabilidades

En América Latina, así como a nivel global, las organizaciones se preguntan cómo protegerse contra las vulnerabilidades que están por venir.

Esto representa un gran desafío para los programas de SDLC (Software Development Life Cycle, ciclo de vida de desarrollo de software), ya que mientras estos ayudan a las organizaciones a producir rápidamente software de alta calidad, se encuentran también con desafíos que les representan retrasos, como las vulnerabilidades o errores de seguridad críticos, resultando en cadencias de implementación lentas y perjudicando la migración a los microservicios y a la cloud.

En este escenario, la pregunta es: ¿qué podemos hacer para proteger nuestras aplicaciones y sus componentes inevitablemente vulnerables?

WAF para mitigar amenazas

Prevenir los ataques con eficacia es el sueño de toda organización. Los hackers están a la espera de cualquier oportunidad para entrar en acción y casos como Guacamaya Leaks, Wikileaks o Pandora Papes nos lo han dejado claro.

Hoy en día, soluciones de ciberseguridad como WAF son ampliamente usadas para proteger la cadena de suministro de software, ya que:

  • filtran las solicitudes maliciosas antes de que lleguen a las aplicaciones de origen, los servidores web y la infraestructura;
  • actúan como un “parche virtual” que les da a los desarrolladores, equipos de seguridad o DevSecOps más tiempo para corregir vulnerabilidades;
  • disminuye el riesgo de vulnerabilidades en el código heredado y de terceros, especialmente si el WAF es gestionado por un proveedor con una sólida inteligencia de amenazas y conjuntos de reglas eficientes que incluso protegen contra ataques de día cero.

Un WAF es una solución probada en la reducción de riesgos de seguridad y ayuda a las organizaciones a cumplir con los requisitos de conformidad (incluido el PCI 6.6, entre otros).

¿Quieres saber más sobre cómo proteger tus aplicaciones? No te pierdas este webinar o habla con uno de nuestros expertos.

Referencias

[1] El Palomo

[2] The Guardian

[3] Ibid

[4] Infobae

[5] Purplesec

[6] INCIBE

[7] Synopsis

[8] Contrast

[9] Veracode

WAF de Azion es la mejor opción para empresas de todos los sectores

WAF de Azion es la mejor opción para empresas de todos los sectores

Impulsa la seguridad cibernética de tu negocio con el WAF de Azion, una herramienta flexible y rentable reconocida por su excelencia.

9 FEB, 2024 • 10 min de lectura

Rafael Rigues - Technical Researcher
Los expertos hablan: frases de ciberseguridad sobre Zero Trust, WAF, ingeniería social y más

Los expertos hablan: frases de ciberseguridad sobre Zero Trust, WAF, ingeniería social y más

Frases de ciberseguridad para ampliar de modo significativo y rápido tu visión estratégica sobre el tema. Hablamos de Zero Trust, WAF, ingeniería social y más.

1 FEB, 2024 • 8 min de lectura

Isidro Iturat Hernández - Technical Researcher
Cinco formas en que HTTP/3 puede aumentar la seguridad de tus aplicaciones

Cinco formas en que HTTP/3 puede aumentar la seguridad de tus aplicaciones

HTTP/3 brinda varias mejoras de seguridad en comparación con sus versiones anteriores, lo que puede ayudar a proteger tus aplicaciones web de una gran variedad de amenazas, incluyendo ataques "man-in-the-middle", DDoS y secuestro de sesión.

26 ENE, 2024 • 8 min de lectura

Rafael Rigues - Technical Researcher
Mejorando la seguridad de tus aplicaciones con el nuevo recurso Fingerprint del Azion Marketplace

Mejorando la seguridad de tus aplicaciones con el nuevo recurso Fingerprint del Azion Marketplace

Mejora la seguridad de tu aplicación con la función Fingerprint de Azion, garantizando la identificación única de dispositivos. Escalable y rápido de implementar. ¡Pruébalo hoy!

19 ENE, 2024 • 7 min de lectura

Thiago Silva - Technical Researcher

Suscríbete a nuestro boletín informativo