México. Un nuevo ataque cibernético ha encendido las alarmas en México. De acuerdo con un análisis de la Unidad de Investigación de SILIKN, cibercriminales patrocinados por Corea del Norte comprometieron el entorno en la nube de la empresa Commvault, alojado en Microsoft Azure, mediante la explotación de una vulnerabilidad de día cero.
El ataque ha sido atribuido al grupo Lazarus, una amenaza persistente avanzada (APT) conocida por su sofisticación y vínculos con operaciones de espionaje, robo financiero y desestabilización global.
El ataque aprovechó la vulnerabilidad CVE-2025-3928, una falla crítica con puntuación CVSS de 8.7 que afecta el servidor web de Commvault. Esta falla permite a un atacante remoto autenticado crear y ejecutar webshells, accediendo así de manera no autorizada a la infraestructura comprometida. Aunque su explotación requiere credenciales válidas dentro del entorno de Commvault, se presume que los atacantes combinaron esta vulnerabilidad con técnicas como el robo de credenciales para lograr la intrusión.
El incidente fue detectado por primera vez en marzo de 2025, y aunque Commvault lanzó parches correctivos en febrero, estos fueron publicados antes de que se asignara el identificador CVE, lo que confirma que se trató de un ataque de día cero. Las versiones corregidas incluyen las actualizaciones 11.36.46, 11.32.89, 11.28.141 y 11.20.217 para plataformas Windows y Linux.
Para apoyar en la detección de actividades maliciosas, se compartieron varios indicadores de compromiso (IoC) y se ha recomendado bloquear las siguientes direcciones IP:
- 108.69.148.100
- 128.92.80.210
- 184.153.42.129
- 108.6.189.53
- 159.242.42.20
También es importante monitorear intentos de inicio de sesión desde direcciones IP fuera de los rangos geográficos y horarios habituales.
La unidad de investigación de SILIKN ha identificado a varias dependencias del gobierno mexicano como potencialmente expuestas a esta vulnerabilidad. Entre las entidades afectadas se encuentran:
- Servicio de Administración Tributaria (SAT)
- Gobierno del Estado de Sonora
- Secretaría de Hacienda del Estado de Sonora
- CorreosClic (Servicio Postal Mexicano)
- Instituto Superior de Auditoría y Fiscalización
- Agencia Nacional de Aduanas de México
- Secretaría de Educación y Cultura de Colima
- Plataforma Integral de Información de la Secretaría de Educación y Cultura de Colima
La exposición de estas entidades se ve agravada por falta de actualizaciones, uso de sistemas obsoletos y la persistencia de vulnerabilidades en plataformas como Zimbra, que continúan siendo vectores de ataque ampliamente explotados.
El grupo Lazarus ha mantenido una presencia constante en México durante la última década. En 2018, intentó sustraer 100 millones de dólares del sistema financiero mexicano mediante spear-phishing y explotación de vulnerabilidades en la red SWIFT, replicando técnicas utilizadas en el robo de 81 millones al Banco Central de Bangladesh en 2016.
En 2022, explotó vulnerabilidades en servidores Zimbra (CVE-2022–27925 y CVE-2022–37042) para extraer 120 GB de datos de instituciones gubernamentales mexicanas, coincidiendo con la filtración masiva de 6 TB de documentos confidenciales de la Secretaría de la Defensa Nacional (Sedena).
Entre 2015 y 2016, también lanzó ataques contra bancos comerciales en México como parte de una campaña global. Su historial incluye el ransomware WannaCry (2017) y, más recientemente, el robo de 1,500 millones de dólares a la plataforma de criptomonedas Bybit (2025).
Este nuevo incidente pone de manifiesto los desafíos de proteger entornos en la nube frente a ciberatacantes altamente sofisticados. Aunque no se han reportado pérdidas de datos oficiales en este caso, la exposición de entidades gubernamentales resalta la urgente necesidad de adoptar prácticas de seguridad más robustas, incluyendo:
- Autenticación multifactor
- Monitoreo continuo de infraestructura
- Aplicación inmediata de parches de seguridad
- Segmentación de redes
- Capacitación continua del personal
La colaboración entre proveedores de tecnología, dependencias gubernamentales y la comunidad de ciberseguridad será clave para enfrentar las amenazas emergentes y mitigar riesgos antes de que se materialicen en crisis de seguridad nacional.
*Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.
