{"id":58718,"date":"2024-07-05T07:47:50","date_gmt":"2024-07-05T13:47:50","guid":{"rendered":"https:\/\/elinformante.mx\/?p=58718"},"modified":"2024-07-05T07:47:52","modified_gmt":"2024-07-05T13:47:52","slug":"detectan-que-hackers-rusos-hacen-ataques-a-sre-y-sat","status":"publish","type":"post","link":"https:\/\/elinformante.mx\/?p=58718","title":{"rendered":"DETECTAN QUE HACKERS RUSOS HACEN ATAQUES A SRE Y SAT"},"content":{"rendered":"\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">En solo una semana se han registrado diversos sitios desde Rusia que buscan enga\u00f1ar a los usuarios haci\u00e9ndose pasar por sitios del gobierno de M\u00e9xico.<\/p>\n<\/blockquote>\n\n\n\n<p class=\"wp-block-paragraph\">M\u00e1s de una decena de sitios que suplantan las p\u00e1ginas oficiales del servicio de citas de la Secretar\u00eda de Relaciones Exteriores (SRE) fueron creados en los \u00faltimos siete d\u00edas desde territorio ruso. \u00bfEl riesgo? Podr\u00edan robar la informaci\u00f3n de los mexicanos que buscan realizar tr\u00e1mites para su pasaporte.<br><\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img fetchpriority=\"high\" decoding=\"async\" width=\"1024\" height=\"503\" src=\"https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-5-1024x503.jpg\" alt=\"\" class=\"wp-image-58720\" srcset=\"https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-5-1024x503.jpg 1024w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-5-300x147.jpg 300w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-5-768x377.jpg 768w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-5-580x285.jpg 580w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-5-860x422.jpg 860w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-5.jpg 1140w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Todas estas p\u00e1ginas utilizan dominios similares al del gobierno de M\u00e9xico y comparten el mismo n\u00famero de IP, el cual tiene registro en Mosc\u00fa, Rusia. Esto sugiere una operaci\u00f3n coordinada desde territorio ruso, posiblemente apoyada por grupos cibercriminales especializados en phishing.<br><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Las p\u00e1ginas se presentan como el servicio oficial para tramitar una cita de pasaporte, replicando toda la identidad visual del sitio original. Incluso tienen una pasarela de pago para el tr\u00e1mite.<br><\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"503\" src=\"https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-4-1024x503.jpg\" alt=\"\" class=\"wp-image-58721\" srcset=\"https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-4-1024x503.jpg 1024w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-4-300x147.jpg 300w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-4-768x377.jpg 768w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-4-580x285.jpg 580w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-4-860x422.jpg 860w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-4.jpg 1140w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Pese a que todav\u00eda no se encuentra activa la opci\u00f3n de pagos, el objetivo principal de quien se registra ya se ha cumplido: robar sus datos confidenciales. Este tipo de phishing, conocido como \u201cpharming\u201d, es una t\u00e1ctica com\u00fan para obtener informaci\u00f3n personal y financiera.<br><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Entre los dominios que comparten la misma IP se encuentran www[.]hcitas-sre[.]gyob[.]mx, www[.]cita-sre[.]gyob[.]mx, entre otros. Sin embargo, la campa\u00f1a actual de phishing se aloja principalmente en el sitio citas-sre[.]gyob[.]mx. Todos estos dominios est\u00e1n registrados bajo gyob[.]mx, un dominio creado por el mismo grupo el pasado 27 de junio, lo que indica la reciente activaci\u00f3n de esta campa\u00f1a.<br><\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"503\" src=\"https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-3-1024x503.jpg\" alt=\"\" class=\"wp-image-58722\" srcset=\"https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-3-1024x503.jpg 1024w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-3-300x147.jpg 300w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-3-768x377.jpg 768w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-3-580x285.jpg 580w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-3-860x422.jpg 860w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-3.jpg 1140w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">De acuerdo con un an\u00e1lisis realizado en conjunto con el especialista en ciberseguridad Nicol\u00e1s Azuara, se descubri\u00f3 que el mismo grupo podr\u00eda estar planificando nuevas campa\u00f1as, pues registraron en meses pasados los dominios gbob[.]mx, gvob[.]mx y ghob[.]mx, con los cuales podr\u00edan intentar suplantar otros sitios del gobierno de M\u00e9xico. Esta expansi\u00f3n de dominios sugiere una infraestructura robusta para llevar a cabo ataques de phishing a gran escala.<br><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Es posible que este grupo tambi\u00e9n est\u00e9 preparando una campa\u00f1a para robar datos de los ciudadanos a trav\u00e9s del Servicio de Administraci\u00f3n Tributaria (SAT), ya que han registrado sat[.]gyob[.]mx. Adem\u00e1s, cuentan con un relacionado con la Secretar\u00eda de Medio Ambiente y Recursos Naturales (Semarnat) con la direcci\u00f3n semarnat[.]gyob[.]mx. Esta diversificaci\u00f3n en los objetivos refleja una estrategia amplia para maximizar el impacto de sus ataques.<br><\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"503\" src=\"https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-2-1024x503.jpg\" alt=\"\" class=\"wp-image-58723\" srcset=\"https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-2-1024x503.jpg 1024w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-2-300x147.jpg 300w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-2-768x377.jpg 768w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-2-580x285.jpg 580w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-2-860x422.jpg 860w, https:\/\/elinformante.mx\/wp-content\/uploads\/2024\/07\/9detectan-2.jpg 1140w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Este grupo ruso ha dirigido varios esfuerzos para obtener informaci\u00f3n de mexicanos, posiblemente con la intenci\u00f3n de vender estos datos en foros de hackers en la deep web o para realizar otras actividades delictivas, como la suplantaci\u00f3n de identidad para tramitar cr\u00e9ditos bancarios. Tambi\u00e9n han creado un sitio que imita a Telcel (tielcel[.]com), ampliando as\u00ed su alcance a la esfera privada.<br><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Adem\u00e1s, han adquirido el dominio www[.]en-linea[.]mx, originalmente una p\u00e1gina de marketing que perdi\u00f3 el dominio en 2019. Este dominio ahora se utiliza para otra campa\u00f1a relacionada con la venta de productos. La p\u00e1gina tambi\u00e9n visualiza algunos de los sitios que intentan suplantar al gobierno de M\u00e9xico, sugiriendo que podr\u00edan cambiar su apariencia para imitar la est\u00e9tica de las dependencias mexicanas en el futuro.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>En solo una semana se han registrado diversos sitios desde Rusia que buscan enga\u00f1ar a los usuarios haci\u00e9ndose pasar por sitios del gobierno de M\u00e9xico. M\u00e1s de una decena de sitios que suplantan las p\u00e1ginas oficiales del servicio de citas de la Secretar\u00eda de Relaciones Exteriores (SRE) fueron creados en los \u00faltimos siete d\u00edas desde [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":58719,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[30,34,31],"tags":[],"class_list":["post-58718","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-destacado","category-nacional","category-portada"],"_links":{"self":[{"href":"https:\/\/elinformante.mx\/index.php?rest_route=\/wp\/v2\/posts\/58718","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elinformante.mx\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/elinformante.mx\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/elinformante.mx\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elinformante.mx\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=58718"}],"version-history":[{"count":0,"href":"https:\/\/elinformante.mx\/index.php?rest_route=\/wp\/v2\/posts\/58718\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elinformante.mx\/index.php?rest_route=\/wp\/v2\/media\/58719"}],"wp:attachment":[{"href":"https:\/\/elinformante.mx\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=58718"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/elinformante.mx\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=58718"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/elinformante.mx\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=58718"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}