El Equipo de Respuesta Ante Incidentes de la ANCI identificó que los cibercriminales están ejecutando ataques aprovechando credenciales comprometidas y debilidades en accesos remotos. La entidad advirtió sobre posible afectación a sistemas e infraestructura digital del país.
Justo horas después de conocerse un incidente que ha generado interrupción en los sistemas del Servicio Nacional de Geología y Minería (Sernageomin), el Equipo Nacional de Respuesta Ante Incidentes de Seguridad Informática (CSIRT Nacional), dependiente de la Agencia Nacional de Ciberseguridad (ANCI), hizo público un documento en el que se identificaron “ataques correspondientes al grupo de amenaza INC Ransom en la infraestructura de la RCSE” (Red de Conectividad Segura del Estado). En el documento también se comparte información técnica relacionada con patrones del grupo de amenaza, los que “podrían afectar sistemas e infraestructura digital del país”, advirtieron.
Según la información compartida, el acceso inicial detectado hasta ahora ocurre a través de la administración de firewalls FortiGate. Tras ello, el atacante logra ingresar a la red institucional mediante el uso de credenciales comprometidas o adquiridas a través de un intermediario conocido como Initial Access Broker. En los casos observados, los dispositivos afectados no contaban con controles de seguridad reforzados, como autenticación multifactor (MFA), lo que facilitó el ingreso no autorizado.
El CSIRT Nacional explica que INC Ransom “presenta patrones de compromiso similares y el mismo impacto resultante: secuestro de información en instituciones de alto flujo financiero y que almacenan grandes volúmenes de datos”. Una vez obtenidas las credenciales, los accesos se realizan desde infraestructuras externas como VPS o VPN de terceros, utilizando canales considerados “limpios” y mayoritariamente asociados a servicios ubicados en Estados Unidos, Reino Unido y Francia. Esta modalidad dificulta la detección temprana y permite al atacante crear o modificar reglas en el firewall para habilitar nuevos puertos y vectores de acceso.
Tras el ingreso inicial, la falta de segmentación de red se transforma en un factor crítico. El informe detalla, además, que el actor malicioso ejecuta movimientos laterales usando protocolos habituales de administración, como RDP, NetBIOS y SSH. De esta forma, logra desplazarse hacia entornos de virtualización y proceder al cifrado masivo de las máquinas alojadas, provocando la interrupción simultánea de múltiples servicios con el consecuente impacto operacional.
Junto con la descripción del ataque, el CSIRT Nacional entregó una serie de recomendaciones orientadas a reducir la superficie de exposición. Entre ellas, se destaca la necesidad de mantener un inventario actualizado de proveedores con acceso remoto y eliminar cuentas genéricas o sin responsable definido, privilegiando cuentas nominativas. Asimismo, se enfatiza la obligatoriedad de habilitar MFA para todas las cuentas y accesos remotos, sin excepciones, junto con políticas de contraseñas robustas y, cuando sea posible, controles de acceso condicional por país, dirección IP, nivel de riesgo u horario.
El organismo también recomienda segregar los accesos de terceros mediante servidores intermedios o bastiones, bloquear el movimiento lateral restringiendo protocolos como RDP, SMB o SSH por segmentos de red, y reforzar los controles de acceso remoto. Esto incluye limitar el uso de VPN a direcciones IP permitidas, deshabilitar el split tunneling cuando no sea necesario y asegurar que todas las sesiones queden registradas, con tiempos de espera y bloqueo por inactividad. Estas medidas buscan mitigar el impacto de campañas como las atribuidas a INC Ransom y fortalecer la resiliencia frente a amenazas de cifrado masivo.