Una nueva campaña de phishing avanzada ha puesto en riesgo a cerca de 20 dependencias gubernamentales en México, tanto a nivel estatal como federal. Los ciberdelincuentes están utilizando Rockstar 2FA, un kit de phishing como servicio (PhaaS) diseñado para evadir la autenticación multifactor (MFA) y robar credenciales de cuentas Microsoft 365, exponiendo datos fiscales y confidenciales de funcionarios públicos.

Según Víctor Ruiz, fundador de SILIKN y experto en ciberseguridad, esta amenaza puede vulnerar los sistemas de correo más usados en el gobierno, como los del Servicio de Administración Tributaria (SAT) y el Instituto Mexicano del Seguro Social (IMSS), mediante técnicas avanzadas como Adversario en el Medio (AitM).

¿Cómo opera Rockstar 2FA?

El ataque utiliza la técnica AitM, permitiendo a los atacantes interceptar la comunicación entre el usuario y el servidor, capturando credenciales en tiempo real. Una vez comprometidos, los delincuentes pueden suplantar la identidad de la víctima, accediendo a plataformas críticas.

El kit Rockstar 2FA se distribuye en plataformas como Telegram y está disponible por menos de $350 USD al mes. Ofrece a los atacantes la posibilidad de crear páginas falsas que replican las de Microsoft 365 o las interfaces de instituciones gubernamentales, engañando a los usuarios para que ingresen sus datos.

El Phishing se aprovecha de servicios legítimos

Los atacantes están utilizando servicios legítimos como Google Docs Viewer, Atlassian Confluence y Microsoft OneDrive para alojar los enlaces de phishing, aumentando la credibilidad de los correos maliciosos. Los mensajes suelen presentarse como solicitudes oficiales, como firmas electrónicas o intercambios de documentos, logrando que los usuarios caigan en la trampa.

Impacto potencial en el SAT y otras instituciones

La filtración de credenciales podría tener consecuencias devastadoras. En el caso del SAT, se comprometerían datos fiscales críticos, mientras que en el IMSS se expondrían datos de millones de pacientes. Otras entidades locales y estatales, desde organismos de agua potable hasta congresos, también están en riesgo de sabotaje interno o difusión de información falsa.

Medidas de prevención y mitigación

Las soluciones no solo pasan por la tecnología, sino también por la capacitación. Víctor Ruiz sugiere implementar autenticación basada en hardware o biometría, junto con la adopción de herramientas avanzadas de detección y respuesta (XDR) que monitoreen accesos sospechosos y enlaces maliciosos en tiempo real. Además, es crucial limitar los permisos de acceso a cuentas sensibles para minimizar el impacto en caso de una brecha.

Dependencias en Riesgo

• SAT

• IMSS

• Gobierno de Yucatán y Tabasco

• Congreso del Estado de Yucatán

• Organismos de agua potable en Puebla, Sonora y Estado de México

• Otras dependencias estatales y municipales

La sofisticación de este ataque demuestra que ninguna organización es inmune, subrayando la importancia de una ciberseguridad proactiva para proteger los datos más sensibles del país.