El foro conocido como BreachForums, donde ciberdelincuentes de todo el mundo publican filtraciones con datos privados y confidenciales de millones de personas, fue tomado este miércoles 15 de mayo por la Oficina Federal de Investigaciones (FBI) y el Departamento de Justicia de Estados Unidos.
Esta acción ocurre una semana después de que la misma instancia revelara la identidad de uno de los ciberatacantes más peligrosos del mundo, conocido como LockbitSupp, como parte de la Operación Cronos, una estrategia de colaboración internacional entre diversas agencias de seguridad de todo el mundo contra el grupo de ransomware LockBit.
El FBI, que publicó un mensaje en el sitio de BreachForums alertando de la toma de control, notificó que también participaron la agencia NCA (National Crime Agency) del Reino Unido, así como las policías de Australia, Nueva Zelanda y Suiza.
“Desde junio de 2023 hasta mayo de 2024, BreachForums (alojado en breachforums.st/.cx/.is/.vc y administrado por ShinyHunters) operaba como un mercado en la red abierta para que los ciberdelincuentes compraran, vendieran e intercambiaran contrabando, incluyendo dispositivos de acceso robados, medios de identificación, herramientas de piratería, bases de datos vulneradas y otros servicios ilegales”, explica una publicación del FBI dentro del mismo foro.
¿Se acabaron las filtraciones?
Consultado por Publimetro México sobre este tema, el instructor certificado en ciberseguridad y fundador de SILIKN, Víctor Ruiz, advirtió que, a pesar de esta acción, el sitio podría regresar, como ya lo ha hecho antes: “A pesar de los esfuerzos del FBI y sus colaboradores, los sitios han sido capaces de reanudar sus actividades mediante el uso de servidores espejo distribuidos en distintas partes del mundo. No obstante, las acciones emprendidas contra los infractores han tenido un impacto significativo en los grupos delictivos”.
Ruiz señaló que las autoridades han logrado confiscar y asumir el control de los activos asociados a estos sitios, incluyendo los datos filtrados y la información técnica que podría identificar a los administradores y a los delincuentes que publican contenido relacionado con las filtraciones. Esto incluye detalles sobre su ubicación, métodos de pago y transferencias.
Anteriormente, una versión separada de BreachForums (alojada en breached.vc/.to/.co y dirigida por pompompurin, recientemente capturado por las autoridades) operó un foro de piratería similar desde marzo de 2022 hasta marzo de 2023. Raidforums (alojado en raidforums.com y dirigido por Omnipotent) fue el foro de piratería predecesor de ambas versiones de BreachForums y funcionó desde principios de 2015 hasta febrero de 2022.
¿Crónica de una toma anunciada?
Para proporcionar un contexto más amplio sobre el tema, el analista en ciberseguridad Nicolás Azuara recordó que, desde hace un par de meses, el conocido actor malicioso USDoD había alertado sobre un comportamiento extraño en la infraestructura de BreachForums y pronosticó que las autoridades tomarían el control del foro web en los siguientes tres meses, como sucedió anteriormente con RaidForums.
Sin embargo, aunque USDoD informó en su cuenta de X que reconstruirá el foro para una tercera versión, Azuara considera extraño que, hasta el momento, los canales oficiales del FBI u otra agencia no hayan publicado información sobre la toma del foro.
“El día de hoy agencias gubernamentales han incautado la infraestructura de BreachForums, incluyendo sus nombres de dominio y canal de Telegram. Llama la atención que a pesar de ser esta una operación de gran escala, hasta el momento las autoridades no han emitido algún comunicado al respecto”
— Nicolás Azuara, analista de ciberseguridad
Warning, Breachfroums infrastructure is behaving strangely similar problems happened during raidforums and breachforums v1.
— USDoD-TA🏴☠️🌐👁️🗨️ (@EquationCorp) February 26, 2024
The timeline that similar problems occurred in the past until both communities suffered a seizure varies from 1 to 3 months, I believe that Breachforums…
¿Qué datos de mexicanos han sido expuestos en BreachForums?
Aunque en BreachForums se comercializaban bases de datos y documentos confidenciales de gobiernos y empresas a nivel global, México destaca como uno de los países frecuentemente afectados por actores maliciosos. Por ejemplo, en enero de 2024 se publicó en el sitio la filtración de datos personales, incluyendo credenciales del INE, de más de 300 periodistas que cubren las conferencias matutinas del presidente Andrés Manuel López Obrador, una filtración que actualmente es investigada por la Fiscalía General de la República (FGR).
Asimismo, se compartían regularmente listas que aparentemente habían sido extraídas del Instituto Nacional Electoral (INE), incluyendo domicilios y profesiones de millones de mexicanos. También se puso a la venta información confidencial hackeada de diversas instituciones gubernamentales, como la conocida filtración Chilango Leaks, donde se obtuvieron más de 2 terabytes de correos del gobierno de la Ciudad de México.
Otros casos destacados relacionados con México incluyen recientes ataques a universidades, como el ocurrido el pasado 14 de mayo, donde se publicaron las fotografías de 696 posibles estudiantes de la Escuela Libre de Derecho (ELD), institución de la que egresaron figuras prominentes como el expresidente Felipe Calderón Hinojosa, el exsecretario del Trabajo Javier Lozano y la ministra de la Suprema Corte de Justicia de la Nación (SCJN) Loretta Ortiz Ahlf.
También se difundieron en este foro los datos extraídos del Instituto de Investigaciones en Matemáticas Aplicadas y en Sistemas (IIMAS) y del Instituto de Investigaciones Filológicas (IIFL) de la UNAM, de la Universidad Marista de San Luis Potosí, y de la Universidad de las Américas de la Ciudad de México, entre otras.
Incluso se liberó la información que el hacker Pancho Villa, del grupo Mexican Mafia, extrajo del gobierno de la alcaldía de Iztapalapa, ataque por el cual, hasta el miércoles 15 de mayo, la página web de la alcaldía sigue caída.
Hoy a las 18:30 p.m., la página web de inicio de la @Alc_Iztapalapa sufrió un ataque informático. Hacemos de conocimiento que este hecho no ha impedido que la Alcaldía siga desempeñando sus labores en pro de los derechos de las y los iztapalapenses. (1/2)
— Alcaldía Iztapalapa (@Alc_Iztapalapa) May 8, 2024
¿Por qué México no combate el cibercrimen como en EE. UU?
Una de las principales críticas en México está relacionada con el funcionamiento de la policía cibernética, que ha tenido dificultades para golpear a las células que cometen delitos informáticos en el país. Al respecto, Víctor Ruiz señaló que la carencia de formación en ciberseguridad y ciberinteligencia a nivel global dentro de las fuerzas policiales ha sido evidente, ya que sus prioridades, metodologías, herramientas y tácticas se han centrado más en la vigilancia de los ciudadanos que en su protección.
También advirtió sobre la falta de cooperación entre agencias locales e internacionales, resultando en una situación desfavorable en cuanto a colaboración, comunicación y diseño de estrategias conjuntas.
“La ausencia de confianza entre estos organismos policiales les ha dejado rezagados en comparación con entidades como el FBI, así como en relación con los grupos cibercriminales. Estos últimos, al no tener obstáculos burocráticos, comparten libremente información sobre filtraciones y se apoyan mutuamente para maximizar el impacto de sus ataques”
— Víctor Ruiz, instructor certificado en ciberseguridad y fundador de SILIKN
