El caso Guacamaya Leaks: cómo prevenir filtraciones en las organizaciones

Explora cómo Guacamayas y otros hackers exponen vulnerabilidades críticas globales, impactando la seguridad cibernética y la cadena de suministro de software.

Adriana Cedillo Morales - Technical Researcher
Andrew Johnson - Product Marketing Manager
El caso Guacamaya Leaks: cómo prevenir filtraciones en las organizaciones

Ciudad de México. Días después de haberse destapado uno de las mayores filtraciones a las fuerzas militares chilenas, a finales de septiembre, un grupo de periodistas mexicanos recibieron, por parte del grupo feminista de hackers Guacamayas, un número de usuario y contraseña para descargar 6 terabytes de documentos del gobierno y la milicia mexicana.

Los documentos contenían información como la agenda del ministro de defensa, reportes médicos del presidente y otros detalles de importantes operaciones militares.

Días más tarde, Guacamayas hizo público un video del hackeo en tiempo real en el cual se detalla cómo se utilizaron vulnerabilidades sobre los servidores del software de correo electrónico ZIMBRA (CVE-2022-27925 y CVE-2022-37042)[1], las cuales permiten cargar archivos de forma arbitraria y eludir privilegios.

En el último año, Guacamayas ha atacado también a organizaciones de Colombia y Perú.

Estos casos permiten ver que, en el mundo actual, ni las organizaciones más importantes están exentas de filtraciones, ya que vulnerabilidades críticas aparecen todo el tiempo.

Esto ha sido constatado en otros escándalos mundiales sobre filtración de datos de los últimos años como Wikileaks[2], Pandora Papers[3] o Panamá Papers[4].

Es por ello que tanto las entidades públicas como privadas deben tomarse en serio el contar con soluciones robustas para detectar vulnerabilidades y defectos a tiempo, que protejan no solamente sus servicios de red sino también sus aplicaciones, ya que un ataque puede tomar el control de los datos más sensibles en ellas e incluso en los servidores.

Vulnerabilidades web

El caso Guacayamas nos muestra que cualquier vulnerabilidad, ya sea conocida por los investigadores o solo por los hackers, es una oportunidad para atacar y ocasionar altos daños.

Actualmente, se estima que el costo del cibercrimen equivale al 1 % del PIB mundial y, en promedio, las organizaciones necesitan hasta 50 días para resolver un ataque interno[5].

En 2021, los principales ataques en el mundo fueron la extorsión, el robo de identidad, la violación de datos personales y los ataques de phishing[6].

En el caso específico de las aplicaciones web, existen diversas vulnerabilidades registradas por la fundación OWASP, las cuales representan riesgos de seguridad críticos para aplicaciones y están enumeradas en el OWASP Top 10.

En esta lista se destacan los fallos de control de acceso, criptográficos, de inyección en la integridad de los datos, de identificación y autenticación y los asociados a componentes desactualizados, entre otros.

Protege la cadena de suministro de tu software de aplicaciones

En la actualidad, gran parte del software usado por las empresas incluye código externo, así como una gran cantidad del código de sus aplicaciones, lo que representa la “cadena de suministro” de su software.

Esto se representa con los siguientes datos:

  • Un 70 % de las bases de código de las aplicaciones se componen de código open source (código abierto)[7].
  • Se utilizan en promedio 118 bibliotecas de código abierto en una aplicación[8].
  • Un 97 % de las aplicaciones Java se componen de bibliotecas de código abierto[9].

Ningún código es perfecto

Debido a que el software se vuelve obsoleto y se descubren vulnerabilidades frecuentemente, las bibliotecas de código y los frameworks deben actualizarse de manera constante. De lo contrario, el software y las aplicaciones que utilizan el código pueden expirar.

Hoy, cuando los investigadores de ciberseguridad y los hackers éticos descubren nuevas vulnerabilidades, las comparten dentro de las comunidades de su sector para que organizaciones de todo el mundo puedan encontrar soluciones para sanarlas.

Sin embargo, las vulnerabilidades también pueden ser descubiertas por hackers poco éticos y ocasionar efectos desastrosos.

De hecho, tener componentes vulnerables y desactualizados es un riesgo tan grande que incluso constituye una categoría en la lista de las 10 principales amenazas de aplicaciones web de OWASP.

Apache Log4j vulnerabilities

Como mencionamos anteriormente, las vulnerabilidades se descubren y se divulgan continuamente a lo largo del tiempo y algunos de los ejemplos recientes más críticos y conocidos se encontraron en bibliotecas de Apache, de uso muy común en 2021.

Estas vulnerabilidades, CVE-2021-44228 y CVE 2021-41773, representan grandes riesgos.

La primera es un exploit que permite extraer la biblioteca de registro, otorgando a los usuarios no autorizados el control total de un servidor.

Esto representa una de las vulnerabilidades más peligrosas y permite a los atacantes ejecutar código malicioso desde los servidores afectados en lo que se conoce como RCE (Remote Code Execution, ejecución remota de código), uno de los peores escenarios para un equipo de seguridad.

Este exploit puede presentarse en servidores sin parches y brinda a los atacantes la capacidad de ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada.

La segunda vulnerabilidad surgió de los cambios realizados en Apache HTTP Server 2.4.49 para la normalización de rutas, que permite a los atacantes acceder a archivos y directorios almacenados fuera de la carpeta raíz web.

Esto hace posible que los hackers accedan a directorios que contienen archivos como scripts CGI o incluso que tomen el control del servidor.

Es difícil medir el alcance total del daño causado a las organizaciones que demoraron en hacer parches o que tenían una seguridad inadecuada, pero debido al amplio uso de estas bibliotecas, se puede suponer que estos CVE causaron muchos problemas en todo el mundo.

Cómo protegerse contra vulnerabilidades

En América Latina, así como a nivel global, las organizaciones se preguntan cómo protegerse contra las vulnerabilidades que están por venir.

Esto representa un gran desafío para los programas de SDLC (Software Development Life Cycle, ciclo de vida de desarrollo de software), ya que mientras estos ayudan a las organizaciones a producir rápidamente software de alta calidad, se encuentran también con desafíos que les representan retrasos, como las vulnerabilidades o errores de seguridad críticos, resultando en cadencias de implementación lentas y perjudicando la migración a los microservicios y a la cloud.

En este escenario, la pregunta es: ¿qué podemos hacer para proteger nuestras aplicaciones y sus componentes inevitablemente vulnerables?

WAF para mitigar amenazas

Prevenir los ataques con eficacia es el sueño de toda organización. Los hackers están a la espera de cualquier oportunidad para entrar en acción y casos como Guacamaya Leaks, Wikileaks o Pandora Papes nos lo han dejado claro.

Hoy en día, soluciones de ciberseguridad como WAF son ampliamente usadas para proteger la cadena de suministro de software, ya que:

  • filtran las solicitudes maliciosas antes de que lleguen a las aplicaciones de origen, los servidores web y la infraestructura;
  • actúan como un “parche virtual” que les da a los desarrolladores, equipos de seguridad o DevSecOps más tiempo para corregir vulnerabilidades;
  • disminuye el riesgo de vulnerabilidades en el código heredado y de terceros, especialmente si el WAF es gestionado por un proveedor con una sólida inteligencia de amenazas y conjuntos de reglas eficientes que incluso protegen contra ataques de día cero.

Un WAF es una solución probada en la reducción de riesgos de seguridad y ayuda a las organizaciones a cumplir con los requisitos de conformidad (incluido el PCI 6.6, entre otros).

¿Quieres saber más sobre cómo proteger tus aplicaciones? No te pierdas este webinar o habla con uno de nuestros expertos.

Referencias

[1] El Palomo

[2] The Guardian

[3] Ibid

[4] Infobae

[5] Purplesec

[6] INCIBE

[7] Synopsis

[8] Contrast

[9] Veracode

mantente actualizado

Suscríbete a nuestro boletín informativo

Recibe las últimas actualizaciones de productos, destacados de eventos y conocimientos de la industria tecnológica directamente en tu bandeja de entrada.