Se estima que el incidente de ciberseguridad en la Semarnat comenzó el pasado viernes primero de septiembre. Por lo que la instrucción a todo el personal fue desalojar las oficinas centrales, que se ubican en Av. Ejército Nacional en la Colonia Anáhuac de la Ciudad de México (CDMX), la orden fue apagar los equipos con motivo de una fumigación programada.
“En los equipos de cómputo de la dependencia apareció un aviso sobre la presencia de un archivo ejecutable relacionado con el ransomware Azov, uno de los wipers o borradores más agresivos y rápidos en la actualidad. Una vez instalado, se propaga en minutos por toda la infraestructura digital y cifra los documentos” afirmó Víctor Ruíz, CEO y Fundador de Silikn.
Así, la Dirección General de Informática y Telecomunicaciones de la Secretaría de Medio Ambiente y Recursos Naturales (Semarnat) trabajó durante el fin de semana para remediar este incidente de ciberseguridad. Se estima que se podría comprometer información sensible como autorizaciones de impacto ambiental o manejo de residuos peligrosos.
Incidente de ciberseguridad en Semarnat tendría un alto impacto
También se proyecta que el incidente de ciberseguridad que enfrenta Semarnat pueden comprometer permisos, además el especialista mencionó que el grupo criminal que recientemente utilizó dicho ransomware es APT Agrius, el cual está alineado con los intereses de Irán. Esto no descarta que los responsables puedan ser mafias digitales rusas como LockBit o BlackByte.
“De hecho, el pasado 13 de abril este último vulneró los sistemas de la Comisión Nacional del Agua (Conagua). Es importante mencionar, que dicho malware codifica tanto documentos como información para destruirlos sin opción de recuperación donde el único respaldo de la información está en manos de los propios criminales digitales” agregó Ruiz.
Finalmente, se destacó que el incidente de ciberseguridad que enfrenta Semarnat es una consecuencia de factores como la falta de parcheo de protección, actualización en software, uso de paquetería sin licencia. Hasta el momento, la dependencia no ha reconocido oficialmente el ciberataque, ni ha dado a conocer el protocolo de contingencia y respuesta.