El sitio oficial del Poder Judicial de la Ciudad de México cayó en la madrugada del 2 de agosto. Esto se produjo tras el hackeo llevado a cabo por el grupo de ciberatacantes conocido como Mexican Mafia, quienes pusieron a la venta bases de datos con información de casos o demandas judiciales de más de 300 mil usuarios, que son principalmente abogados que operan en la capital del país.
El grupo publicó el código fuente de al menos dos bases de datos como prueba del acceso a los sistemas del Poder Judicial capitalino, incluyendo cuentas y contraseñas. Entre esta información se encuentra la del Sistema Integral de Consulta de Resoluciones (SICOR), al cual no han logrado acceder los litigantes debido a que el sitio no se encuentra activo tras el ataque.
De esta vulneración, el grupo —que ha llevado a cabo hackeos confirmados a diferentes instituciones de gobierno desde inicios de 2024— habría obtenido datos confidenciales sobre miles de demandados y demandantes de pensiones, así como información sobre reclamos y recibos.
El líder del grupo, que opera bajo el alias Pancho Villa, lanzó advertencias públicas y amenazó con revelar toda la información obtenida si no se logra vender en 72 horas.
“Ha sido uno de los ataques que me ha llevado menos tiempo realizar”
En una entrevista exclusiva, Pancho Villa compartió detalles sobre el ataque, así como sus motivaciones para vulnerar dicho sistema.
¿Me podrías decir cómo fue el hackeo al TSJCDMX? ¿Cómo te percataste de que eran vulnerables?
— Primero fue entender cada uno de sus sistemas viejos. No recibían actualizaciones desde SICOR, exhortos, su sistema de citas OPC. Realmente fue fácil entrar a toda la red; tienen una segmentación básica, no tienen ningún tipo de AV que identifique RCE, su Cloudflare es inservible, me lo comí en 2 minutos. La escalación de privilegios fue sencilla porque su sistema operativo estaba viejísimo, todo es una mierda.
Es decir, a pesar de que sabemos que la ciberseguridad del gobierno suele ser básica, ¿la del TSJCDMX es particularmente deficiente?
— Sí. Ha sido uno de los ataques que me ha llevado menos tiempo realizar, tanto en escalación de privilegios como pivoting en la red.
Cuando dices ‘dos minutos’, ¿en realidad ese fue el tiempo? ¿Tienes acceso a todas las bases alojadas en ese sitio?
— Fueron aproximadamente de 10 a 15 minutos realmente. Sí, tengo acceso a todo. No he podido replicar todo por la cantidad de espacio que requiere; son miles de TB de información, pero lo importante lo tengo.
¿Miles de TB? Es muchísimo. Por lo que tengo entendido, estás vendiendo las bases. ¿Ya han sido adquiridas? ¿Tu principal motivo es la venta, buscas exhibir la falta de seguridad en un sitio de alta importancia o un poco de ambas?
— Sí. Ellos tienen un datacenter interconectado, usan sistemas de respaldos constantemente. Al ser información de valor, busco un poco de ambas. Por eso es que es demasiada información.
Considerando que tienes acceso completo, ¿es probable que próximamente vendas otras bases de datos o incluso está la posibilidad de filtrar la información que no sea adquirida?
— Siempre tengo palabra en mis ventas. Ocasionalmente es only one sale, pero en este caso, si la compran, será exclusivo del comprador. Si no, habrá disclosure.
Entonces, para ser claros, y con base en una publicación que hicieron en Mexican Mafia: si en 72 horas no hay venta, ¿harás pública toda la información a la que accediste?
— Es correcto. Si no toda, puede que parte sí.
Una última pregunta, al ver de primera mano toda esa información, ¿has considerado qué uso podría hacer cualquier comprador que tenga las bases?
— No he considerado qué podrían hacer realmente. Lo veo más para exponer al gobierno.
¿Hay algo que quieras agregar?
— Me gustaría recomendar a todos los sysadmins que mantengan actualizados los sistemas operativos y que no crean que un Cloudflare hará la magia.