Resumen del Aviso de Seguridad Cibernética
Este aviso está dirigido a profesionales y gerentes de TI en el gobierno y sectores diversos, y entrará en vigor el 15 de abril de 2025. El objetivo principal de este documento es alertar sobre amenazas cibernéticas identificadas, especialmente aquellas relacionadas con actores de amenaza de la República Popular de China, que han aumentado su actividad dirigida a los enrutadores de borde de la red en sectores críticos de infraestructura. La comunicación se centra en la necesidad de reforzar la seguridad de los dispositivos de enrutamiento y la importancia de seguir las orientaciones del Centro Canadiense de Seguridad Cibernética (Cyber Center) para proteger las redes.
Amenazas a Dispositivos de Seguridad y Borde
Los actores de amenaza están aprovechando vulnerabilidades en los dispositivos de enrutamiento de seguridad y borde, que son críticos para la infraestructura de red. Al comprometer estos enrutadores, un atacante puede realizar múltiples acciones maliciosas, que incluyen monitorear y modificar tráfico de red, lo que pone en riesgo la seguridad de toda la infraestructura. Muchos de estos dispositivos quedan expuestos debido a que no se aplican actualizaciones de seguridad en sus configuraciones. El Cyber Center señala que los parches de seguridad están disponibles, pero deben ser implementados de manera oportuna.
Las organizaciones deben revisar las pautas y manuales proporcionados por los fabricantes para asegurar que cumplen con las pautas de seguridad y aplicar medidas de seguridad recomendadas, como realizar auditorías y revisiones periódicas.
Patrones de Explotación y Persistencia
El Cyber Center identifica varios métodos comunes de explotación utilizados por actores de amenaza para comprometer los enrutadores de borde:
-
Servicios expuestos: Dispositivos que ofrecen servicios accesibles desde Internet son fácilmente detectables y pueden ser objetivo de ataques.
-
Configuraciones inadecuadas: Configuraciones predeterminadas, como una criptografía débil o puertos inseguros, son vulnerables y deben ser revisadas y endurecidas.
-
Modificaciones no autorizadas: Los atacantes alteran configuraciones para facilitar el acceso no autorizado y el movimiento lateral en la red.
-
Exfiltración de archivos de configuración: Se han reportado incidentes en los que los archivos de configuración han sido robados, revelando credenciales y vulnerabilidades adicionales.
-
Ejecución de comandos no autorizados: Atacantes pueden ejecutar comandos para profundizar su acceso a los dispositivos, lo que a menudo incluye la creación de cuentas administradas y la manipulación de registros.
- Uso de credenciales débiles: Muchas violaciones están asociadas con el uso de contraseñas predeterminadas o fáciles de adivinar, lo que aumenta el riesgo de compromisos.
Recomendaciones de Mitigación
Para combatir estas amenazas, el Cyber Center proporciona varias recomendaciones:
- Deshabilitar servicios innecesarios y protocolos inseguros.
- Aplicar autenticación multifactor para accesos administrativos.
- Mantenerse actualizado con las versiones de firmware recomendadas por los fabricantes.
- Implementar patrones de comportamiento normal de la red para detectar anomalías.
- Realizar auditorías periódicas para identificar modificaciones no autorizadas en la configuración.
Este aviso enfatiza la importancia de la ciberseguridad en la infraestructura crítica y la necesidad de mantenerse informado sobre las vulnerabilidades y amenazas actuales. Las organizaciones deben adoptar un enfoque proactivo en la defensa de sus redes, aplicando actualizaciones y mejores prácticas de seguridad recomendadas. En conclusión, la colaboración y el cumplimiento de las pautas de seguridad son esenciales para proteger los activos de información ante las ciberamenazas emergentes.