Las webs de varios gobiernos árabes han sido pirateadas para robar tus datos al visitarlas

• Un ataque perpetrado por dos grupos criminales ha suplantado las webs de los gobiernos de Armenia, Egipto, Turquía, Suecia, Jordania y los Emiratos Árabes Unidos.
• Para lograrlo, los ciberdelincuentes comprometían a una víctima de la Administración con un ataque de phishing, luego espiaban el entorno de la organización hasta dar con las contraseñas del registrador de DNS. Allí, simplemente cambiaban este dato para que todos los visitantes de la web fueran redirigidos al sitio fraudulento.
• La campaña criminal afectó también a más de 13 sitios web gubernamentales, agencias de inteligencia, 'telcos' y empresas digitales en 13 países de todo el mundo durante más de dos años.

El caso es el que sigue: estás planeando las próximas vacaciones, tienes un negocio internacional o necesitas hacer algún trámite con una Administración extranjera. ¿Qué haces? Visitar la página web del gobierno de turno parece lo más lógico, amén de lo más seguro. O esa es la teoría.

Esta semana hemos conocido un importante incidente de ciberseguridad que ha afectado a los sitios web oficiales de Armenia, Egipto, Turquía, Suecia, Jordania y los Emiratos Árabes Unidos. Un ataque que, en última instancia, conseguía que los usuarios accedieran a una web falsa al teclear correctamente la dirección del respectivo gobierno, robando los datos personales de las víctimas.

La campaña, detectada por dos firmas de seguridad (Cisco Talos y FireEye), afectó también a más de 13 sitios web gubernamentales, agencias de inteligencia, 'telcos' y empresas digitales en 13 países de todo el mundo durante más de dos años. Detrás de esta particular acción delictiva están, a juicio de los expertos, dos grupos de criminales cibernéticos (DNSpionage y Sea Turtle) y se está investigando si alguna podría estar patrocinada por algún estado.

Leer más: Solo una de cada diez empresas invierte lo suficiente en ciberseguridad pese a que el 31% ni siquiera ha sido capaz de detectar un ciberataque

Adentrándonos en la arena más técnica, en el cómo consiguieron falsificar las webs legítimas de varios gobiernos del mundo sin que nadie se diera cuenta, hemos de explicar que el ataque tiene mucho que ver con el secuestro de DNS.

En ese sentido, los ciberdelincuentes primero utilizan un ataque de phishing tradicional para comprometer un objetivo dentro del gobierno de turno y entrar en su red. Luego escanean la red en busca de vulnerabilidades, dirigiéndose a servidores y enrutadores, lo que les permite un movimiento lateral a través de toda la organización, recogiendo contraseñas por el camino.

Posteriormente, usando las credenciales robadas, se dirigen al registrador de DNS del gobierno afectado. Allí, actualizan los registros del registrador para que el nombre de dominio apunte a un servidor que esté bajo el control de los piratas informáticos. Y ya está: cualquiera que quiera visitar la web de la entidad pública será redirigido a la copia fraudulenta.