Caso de estudio: Exfiltración de datos del Estado Mayor Conjunto de Chile (EMCO)

El 19 de septiembre de 2022, se detectó una filtración considerable de aproximadamente 400.000

correos electrónicos pertenecientes al Estado Mayor Conjunto de Chile (EMCO). Esta acción fue
ejecutada por el grupo de hacktivistas conocido como Guacamaya y la información exfiltrada se hizo
pública a través del sitio web de Enlace Hacktivista y de la cuenta de Twitter de la periodista Emma
Best.

El grupo Guacamaya aprovechó una vulnerabilidad denominada ProxyShell, identificada en abril de

2021 por Orange Tsai, investigador de DEVCORE. A pesar de que Microsoft liberó parches para
mitigar estas vulnerabilidades entre abril y mayo de 2021, EMCO no implementó estos parches
oportunamente. Guacamaya utilizó una combinación de herramientas y técnicas, incluyendo NMAP,
httpx y un script en Python para perpetrar la filtración. (NSE)

El impacto de este incidente ha sido considerable, tanto a nivel político como de seguridad nacional
en Chile. La ministra de Defensa, Maya Fernández, suspendió su viaje a la ONU para gestionar la
crisis y el General Paiva, responsable del EMCO, presentó su renuncia.

Agente de la amenaza: Guacamaya, un grupo hacktivista comprometido con la exposición de

prácticas empresariales poco éticas y la defensa de los derechos indígenas.

Vulnerabilidad explotada: Las vulnerabilidades CVE-2021-34473, CVE-2021-34523, y CVE-2021-

31207 en los servidores de Microsoft Exchange, las cuales, al ser explotadas en conjunto, permiten
eludir la autenticación, elevar privilegios y ejecutar código de forma remota en el servidor.

Efecto adverso: Este incidente resultó en la interrupción de las operaciones de EMCO, la

divulgación de datos sensibles, y la pérdida de confianza por parte de sus asociados y clientes.
Además, implicó un costo económico debido a la necesidad de reparar los sistemas, recuperar la
información y afrontar posibles sanciones regulatorias.

Riesgo: La falta de actualización y aplicación de parches en los servidores de Microsoft Exchange

representó un riesgo significativo para EMCO, siendo la exposición de datos confidenciales, la
interrupción de las operaciones comerciales y el daño a la reputación las principales amenazas.

Para mitigar tales riesgos en el futuro, se sugiere implementar controles como: mantenimiento
constante y actualización de los sistemas operativos y aplicaciones, implementación de seguridad en
múltiples niveles del sistema, establecimiento de un sistema eficaz de monitoreo y detección de
amenazas, desarrollo de un plan sólido de respuesta a incidentes y recuperación, y capacitación
continua de los empleados en prácticas de seguridad. (Concientización).

Además, es crucial establecer un proceso efectivo de gestión de vulnerabilidades, desarrollar

estrategias de resiliencia cibernética, realizar evaluaciones periódicas de riesgos, efectuar pruebas
de penetración y ejercicios de red teaming, y desarrollar un plan de continuidad del negocio.

Este caso ilustra la importancia de una gestión de riesgos eficiente y de mantener los sistemas
actuales.
Guacamaya editar
El diagrama representa el flujo del ataque y las medidas de mitigación. Comienza con el grupo
Guacamaya explotando la vulnerabilidad ProxyShell en los sistemas de EMCO. Esto lleva a la
exfiltración de datos, que luego se publican en Enlace Hacktivista y Twitter. El impacto de este
incidente incluye la interrupción de las operaciones, la divulgación de datos sensibles y la pérdida de
confianza. El riesgo asociado con este incidente incluye la exposición de datos confidenciales, la
interrupción de las operaciones y el daño a la reputación. Para mitigar estos riesgos, se sugiere la
implementación de varias medidas de seguridad y gestión de riesgos.
Caso de estudio: Ataque a SONDA con Medusa Locker

SONDA, una empresa de tecnología con sede en América Latina especializada en la integración de
sistemas, outsourcing y desarrollo de software, experimentó un ataque cibernético en septiembre de
2019. Sin embargo, no se detectó hasta octubre del mismo año. Los atacantes utilizaron malware
para robar información confidencial, como nombres, direcciones y números de identificación de los
clientes.

Agente de la amenaza: Los atacantes eran un grupo de ciberdelincuentes que buscaban obtener un
beneficio económico robando información confidencial.

Vulnerabilidad: Los ciberdelincuentes explotaron vulnerabilidades en el Protocolo de Escritorio

Remoto (RDP) para acceder y cifrar los datos en los sistemas de la empresa.

Descripción del ataque: Una vez detectado el ataque en octubre de 2019, SONDA informó a sus
clientes sobre el incidente y cómo había afectado a sus sistemas. El ransomware, identificado como
MedusaLocker, afectó las operaciones en varios países de América Latina, incluyendo Chile, Brasil,
Ecuador, Costa Rica, México y Colombia.

Efecto adverso: Este ataque interrumpió servicios críticos, como centros de datos, servicios en la
nube y consultoría, dañando la reputación de la empresa e inquietando a sus clientes. Además,
SONDA tuvo que invertir recursos significativos en la investigación y reparación de los daños.

Riesgo: El riesgo inherente a este tipo de ataques es muy alto. Las empresas de tecnología y sus
proveedores de servicios están expuestos a riesgos importantes debido a su dependencia de
sistemas informáticos y la valiosa información que gestionan.

Antecedentes del riesgo: El riesgo de ciberataques ha ido en aumento en los últimos años debido a la
creciente sofisticación de los atacantes, el incremento en la conectividad y la adopción de la nube.

Controles: Para enfrentar estos desafíos, SONDA debería haber implementado controles de
seguridad más fuertes, incluyendo:

1. Formación de empleados en seguridad informática.

2. Pruebas de penetración regulares para identificar vulnerabilidades.
3. Mantenimiento constante y actualización de los sistemas de seguridad.
4. Establecimiento de un plan de respuesta a incidentes de ciberseguridad.
5. Monitoreo constante de la efectividad de las medidas implementadas.

Además, es fundamental que las organizaciones realicen análisis de riesgos y desarrollen planes de
respuesta ante ciberataques, monitoreen la efectividad de las medidas de seguridad implementadas,
establezcan mecanismos de comunicación efectiva con las partes interesadas y fomenten una cultura
de seguridad en la organización.

Este caso pone de relieve la importancia de la gestión proactiva de la ciberseguridad y la necesidad

de mantener los sistemas y los protocolos de seguridad actualizados. Además, subraya el impacto
potencialmente devastador que un ataque cibernético puede tener en una organización y la
importancia de la comunicación efectiva en situaciones de crisis.
SONDA editar

La fuente de la amenaza son los actores de amenaza que explotan una vulnerabilidad en el Protocolo
de Escritorio Remoto (RDP).
Esta acción representa el evento de amenaza que afecta a la vulnerabilidad en los sistemas de
SONDA.
El impacto adverso de este evento es la instalación de MedusaLocker, que cifra los datos y roba
información.
Esto representa un riesgo organizacional significativo, incluyendo la interrupción de servicios y daño
a la reputación de SONDA.
Para mitigar este riesgo, SONDA implementa controles de seguridad.
Las condiciones predisponentes, como la interrupción de servicios y el daño a la reputación,
subrayan la importancia de la gestión proactiva de la ciberseguridad para prevenir futuros ataques.
Caso de estudio: Ataque WannaCry

El ataque WannaCry, lanzado en mayo de 2017, es uno de los más notorios en la historia de la
ciberseguridad. Se aprovechó de una vulnerabilidad en versiones antiguas del sistema operativo
Windows, resultando en la infección de más de 200,000 computadoras en todo el mundo.

Agente de la amenaza: El grupo de cibercriminales conocido como Shadow Brokers es el

responsable de este ataque, utilizando la herramienta de hacking EternalBlue para explotar la
vulnerabilidad.

Vulnerabilidad: EternalBlue explotó una vulnerabilidad en el protocolo SMB versión 1 de Microsoft. A

pesar de que Microsoft había lanzado un parche de seguridad, muchas organizaciones no habían
aplicado la actualización, lo que facilitó la propagación del ransomware WannaCry.

Descripción del ataque: Una vez desplegado, WannaCry cifró los archivos en las computadoras
infectadas y exigió un rescate para liberarlos. Los sistemas críticos en hospitales, empresas y
gobiernos se vieron afectados, causando un gran caos.

Efecto adverso: El principal efecto adverso fue la pérdida de datos y la interrupción de los sistemas
críticos, lo que resultó en grandes costos y una disminución en la confianza del público en las
organizaciones afectadas.

Riesgo: El riesgo principal asociado con el caso WannaCry es la interrupción y pérdida de acceso a
sistemas y datos críticos de las organizaciones afectadas. Además, el rescate exigido para recuperar
el acceso a los archivos cifrados puede resultar en costos financieros significativos para las víctimas.

Antecedentes del riesgo: Los antecedentes de riesgo en el caso WannaCry incluyen la falta de
actualizaciones de seguridad en sistemas Windows y la falta de conciencia y educación en
ciberseguridad, lo que aumentó la probabilidad de éxito del ataque.

Controles: Muchos especialistas recomiendan la implementación de controles que mitiguen la

amenaza de ransomware, como la aplicación de parches de seguridad, políticas de respaldo de
datos y recuperación de desastres, educación a los usuarios sobre el phishing y otras tácticas de
ingeniería social, y contar con un plan de respuesta a incidentes en caso de una infección.

Este caso subraya la importancia de mantener sistemas y software actualizados y parcheados para
evitar posibles ataques de malware. También destaca los riesgos asociados con los ataques de
ransomware, incluida la pérdida de acceso a datos críticos y la interrupción de las operaciones
comerciales, así como los costos financieros significativos que pueden resultar del rescate exigido
por los operadores del ransomware. Las organizaciones deben tomar medidas para proteger sus
sistemas y datos de posibles ataques de ransomware, como la implementación de políticas de
seguridad sólidas, la realización de copias de seguridad regulares y la educación de los empleados
sobre las amenazas de seguridad en línea.
Wanna cry editar

Fuente de Amenaza: Grupo Shadow Brokers: Este grupo de cibercriminales lanzó el ataque
WannaCry utilizando la herramienta de hacking EternalBlue.
Evento de Amenaza: Lanzamiento del ataque WannaCry: El ataque explotó una vulnerabilidad en el
protocolo SMB versión 1 de Microsoft.
Vulnerabilidad: Protocolo SMB versión 1 de Microsoft: Esta vulnerabilidad causó un impacto adverso,
incluyendo la pérdida de datos y la interrupción de sistemas críticos.
Impacto Adverso: Pérdida de datos, interrupción de sistemas críticos: Este impacto adverso condujo
a un riesgo organizacional, incluyendo la interrupción y pérdida de acceso a sistemas y datos críticos,
y costos financieros significativos.
Riesgo Organizacional: Interrupción y pérdida de acceso a sistemas y datos críticos, costos
financieros significativos: Este riesgo puede ser mitigado por varios controles de seguridad.
Controles de Seguridad: Aplicación de parches de seguridad, políticas de respaldo de datos y
recuperación de desastres, educación a los usuarios sobre el phishing y otras tácticas de ingeniería
social, plan de respuesta a incidentes: Estos controles pueden ayudar a prevenir y mitigar los efectos
de ataques similares en el futuro.
Condiciones Predisponentes: Falta de actualizaciones de seguridad en sistemas Windows, falta de
conciencia y educación en ciberseguridad: Estas condiciones facilitaron el evento de amenaza.
Caso de estudio: Bruno Fritch

La línea de tiempo del caso Bruno Fritsch S.A. contra Sujeto A y Sujeto B es la siguiente:

3 de abril: Sujeto A suplanta la identidad de Javier Trucco, gerente general de Bruno Fritsch,
utilizando una cédula de identidad adulterada para abrir una cuenta digital en el Banco Bice.

Semana posterior al 3 de abril: Sujeto B, usando otra cédula falsa de Trucco, cambia el número de
teléfono asociado a la cuenta y logra instalar la aplicación BICEPass en el dispositivo.

Fecha desconocida: Sujeto A y Sujeto B acceden al sitio privado de Javier Trucco, logrando acceder
a la cuenta de la empresa Bruno Fritsch S.A.

Fecha desconocida: Sujeto A y Sujeto B generan y autorizan 56 transferencias electrónicas desde

la cuenta de la empresa por un total de $384 millones, distribuidos a 32 personas diferentes.

Fecha desconocida: Banco Bice detecta el fraude y restituye el monto total de las transferencias a la
cuenta de Bruno Fritsch S.A.

Fecha desconocida: Banco Bice presenta una querella criminal contra los perpetradores, buscando
su identificación y condena.

Las lecciones que se pueden extraer de este caso para prevenir futuras situaciones similares son:

1. Control interno: Es vital tener controles internos robustos que aseguren la seguridad de la
información, especialmente en los procesos de validación de la identidad de los clientes y en
las operaciones financieras.
2. Capacitación: Los empleados deben ser capacitados sobre los posibles riesgos y
amenazas, incluyendo la suplantación de identidad y el fraude cibernético.
3. Políticas de control de acceso: Se deben establecer políticas sólidas para gestionar el
acceso a los sistemas y datos de la empresa.
4. Monitoreo y auditoría: Es necesario tener sistemas de monitoreo y auditoría que permitan
detectar actividades inusuales o sospechosas en tiempo real.
5. Fortalecimiento de la seguridad tecnológica: Se debe utilizar la tecnología de seguridad
más avanzada y actualizada, como la autenticación multifactor y sistemas de reconocimiento
biométrico más robustos.
6. Cultura de ética y denuncia: Se debe fomentar una cultura organizacional que promueva la
integridad, la transparencia y la denuncia de actividades sospechosas.
7. Revisiones y evaluaciones periódicas: Es importante realizar revisiones y evaluaciones de
riesgos de forma regular para identificar y corregir posibles debilidades en los sistemas de
seguridad.

Las soluciones a los problemas identificados en este caso se encuentran principalmente en las áreas
de prevención de fraude, seguridad de la información y gestión de riesgos. Al establecer controles
más fuertes en estas áreas, las organizaciones pueden protegerse mejor contra ataques similares en
el futuro.
 Editar diagrama acá

Fuente de Amenaza: Sujeto A y Sujeto B

Evento de Amenaza: Suplantación de identidad y fraude
Vulnerabilidad: Falta de controles de seguridad robustos
Impacto Adverso: Pérdida financiera y daño a la reputación
Riesgo Organizacional: Fraude financiero y pérdida de confianza
Controles de Seguridad: Controles internos, capacitación, políticas de control de acceso, monitoreo y
auditoría, seguridad tecnológica, cultura de ética y denuncia, revisiones y evaluaciones periódicas
Condiciones Predisponentes: Falta de controles de seguridad y conciencia de seguridad

Este caso de estudio demuestra la importancia de tener controles de seguridad robustos y una
cultura de conciencia de seguridad en una organización. La falta de estos elementos puede facilitar
eventos de amenazas como la suplantación de identidad y el fraude, lo que puede resultar en un
impacto adverso significativo, como la pérdida financiera y el daño a la reputación. Para mitigar estos
riesgos, las organizaciones deben implementar una serie de controles de seguridad, incluyendo
controles internos, capacitación, políticas de control de acceso, monitoreo y auditoría, seguridad
tecnológica, y una cultura de ética y denuncia. Además, las organizaciones deben realizar revisiones
y evaluaciones periódicas de sus sistemas de seguridad para identificar y corregir cualquier debilidad.
Caso de estudio: Prilex.

El grupo de ciberdelincuentes conocido como Prilex ha demostrado una considerable capacidad para
adaptarse a los cambios en el entorno de la ciberseguridad, cambiando sus tácticas y objetivos para
maximizar su rentabilidad. Originalmente centrado en los cajeros automáticos, este grupo ha
evolucionado hacia un enfoque en los sistemas de Punto de Venta (PoS), utilizando malware
sofisticado para robar información financiera y personal. El resurgimiento de Prilex, junto con su
adaptación a las estrategias de defensa actuales, representa un importante desafío para las
organizaciones que buscan protegerse de estas amenazas.

Desarrollo:

1. Suplantación y aprovechamiento de fallas de seguridad: En su primera etapa, Prilex se

enfocó en los cajeros automáticos, utilizando malware para "jackpotting" (forzar a los cajeros
a dispensar dinero) y clonar miles de tarjetas de crédito. Sin embargo, Prilex no se detuvo
ahí. Evolucionaron sus tácticas y se centraron en los sistemas de PoS. Utilizando ingeniería
social, se hicieron pasar por técnicos de software de PoS, engañando a las empresas para
que instalaran su malware.
2. Robo de datos y fraude financiero: Prilex representa una gran amenaza para la seguridad de
las transacciones de punto de venta. No solo roban información financiera y personal de los
clientes, sino que también pueden llevar a cabo transacciones fraudulentas y robar fondos de
las cuentas de los clientes. Además, explotan la falta de actualizaciones de seguridad en los
sistemas de PoS, una debilidad que las empresas suelen pasar por alto.
3. Pérdidas financieras y daños a la reputación: Además de las pérdidas financieras directas
que resultan del robo de fondos de las cuentas de los clientes, las empresas también pueden
sufrir daños a su reputación cuando los clientes descubren que sus datos han sido
comprometidos.

Para protegerse contra estos ataques, las organizaciones pueden tomar una serie de medidas:

• Concientización y capacitación del personal: Los empleados deben estar informados sobre las
tácticas de ingeniería social utilizadas por Prilex y se les debe enseñar a identificar y reportar estos
intentos.

• Actualizaciones de seguridad: Es importante que las organizaciones mantengan sus sistemas de

PoS actualizados con las últimas actualizaciones de seguridad y parches.

• Uso de autenticación y cifrado: Las organizaciones deben implementar autenticación y cifrado para
proteger las comunicaciones entre el software de PoS y los dispositivos de PIN.

• Monitoreo y detección de anomalías: Las organizaciones deben implementar soluciones de

monitoreo y detección de anomalías para identificar rápidamente cualquier actividad sospechosa en
sus sistemas de PoS.

• Implementación de políticas de acceso y privilegios: Las organizaciones deben tener políticas de

acceso y privilegios para limitar el acceso a los sistemas de PoS y asegurar que solo las personas
autorizadas puedan acceder a estos sistemas.

• Colaboración con proveedores de seguridad: Las organizaciones deben trabajar en estrecha

colaboración con proveedores de seguridad de confianza para mantenerse al día con las últimas
amenazas y soluciones de seguridad.
Conclusión:

A pesar del desafío que representa Prilex, con la debida preparación y medidas de seguridad, las
organizaciones pueden protegerse de este y otros grupos ciberdelincuentes. La educación del
personal, la actualización regular de la seguridad, el uso de autenticación y cifrado, y la colaboración
con proveedores de seguridad son aspectos clave para garantizar la seguridad en un entorno de
ciberseguridad cada vez más complejo y desafiante.

El caso de estudio Prilex es un ejemplo de cómo un grupo de ciberdelincuentes puede adaptarse y

evolucionar para maximizar su rentabilidad. Prilex comenzó enfocándose en los cajeros automáticos,
utilizando malware para forzar a los cajeros a dispensar dinero y clonar tarjetas de crédito. Sin
embargo, con el tiempo, cambiaron su enfoque a los sistemas de Punto de Venta (PoS), utilizando
ingeniería social y malware sofisticado para robar información financiera y personal.

Diagrama:

Prilex acá

Fuente de Amenaza: Grupo Prilex

Evento de Amenaza: Suplantación, robo de datos y fraude financiero
Vulnerabilidad: Fallas de seguridad en sistemas de PoS y falta de conciencia de seguridad
Impacto Adverso: Pérdidas financieras y daño a la reputación
Riesgo Organizacional: Fraude financiero y pérdida de confianza
Controles de Seguridad: Concientización y capacitación del personal, actualizaciones de seguridad,
uso de autenticación y cifrado, monitoreo y detección de anomalías, políticas de acceso y privilegios,
colaboración con proveedores de seguridad
Condiciones Predisponentes: Falta de actualizaciones de seguridad y conciencia de seguridad
Caso de Estudio: Compromiso de iPhones de Kaspersky a través de una Vulnerabilidad Zero-Day

Agente de la Amenaza: Actores de amenazas no identificados que aprovecharon una vulnerabilidad

Zero-Day en iOS.

Vulnerabilidad: Los iPhones en la red de Kaspersky estaban expuestos a un exploit Zero-Day que se
utilizó para infiltrar malware en los dispositivos a través de iMessage. Este tipo de vulnerabilidad es
particularmente peligroso porque es previamente desconocido para los desarrolladores y los expertos
en seguridad, y por lo tanto, aún no se han implementado soluciones.

Descripción del Ataque: Los actores de amenazas comprometieron varios iPhones dentro de la red
de Kaspersky utilizando un exploit Zero-Click a través de iMessage. El software malicioso se instaló
sin requerir ninguna interacción del usuario. Una vez instalado, el malware adquirió privilegios de
administrador, recolectó información del sistema y del usuario, y permitió a los atacantes mantener el
control sobre los dispositivos comprometidos.

Efecto Adverso: La violación de la seguridad permitió la instalación de software malicioso en los

iPhones de los empleados de Kaspersky, comprometiendo potencialmente la confidencialidad, la
integridad y la disponibilidad de los datos en los dispositivos afectados.

Riesgo: El ataque pone en peligro la privacidad y seguridad de los datos en los dispositivos afectados
y en la red de Kaspersky en general. Existe el riesgo de que la información confidencial recopilada
pueda ser utilizada para futuros ataques, amenazando aún más la seguridad de la organización y de
sus clientes.

Antecedentes del Riesgo: El uso de exploits Zero-Day ha aumentado en los últimos años como un
medio eficaz de comprometer los sistemas y evadir la detección. Este incidente refuerza la necesidad
de medidas de seguridad robustas y de estrategias proactivas para la detección y mitigación de
vulnerabilidades Zero-Day.

Controles: Kaspersky recurrió al kit de herramientas de verificación móvil para analizar y entender el
ataque. También proporcionaron una lista de dominios asociados con la actividad maliciosa para
ayudar a otros a verificar los registros DNS en busca de signos de explotación. A largo plazo, el
fortalecimiento de la seguridad de los dispositivos móviles, la vigilancia continua para detectar
actividad sospechosa, y la rápida respuesta a los incidentes de seguridad son vitales para prevenir y
mitigar los ataques de este tipo.

Kaspersky editar

Grupo de Amenazas (ScarCruft): Este grupo de amenazas avanzadas explotó una vulnerabilidad
Zero-Day en los iPhones en la red de Kaspersky.
iPhones en la red de Kaspersky: Los dispositivos fueron comprometidos a través de la instalación de
malware.
Compromiso de datos y control del dispositivo: El malware recopiló información del sistema y del
usuario, lo que resultó en un riesgo para la privacidad y seguridad de los datos.
Riesgo para la privacidad y seguridad de los datos: La información recopilada podría ser utilizada
para futuros ataques, aumentando el riesgo de seguridad para la organización y sus clientes.
Kaspersky: La empresa utilizó herramientas de verificación móvil para analizar y entender el ataque,
proporcionó una lista de dominios asociados con la actividad maliciosa para ayudar a otros a verificar
los registros DNS, fortaleció la seguridad de los dispositivos móviles, y mantuvo una vigilancia
continua y una rápida respuesta a los incidentes de seguridad para prevenir y mitigar futuros ataques.