AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

## Ciberdelincuentes Suplantan a Funcionarios de EE.UU. para Atacar el Sector Urbanístico con Phishing

admin

### Introducción

El FBI ha emitido una alerta reciente advirtiendo sobre una oleada de ataques de phishing dirigidos específicamente a empresas y particulares que solicitan permisos de planificación y zonificación urbana en Estados Unidos. Mediante la suplantación de funcionarios públicos, los atacantes buscan explotar la confianza inherente a los procesos administrativos para comprometer credenciales, desplegar malware y obtener acceso a información sensible. Este incidente pone en el punto de mira la vulnerabilidad de los sistemas de administración local y la necesidad de reforzar los procedimientos de verificación en sectores tradicionalmente menos ciberprotegidos.

### Contexto del Incidente

Durante los últimos meses, se ha detectado un incremento significativo de campañas de phishing en las que los actores de amenazas se hacen pasar por empleados de organismos gubernamentales de planificación urbana, tanto a nivel municipal como estatal. Las víctimas principales son empresas constructoras, estudios de arquitectura, promotores inmobiliarios y ciudadanos que han iniciado trámites de permisos para obras, reformas o cambios de uso de suelo. El FBI ha identificado que estos ataques se producen en paralelo al auge de la digitalización en los procedimientos administrativos, lo que ha generado una superficie de ataque más amplia y menos vigilada.

### Detalles Técnicos

#### Identificadores y Vectores de Ataque

– **CVE asociado**: Hasta el momento, no se ha vinculado la campaña a una vulnerabilidad específica (sin CVE asignado), ya que el vector principal es la ingeniería social.
– **Tácticas, Técnicas y Procedimientos (TTP – MITRE ATT&CK):**
– **T1566.001** – Spearphishing por correo electrónico.
– **T1589** – Obtención de información sobre víctimas (recopilación de datos a través de portales públicos de permisos).
– **T1078** – Uso de credenciales obtenidas ilícitamente.
– **T1204** – Ejecución de archivos adjuntos o enlaces maliciosos.
– **Indicadores de Compromiso (IoC):**
– Correos electrónicos con remitentes falsificados usando dominios similares a los de entidades oficiales (.gov, .us) o comprometidos.
– Enlaces que dirigen a clones de portales de ayuntamientos o departamentos de urbanismo.
– Archivos adjuntos (PDF, DOCX) con macros maliciosas que, al ejecutarse, despliegan malware como Emotet o QakBot.
– **Herramientas y Frameworks:** Se han reportado variantes de payloads generados con Metasploit y cargas cifradas para Cobalt Strike Beacon, permitiendo movimientos laterales y exfiltración de datos.

#### Ejemplo de Ataque

El atacante envía un correo a una empresa constructora haciéndose pasar por un funcionario del departamento de urbanismo, adjuntando supuesta documentación adicional requerida para la tramitación del permiso. Al abrir el adjunto, se ejecuta una macro que instala un backdoor, permitiendo el acceso remoto al sistema comprometido.

### Impacto y Riesgos

– **Compromiso de credenciales de acceso** a portales administrativos y sistemas internos de las empresas.
– **Filtración de información confidencial** (planos, licencias, datos personales de empleados y clientes).
– **Despliegue de ransomware**: Se han documentado casos en los que los atacantes, tras el acceso inicial, han desplegado ransomware, paralizando proyectos y procesos administrativos críticos.
– **Impacto económico**: El FBI estima que las pérdidas asociadas a este tipo de incidentes en el sector superan los 10 millones de dólares en 2023, solo en costes directos (rescate, recuperación, auditoría y sanciones).
– **Cumplimiento normativo**: La exposición de datos personales puede conllevar sanciones por violación del GDPR (en el caso de empresas europeas con actividad en EE.UU.) y la NIS2, obligando a notificar la brecha en menos de 72 horas.

### Medidas de Mitigación y Recomendaciones

– **Verificación de identidad**: Confirmar siempre la autenticidad de cualquier comunicación recibida de supuestos funcionarios, preferiblemente mediante una llamada a los teléfonos oficiales publicados en los portales municipales.
– **Formación continua**: Implementar programas de concienciación para empleados sobre phishing avanzado y suplantación de identidad.
– **Despliegue de soluciones EDR y sandboxing** para la apertura de documentos adjuntos sospechosos.
– **Autenticación multifactor (MFA)** en todos los portales de administración y tramitación de permisos.
– **Monitorización proactiva** de logs y endpoints en busca de IoCs asociados a Cobalt Strike y Metasploit.
– **Actualización y parcheo** de sistemas y aplicaciones de gestión, así como segmentación de redes internas.

### Opinión de Expertos

Profesionales del sector, como David Pérez, analista principal de la consultora S21sec, señalan que “el vector de ataque basado en la confianza institucional es especialmente eficaz en departamentos administrativos, donde los controles técnicos suelen estar menos desarrollados que en el núcleo TI de la organización”. Además, alerta sobre la tendencia al alza de campañas dirigidas a sectores tradicionalmente descuidados desde el punto de vista ciber: “La digitalización rápida del sector público, sin la correspondiente inversión en ciberseguridad, está generando una tormenta perfecta para los actores de amenazas”.

### Implicaciones para Empresas y Usuarios

Las organizaciones que operan en el sector de la construcción, arquitectura e ingeniería deben revisar y fortalecer urgentemente sus políticas de seguridad para los procesos administrativos y de tramitación de permisos. La reputación, continuidad de negocio y cumplimiento legal pueden verse gravemente afectados. Para los usuarios particulares, el riesgo reside en el robo de datos personales y su posible utilización en fraudes adicionales, subrayando la necesidad de precaución al interactuar digitalmente con organismos públicos.

### Conclusiones

El incremento de ataques de phishing dirigidos al sector urbanístico y de permisos administrativos supone una nueva amenaza para la ciberseguridad empresarial y personal. La sofisticación de las técnicas de suplantación y el uso de herramientas avanzadas como Cobalt Strike elevan el riesgo de compromiso, destacando la urgencia de implementar controles técnicos, formación y procedimientos robustos de verificación. La colaboración entre sector público, privado y organismos de seguridad será clave para frenar esta tendencia y proteger la integridad de los procesos administrativos.

(Fuente: www.bleepingcomputer.com)