Skip to main content
HashnodeGenieriaGenieria

Command Palette

Search for a command to run...

Lecciones de Incidentes Críticos Nacionales (2020-2023)

Updated
4 min read
Lecciones de Incidentes Críticos Nacionales (2020-2023)
G
Genieria

En simple: Por qué tu Excel “calma-auditores”, no habría salvado al EMCO ni al Poder Judicial

Por: Hernán H. | Ingeniero de Sistemas Senior, Diplomado en Ciberseguridad & Gobernanza TI

Resumen Ejecutivo

La promulgación de la Ley 21.459 de Delitos Informáticos y la reciente Ley Marco de Ciberseguridad han transformado la gestión de activos tecnológicos (ITAM) de una tarea administrativa a un componente crítico de la defensa jurídica y operativa corporativa.

Este análisis técnico examina tres incidentes de alta connotación pública en Chile (EMCO, Poder Judicial y la crisis de proveedores de infraestructura), aislando el vector de ataque común: la falta de visibilidad sobre la superficie de exposición y la obsolescencia tecnológica. Se aborda la problemática desde los marcos de trabajo NIST CSF 2.0 (Función IDENTIFY) e ISO 27001:2022 (Control A.5.9).

1. Vector de Ataque: Shadow IT y Gestión de Parches

Caso de Estudio: Estado Mayor Conjunto (EMCO) - 2022

La filtración de más de 400.000 correos electrónicos por parte del grupo Guacamaya no fue producto de una amenaza persistente avanzada (APT) de última generación, sino de la explotación de vulnerabilidades conocidas en servidores Microsoft Exchange.

  • Análisis Técnico: Los informes forenses públicos sugieren la explotación de la cadena de vulnerabilidades ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Estas vulnerabilidades permitían la ejecución remota de código (RCE) en servidores no parchados.

  • Falla de Gestión: La persistencia de un servidor Exchange con parches desactualizados por meses evidencia una falla crítica en el proceso de Patch Management y en el inventario de activos expuestos a internet.

  • Implicancia Normativa: Bajo la Ley 21.459, mantener activos críticos sin las actualizaciones de seguridad pertinentes puede constituir una falta de diligencia, facilitando el acceso ilícito (Art. 2) y la interceptación indebida (Art. 3).

2. Vector de Ataque: Obsolescencia Tecnológica (EOL)

Caso de Estudio: Poder Judicial (PJUD) - 2022

La paralización de audiencias y desconexión de tribunales en septiembre de 2022 fue causada por un ransomware (variante LockBit) que se propagó lateralmente explotando equipos con sistemas operativos fuera de soporte (End-of-Life).

  • Análisis Técnico: El malware afectó desproporcionadamente a estaciones de trabajo ejecutando Windows 7, sistema cuyo soporte extendido finalizó en enero de 2020. La falta de parches de seguridad para vulnerabilidades como EternalBlue (SMBv1) facilita la propagación de gusanos y ransomware dentro del perímetro.

  • Falla de Gestión: La presencia de 3.500 equipos con SO obsoleto en una red crítica demuestra una incapacidad para gestionar el Ciclo de Vida del Activo.

  • Mitigación ITAM: Un sistema de CMDB activo habría permitido aislar preventivamente (VLAN cuarentena) todos los activos con SO EOL, reduciendo la superficie de impacto.

3. Vector de Ataque: Riesgo de Tercera Parte (Supply Chain)

Caso de Estudio: IFX Networks / Mercado Público - 2023

El ataque de ransomware al proveedor de servicios gestionados (MSP) IFX Networks provocó la caída de la plataforma de Mercado Público, afectando la cadena de abastecimiento estatal, incluido el sector salud.

  • Análisis Técnico: Este incidente califica como un ataque de cadena de suministro. La dependencia de infraestructura como servicio (IaaS) centralizada crea un punto único de falla.

  • Falla de Gestión: Muchas instituciones carecían de un inventario de dependencias externas. No sabían qué servicios críticos operaban sobre la infraestructura afectada hasta que esta dejó de responder.

  • Gobernanza: La norma ISO 27001:2022 en su control A.5.19 y A.5.20 exige gestionar la seguridad en las relaciones con proveedores. Sin un mapeo claro en la CMDB de qué activo lógico (servicio) depende de qué proveedor físico, la respuesta a incidentes es reactiva e ineficiente.

Conclusión Técnica

La ciberseguridad eficaz requiere una transición desde la "seguridad perimetral" hacia la "seguridad basada en activos". Sin un inventario automatizado, actualizado y enriquecido con inteligencia de amenazas (CVEs), cualquier inversión en herramientas de detección (EDR/NDR) es insuficiente.

Recomendaciones:

  1. Implementar descubrimiento de activos continuo (no escaneos mensuales).

  2. Automatizar la correlación entre Inventario de Software y bases de datos de vulnerabilidades (NVD).

  3. Establecer políticas de decommissioning (baja) segura para activos EOL.

Para blindarse este año, la Gestión de Activos (ITAM) debe ser forense y en tiempo real. La Ley 21.459 no perdona la ignorancia. Si no puedes ver tus activos, no puedes protegerlos. Y si no puedes protegerlos, eres el próximo titular en las noticias.

Seguramente ya estás queriendo un diagnóstico de la situación de tu organización. Afortunadamente estoy ofreciendo éste diagnóstico de manera gratuita (sujeto a disponibilidad horaria). Agenda llamada rápida de diagnóstico aquí.

#ciberataque#ley-21459#itam#incident-management

More from this blog

G

Genieria

3 posts