Las páginas web gubernamentales se suelen percibir como seguras, pero están expuestas a amenazas digitales, que se aprovechan de la mala configuración o el deficiente mantenimiento que en ocasiones muestran, aunque en otras son el objetivo de los atacantes.

La empresa malagueña VirusTotal compartió su informe “El engaño a escala: cómo se infiltran los atacantes en las infraestructuras de las administraciones públicas”, en el que se repasa la infiltración de atacantes en la infraestructura informática de los organismos públicos.

Este informe es el tercero de una serie sobre el panorama de amenazas actuales, y tiene la finalidad de ayudar a los investigadores, los profesionales de la ciberseguridad y el público en general a entender mejor cómo están evolucionando los ataques mediante ‘software’ malicioso, como han detallado desde la compañía en nota de prensa.

La compañía señala que hay «miles de dominios» que se vinculan de forma directa o indirecta con las organizaciones gubernamentales. Los usuarios los suelen entender como seguros, pero se trata de una expectativa que «reduce las posibilidades de detectar o bloquear posibles ataques», como advierten desde VirusTotal.

Durante su investigación, esta empresa ha identificado «docenas» de sitios gubernamentales en las más de 50 territorios que presentaban algún tipo “malware” y rastros de distintas “webshells”, que permiten el acceso remoto.

La compañía refiere también cómo los atacantes abusan de dominios relacionados con los gobiernos en diferentes escenarios, como ocurre en el caso de los ataques oportunistas, es decir, los que el objetivo se elige al azar.

Este tipo de ataques se ha detectado en una iniciativa gubernamental de Guatemala, en la que se empleó una factura en PDF como parte de un ataque de ingeniería social, lo que posibilita posteriormente ataques de tipo “ransomware”, entre otros.

En el caso de los troyanos y los droppers, VirtusTotal refiere el caso de un municipio en China, cuya web albergó una muestra maliciosa de un troyano para Windows durante tres años bajo diferentes url. Este troyano tenía capacidades para realizar capturas de pantalla y a las pulsaciones del teclado.

En el alojamiento de un hospital público de Indonesia se detectó el “exploit” Mimikatz, lo que se vinculó con el despliegue de herramientas de movimiento lateral, que se utilizan para moverse por una red sin llamar la atención.

En lo que respecta a las “webshells”, VirusTotal explica que es difícil detectar si este elemento está activo, pero permite comprobar si la web gubernamental ha alojado “malware” en algún momento. Estos se han encontrado en archivos jpg o en paquetes zip, por ejemplo.

Por último, las malas configuraciones y la falta de mantenimiento de algunas web gubernamentales han dado lugar a la exposición de información y han permitido la implementación de “phishing”, criptomineros y “malware” en algún subdominio.

Fuente: Portaltic