Google alerta por ciberespionaje que amenaza a periodistas y activistas en México
México enfrenta una nueva amenaza de ciberseguridad, pues unidades de acecho digital usan software espía para monitorear y recopilar datos de periodistas, políticos de partidos de oposición y defensores de derechos humanos, según informó Royal Hansen, vicepresidente de Privacidad, Seguridad e Ingeniería de Protección de Google, en Google for México 2024.
Esta ciberamenaza se informó en el reporte “Insights on Cyber Threats Targeting Users and Enterprises in Mexico“, escrito por Kelli Vanderlee y Aurora Blum, quien dio más detalles de los hallazgos un día después.
[TE RECOMENDAMOS: Google for México 2024: los principales avances en educación y ciberseguridad con IA]
¡Alertan por casos de ciberespionaje provenientes de tres países!
El Grupo de Análisis de Amenazas (TAG) de Google informó de operaciones de ciberespionaje dirigidas a México, país que llama la atención de actores maliciosos por ser la duodécima economía más grande del mundo.
“México atrae la atención de actores de ciberespionaje de múltiples naciones, con patrones de selección de objetivos que reflejan prioridades y áreas de enfoque más amplias que vemos en otros lugares”.
Fragmento del reporte de Google
Desde 2020, grupos de ciberespionaje de más de 10 países han atacado a usuarios y organizaciones en México. Más del 77% de los ataques se concentran entre grupos de tres países:
- República Popular de China (RPC) – 35.8%
- Corea del Norte – 28.8%
- Rusia – 22.7%
Periodistas, defensores y políticos en la mira de atacantes
En los últimos años, fuentes abiertas han informado de múltiples casos relacionados con el uso de software espía para atacar a muchos sectores de la sociedad civil mexicana, incluidos:
- Periodistas
- Activistas
- Funcionarios gubernamentales
- Los familiares de los tres grupos ya mencionados
“Aunque el uso de software espía suele afectar solo a una pequeña cantidad de objetivos humanos a la vez, su impacto se extiende a toda la sociedad al contribuir a las crecientes amenazas a la libertad de expresión, a la prensa libre y a la integridad de los procesos democráticos en todo el mundo”.
Google
Recientemente, en abril de 2024, TAG observó que se utilizaba software espía en México con señuelos con temas de noticias mexicanas.
China, Corea del Norte y Rusia; en la mira de Google por ciberespionaje y phishing
Desde 2020, se ha observado actividad de siete grupos de ciberespionaje, no detallados por Google, que atacan a usuarios de alto riesgo en México. Estos también representan un tercio de la actividad de phishing respaldada por el gobierno del país.
- El phishing es un ciberataque de ingeniería social, que se manifiesta con emails o mensajes, en los que los ciberdelincuentes se hacen pasar por empresas o bancos para robar los datos de acceso de los usuarios.
Los expertos del gigante tecnológico, entre ellos Aurora Blum, precisaron cómo operan los grupos criminales de cada país señalado en el informe.
China
Los especialistas detectaron que los grupos respaldados para la República Popular de China han atacado, en los últimos cuatro años, a agencias gubernamentales mexicanas, instituciones de educación superior y organizaciones de noticias.
Corea del Norte
Los grupos cibernéticos respaldados por el gobierno de Corea del Norte representan casi el 18% de la actividad de phishing en México desde 2020.
“Las empresas de criptomonedas y tecnología financiera son un foco particular”, de acuerdo con el reporte de Google publicado el 10 de septiembre de 2024.
Una de las tendencias emergentes es la amenaza interna que plantean los ciudadanos norcoreanos que obtienen empleo de manera subrepticia en corporaciones de Tecnologías de la Información (TI).
Esta amenaza puede ser un potencial riesgo futuro para las empresas mexicanas por la actividad histórica de los actores de amenazas norcoreanos en México y los desafíos asociados con el problema expansivo de los actores norcoreanos que intentan obtener empleo en otros países.
Rusia
Los grupos de ciberespionaje rusos han atacado regularmente a usuarios en México durante varios años; sin embargo, desde el inicio del conflicto con Ucrania, la actividad rusa dirigida a los usuarios mexicanos se ha reducido para redirigirse a los usuarios ucranianos y del bloque de la OTAN.
- Desde 2020, los actores cibernéticos rusos han representado una quinta parte de la actividad de phishing respaldada por el gobierno dirigida a México. Sin embargo, en 2023 y 2024, los actores cibernéticos rusos solo representan menos del 1%.
Los especialistas detectaron cuatro grupos respaldados por Rusia que atan a México y más del 95% de los ataques de phishing provinieron del grupo APT28, también conocido como FROZENLAKE.
[TE PODRÍA INTERESAR: Busca resultados sobre ti en Google y elimina tu información personal del buscador]
El ciberespionaje no es la única amenaza hacia a México
El ciberespionaje no es la única amenaza común y de impacto moderado para México. También alertan por:
- Ransomware y extorsión
- Ataques a credenciales bancarias
- Criptominería
- Actores de amenazas que ofrecen acceso y/o credenciales comprometidas para la venta
Uno de los ataques más comunes es la extorsión. De hecho, Google precisa que México sólo fue superado por Brasil como el país de América Latina y el Caribe más afectado por operaciones de ransomware y extorsión, según el recuento de las listas de DLS.
Tres de los cuatro grupos extorsionadores más observados en Latinoamérica llegan a los usuarios por medio de:
- Phishing
- Publicidad maliciosa
- Unidades USB infectadas
- Difusión de contraseñas.
Además de respaldar la actividad de ransomware y extorsión, estas vías de acceso propician casos de criptominería y venta ilegal de contraseñas.
La mayoría de las campañas de este tipo provienen de Latinoamérica, usan troyanos bancarios como METAMORFO y se centran en el robo de credenciales de cuentas.
Finalmente, Google también alertó por campañas de distribución de malware dirigidas a usuarios de México que utilizan señuelos con temática fiscal y financiera para convencer a los destinatarios de que abran enlaces o archivos maliciosos.
¿Cómo protege Google a los usuarios de espionaje y otras amenazas?
Los resultados de la investigación han ayudado a mejorar la seguridad de los productos de Google, según el informe de la compañía.
Por otro lado, los equipos de seguridad de Google monitorean continuamente la actividad de nuevas amenazas y todos los sitios web y dominios identificados se agregan a Navegación segura para proteger a los usuarios de una mayor explotación.
También implementamos y actualizamos constantemente las detecciones de Android para proteger los dispositivos de los usuarios y evitar que actores maliciosos publiquen malware en Google Play Store.
“Enviamos alertas de atacantes respaldados por el gobierno a los usuarios de Gmail y Workspace, notificándoles sobre la actividad y alentando enfáticamente las actualizaciones de dispositivos y el uso de Navegación segura mejorada para Chrome”, dice la empresa.
Además, los clientes de Google Cloud pueden acceder a información sobre estas amenazas a través de Google Threat Intelligence, anunciado a principios de este año.