Servidores internos del Instituto Nacional Electoral (INE) habrían sido comprometidos por el grupo hacker "Sc0rp10n", involucrado en la venta de datos robados de varias instituciones gubernamentales mexicanas.
De acuerdo con el especialista en temas de ciberseguridad, Ignacio Gómez Villaseñor, estos ciberdelincuentes tienen acceso a los servidores internos del INE y los ponen a la venta.
El también periodista señaló que se trata del mismo grupo que vendió la base de datos de 20 millones de pensionados del IMSS y el que hackeó a la Fiscalía de Justicia de Nuevo León.
"La evidencia es bastante contundente. Ofrece acceso persistente a la red interna. Lo peor es que afirma que este trabajo fue realizado a solicitud de un partido político, que los contrató hace un año (no mencionan cuál)", escribió en redes sociales Gómez Villaseñor.
Gómez Villaseñor consideró que los ataques de "Sc0rp10n" no se deben tomar a la ligera y que ninguno ha resultado ser falso, de los que se han dado a conocer.
Con imágenes en la red X, expuso que los hackers instalaron "backdoors" avanzadas y silenciosas en su red y que afirman que el INE no podría encontrarlas, incluso sabiendo que fueron hackeados.
"Esto no es una nueva filtración del padrón electoral, es mucho peor", alertó el periodista.
Dijo que técnicamente esto equivale a una intrusión total en la red operativa del Instituto, con posibilidad de manipular o ex filtrar información sensible como datos del padrón o listado nominal, o de las credenciales de acceso del personal, prestadores de servicios, documentos administrativos firmados digitalmente, comunicaciones y procedimientos técnicos y prerrogativas de partidos políticos.
"Desconozco qué partido político pagó por este ataque y tampoco tengo datos sobre cuál es el costo que pone el grupo de ciberdelincuencia por otorgar este acceso total.
"Reitero que no debe minimizarse esta alerta. Ojalá el INE informe con responsabilidad y no solo negando los hechos, (pese a toda la evidencia)", posteó.
Agregó que la cuenta y la red VPN comprometida eran reales, y que sus fuentes le han confirmado que hace un año fueron eliminadas, justo en el periodo electoral, lo que coincide con la versión del atacante sobre el tiempo en que fue contratado por un partido político.
"Las redes actuales del INE ya cuentan con autenticación multifactor (MFA), implementada tras aquella depuración.
"Sin embargo, especialistas me explican que este mecanismo depende directamente de las cuentas de correo institucional de los empleados y existen filtraciones con cookies de sesión activa que permitirían ingresar a esos correos y obtener el código de validación del MFA", explicó.
Precisó que expertos en ciberseguridad consideran técnicamente viable lo descrito por "Sc0rp10n" respecto a la creación de nuevas VPN dentro de la infraestructura comprometida, especialmente si se implementan túneles UDP sobre DNS, que es una técnica avanzada que permite mantener comunicaciones encubiertas y difíciles de detectar.
Remarca que aunque suene técnico, estos elementos respaldan la veracidad del ataque y anticipan la respuesta del INE, sobre la supuesta eliminación de la red comprometida.
"Reitero: el incidente es sumamente grave y el INE no debe minimizarlo", escribió esta tarde.
