AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ciberataque a Radix expone información sensible de organismos federales suizos**

admin

### Introducción

El Gobierno de Suiza ha confirmado recientemente que datos confidenciales pertenecientes a diversos organismos federales han sido expuestos tras un ataque de ransomware dirigido contra Radix, un proveedor externo de servicios TI. Este incidente pone de manifiesto los riesgos crecientes asociados a la externalización de servicios críticos y la cadena de suministro digital, un vector cada vez más explotado por actores de amenazas avanzadas.

### Contexto del Incidente

Radix es un socio tecnológico estratégico para la administración pública suiza, proporcionando servicios de infraestructura, almacenamiento y procesamiento de información a múltiples departamentos gubernamentales. Según la notificación oficial, el ataque se detectó en la última semana, afectando a sistemas y datos gestionados en nombre de la Confederación Suiza, aunque aún no se ha hecho público el alcance exacto de la brecha.

El incidente se enmarca en una tendencia global al alza: los ataques de ransomware dirigidos contra proveedores de servicios gestionados (MSP) y terceros con acceso privilegiado a infraestructuras críticas. Estos ataques permiten a los ciberdelincuentes maximizar el impacto y multiplicar las víctimas a través de un único compromiso.

### Detalles Técnicos

Si bien las autoridades suizas no han confirmado públicamente el grupo de ransomware involucrado ni la familia de malware concreta, fuentes de inteligencia apuntan a variantes como LockBit 3.0 o BlackCat/ALPHV, ambas conocidas por sus campañas contra instituciones públicas y su capacidad para el robo y cifrado de grandes volúmenes de datos.

No se han divulgado aún detalles sobre la vulnerabilidad explotada (CVE), pero en incidentes previos similares se han utilizado:

– **Explotación de RDP expuesto** (MITRE ATT&CK T1133)
– **Abuso de credenciales comprometidas** (T1078)
– **Movimientos laterales mediante herramientas legítimas como PsExec** (T1569.002)
– **Cifrado y exfiltración de datos antes del despliegue de ransomware** (T1486 y T1041)

Según los primeros análisis, los atacantes habrían accedido a información sensible, incluyendo datos personales, informes internos, y posiblemente correspondencia confidencial entre departamentos federales.

Los Indicadores de Compromiso (IoC) asociados incluyen direcciones IP de C2 conocidas, hashes de ejecutables maliciosos, y artefactos relacionados con herramientas de post-explotación (Cobalt Strike, Metasploit).

### Impacto y Riesgos

La magnitud del incidente es significativa, dado que Radix gestiona información de varios organismos federales, incluyendo posiblemente el Ministerio del Interior, el Ministerio de Finanzas y otras agencias clave. Se estima que podrían haberse visto afectados cientos de gigabytes de información sensible.

El impacto potencial abarca:

– Violación de datos personales protegidos bajo la Ley Federal de Protección de Datos (LPD) y el Reglamento General de Protección de Datos europeo (GDPR).
– Riesgos de ingeniería social, fraude y extorsión derivados de la publicación de información robada en sitios de filtración (data leak sites).
– Interrupción de servicios críticos y afectación de la confianza institucional.

Según estadísticas recientes, el 63% de los ataques de ransomware en Europa durante 2023 afectaron a organizaciones mediante la cadena de suministro, generando pérdidas superiores a 1.400 millones de euros. El incidente también podría suponer sanciones regulatorias y la obligación de notificar formalmente a los afectados bajo NIS2, vigente en la Unión Europea.

### Medidas de Mitigación y Recomendaciones

Las autoridades suizas, en colaboración con Radix, han iniciado procedimientos de contención, análisis forense y restauración de sistemas afectados. Se recomienda a las entidades públicas y privadas que:

– Realicen una revisión exhaustiva de los accesos concedidos a terceros y apliquen el principio de mínimo privilegio.
– Refuercen la monitorización de logs y eventos sospechosos en torno a las conexiones con proveedores externos.
– Implementen segmentación de red y autenticación multifactor (MFA) en todos los accesos remotos.
– Mantengan actualizado el inventario de activos y apliquen parches de seguridad en tiempo y forma.
– Revisen y actualicen los acuerdos contractuales con proveedores, incluyendo cláusulas específicas de ciberseguridad y respuesta a incidentes.

### Opinión de Expertos

Especialistas en ciberseguridad como Thomas Fischer, investigador de amenazas en Digital Shadows, advierten: “Los ataques a la cadena de suministro son especialmente complejos de detectar y mitigar, ya que el adversario aprovecha la confianza depositada en terceros. Es fundamental que las organizaciones adopten un enfoque Zero Trust y auditen regularmente la seguridad de sus partners”.

Por su parte, el Centro Nacional de Ciberseguridad Suizo ha recordado la importancia de realizar simulacros de crisis y actualizar los planes de continuidad ante ciberincidentes.

### Implicaciones para Empresas y Usuarios

Este incidente subraya la necesidad urgente de revisar las estrategias de gestión de proveedores, no solo en el sector público, sino también en empresas privadas que manejan información crítica o regulada. La externalización sin los controles adecuados puede derivar en filtraciones masivas, sanciones regulatorias y daños reputacionales de difícil recuperación.

Los usuarios cuyos datos puedan haberse visto comprometidos deben estar atentos a intentos de phishing, fraudes personalizados y otros vectores de ataque derivados de la exposición de información sensible.

### Conclusiones

El ataque de ransomware a Radix y la posterior exposición de datos federales suizos evidencia la sofisticación y persistencia de las amenazas actuales contra la cadena de suministro digital. La colaboración entre organismos, la transparencia en la comunicación de incidentes y la adopción de medidas técnicas y organizativas sólidas son claves para reducir la superficie de ataque y mitigar daños. Este incidente debe servir como llamada de atención para fortalecer la ciberresiliencia en todos los niveles.

(Fuente: www.bleepingcomputer.com)