Blog Blog

26 de Agosto de 2025

August 26, 2025
Nestor Martin Guerra Garcia (Dr.Plaga)
DarkWeb
26 de Agosto de 2025

26 de Agosto de 2025 - Casos Destacados del Día –

--- ANÁLISIS DEL INCIDENTE 1 ---

Título: Ataque de denegación de servicio del grupo hacktivista DieNet contra la Asociación de Gobernadores Republicanos (RGA)

Análisis del Incidente: El grupo de amenaza DieNet se atribuyó la responsabilidad de un ataque de denegación de servicio distribuido (DDoS) dirigido al sitio web de la Asociación de Gobernadores Republicanos (rga.org). El ataque provocó la caída del sitio web, lo cual fue verificado a través de múltiples informes de check-host.net.

Información Enriquecida (OSINT):

  • Perfil del Actor de Amenaza: DieNet es un grupo hacktivista que surgió en marzo de 2025. Sus motivaciones son políticas y sociales, declarándose anti-Trump y antisionistas. Sus ataques suelen ser represalias por acciones militares o decisiones políticas occidentales y se alinean con la narrativa de grupos militantes chiítas en Medio Oriente. El grupo es conocido por sus mensajes agresivos y utiliza botnets distribuidos globalmente para lanzar ataques DDoS cortos pero intensos, diseñados para maximizar la visibilidad.
  • Perfil de la Víctima: La Asociación de Gobernadores Republicanos (RGA) es una organización política estadounidense fundada en 1961 con el objetivo principal de elegir y apoyar a gobernadores del Partido Republican. Es una organización 527 con sede en Washington, D.C., y puede aceptar contribuciones ilimitadas de corporaciones. La RGA agrupa a los 27 gobernadores estatales y 2 territoriales del partido.
  • Detalles de la Vulnerabilidad: No aplica (N/A). El incidente fue un ataque DDoS, que no explota una vulnerabilidad específica de software, sino que satura la capacidad del servidor con tráfico malicioso.

Datos Clave del Incidente:

  • Actor de Amenaza: DieNet
  • Víctima: Republican Governors Association
  • País: EE. UU.
  • Sector: Organización Política
  • Categoría del Ataque: Ataque DDoS
  • Datos Cuantitativos: N/A

Conclusión del Incidente: La severidad de este incidente es moderada. Aunque un ataque DDoS puede causar una interrupción temporal de los servicios en línea y un daño a la reputación, no implica una exfiltración de datos. La motivación del ataque es claramente política, alineada con la ideología declarada del grupo DieNet contra figuras y organizaciones políticas de alto perfil en EE. UU.

--- ANÁLISIS DEL INCIDENTE 2 ---

Título: Venta de base de datos de la plataforma serbia de tarjetas de regalo GiftOnCard por el actor "ghidra"

Análisis del Incidente: Un actor de amenazas que se hace llamar "ghidra" ha puesto a la venta una base de datos presuntamente extraída de GiftOnCard, una plataforma serbia de tarjetas de regalo. La filtración contiene más de 7.6 millones de registros, incluyendo 137,768 perfiles de clientes, casi 5 millones de registros de transacciones y más de 2 millones de registros de tarjetas de regalo. Los datos comprometidos incluyen nombres completos, fechas de nacimiento, correos electrónicos, números de teléfono, direcciones y credenciales de cuentas.

Información Enriquecida (OSINT):

  • Perfil del Actor de Amenaza: El nombre "Ghidra" no se atribuye a un grupo de amenaza conocido. Es el nombre de una popular herramienta de ingeniería inversa de software de código abierto desarrollada por la Agencia de Seguridad Nacional (NSA) de EE. UU.. Es probable que el actor haya adoptado el nombre de esta herramienta, lo que podría sugerir un nivel de sofisticación técnica, o simplemente usarlo como un alias sin una conexión directa. La motivación parece ser financiera, dado que los datos están a la venta.
  • Perfil de la Víctima: GiftOnCard es una tarjeta de regalo multimarca que se puede utilizar para comprar bienes y servicios en más de 1000 establecimientos y centros comerciales en toda Serbia, incluyendo marcas populares como Gigatron y Tehnomanija. Es operada por la empresa Zmart Solution, con sede en Belgrado.
  • Detalles de la Vulnerabilidad: N/A. La publicación del actor no especifica la vulnerabilidad o el método utilizado para obtener acceso a la base de datos.

Datos Clave del Incidente:

  • Actor de Amenaza: ghidra
  • Víctima: GiftOnCard
  • País: Serbia
  • Sector: Comercio Electrónico
  • Categoría del Ataque: Fuga de Datos
  • Datos Cuantitativos: Más de 7.6 millones de registros.

Conclusión del Incidente: La severidad de este incidente es alta. La exfiltración y venta de una base de datos tan grande que contiene información de identificación personal (PII) y financiera expone a los clientes de GiftOnCard a un riesgo significativo de fraude, robo de identidad y ataques de phishing dirigidos. Para la empresa, las consecuencias pueden incluir sanciones regulatorias, pérdida de confianza del cliente y un impacto financiero considerable.

--- ANÁLISIS DEL INCIDENTE 3 ---

Título: El grupo hacktivista CyberToufan filtra datos de la empresa de transporte israelí Shiran Tours

Análisis del Incidente: El grupo de amenazas CyberToufan se atribuyó una filtración de datos de la empresa Shiran Tours (Netanya) Ltd, una compañía de transporte y logística de Israel. El grupo afirma haber expuesto datos de clientes, conductores e información financiera como represalia por la interrupción del transporte humanitario en Gaza.

Información Enriquecida (OSINT):

  • Perfil del Actor de Amenaza: CyberToufan es un grupo hacktivista con una motivación ideológica pro-palestina. Sus ataques se centran principalmente en entidades israelíes y de países que perciben como aliados de Israel. Sus tácticas comunes incluyen la exfiltración de datos seguida de su publicación ("hack-and-leak") para causar daño reputacional y la interrupción de servicios a través de ataques DDoS, alineándose con una agenda geopolítica y de guerra informativa.
  • Perfil de la Víctima: Shiran Tours (Netanya) Ltd. es una empresa con sede en Netanya, Israel, que ofrece servicios de transporte público, incluyendo taxis, autobuses y alquiler de limusinas. Ha estado operando por más de 35 años, lo que sugiere una base de clientes establecida y una presencia local significativa en la región de Sharon.
  • Detalles de la Vulnerabilidad: N/A. El método de intrusión no se detalla en la publicación.

Datos Clave del Incidente:

  • Actor de Amenaza: CyberToufan
  • Víctima: Shiran Tours (Netanya) Ltd
  • País: Israel
  • Sector: Transporte y Logística
  • Categoría del Ataque: Fuga de Datos
  • Datos Cuantitativos: N/A

Conclusión del Incidente: La severidad de este incidente es alta. La filtración de datos financieros y personales de clientes y conductores puede llevar a consecuencias graves como fraude y robo de identidad. Para Shiran Tours, el ataque representa un riesgo reputacional significativo. La motivación del ataque es claramente hacktivismo con fines políticos, destinado a ejercer presión y represalia en el contexto del conflicto geopolítico en la región.

--- ANÁLISIS DEL INCIDENTE 4 ---

Título: El grupo pro-ruso NoName057(16) ataca el Aeropuerto Václav Havel de Praga con DDoS

Análisis del Incidente: El grupo hacktivista pro-ruso NoName057(16) se atribuyó la responsabilidad de un ataque DDoS contra el sitio web del Aeropuerto Václav Havel de Praga (prg.aero). El ataque tuvo como objetivo interrumpir el servicio en línea de uno de los aeropuertos más importantes de la República Checa.

Información Enriquecida (OSINT):

  • Perfil del Actor de Amenaza: NoName057(16) es un conocido grupo hacktivista pro-ruso que opera principalmente a través de ataques DDoS. Su principal motivación es ideológica y de represalia; atacan a países y organizaciones que apoyan a Ucrania o critican la invasión rusa. A menudo, sus ataques coinciden con eventos políticos importantes, como cumbres de la OTAN o discursos de líderes ucranianos, para maximizar su impacto mediático. Aunque sus miembros pueden carecer de habilidades técnicas sofisticadas, utilizan herramientas automatizadas para llevar a cabo sus ataques y anuncian sus éxitos en su canal de Telegram.
  • Perfil de la Víctima: El Aeropuerto Václav Havel de Praga (PRG) es el aeropuerto más grande de la República Checa y sirve como un centro de conexión crucial para Czech Airlines. Maneja el 92% de todos los vuelos internacionales del país y está ubicado en las afueras de Praga. El aeropuerto consta de dos terminales principales: la Terminal 1 para vuelos fuera del espacio Schengen y la Terminal 2 para vuelos dentro de él.
  • Detalles de la Vulnerabilidad: N/A. Este fue un ataque DDoS, que busca sobrecargar la infraestructura de red en lugar de explotar una vulnerabilidad de software.

Datos Clave del Incidente:

  • Actor de Amenaza: NoName057(16)
  • Víctima: Vaclav Havel Airport Prague
  • País: República Checa
  • Sector: Aerolíneas y Aviación
  • Categoría del Ataque: Ataque DDoS
  • Datos Cuantitativos: N/A

Conclusión del Incidente: La severidad del incidente es alta. Atacar la infraestructura de un aeropuerto internacional, aunque sea solo su sitio web, se considera un ataque a infraestructura crítica. Aunque el impacto directo puede limitarse a la interrupción de servicios en línea (como consulta de vuelos o reservas), genera una percepción de vulnerabilidad y puede causar alarma pública. El ataque se alinea perfectamente con el modus operandi y las motivaciones geopolíticas del grupo NoName057(16).

--- ANÁLISIS DEL INCIDENTE 5 ---

Título: Brecha de datos en el Departamento de Obras Públicas y Carreteras de Filipinas (DPWH) atribuida a KANLAON

Análisis del Incidente: El actor de amenazas KANLAON se atribuyó la responsabilidad de una fuga de datos del Departamento de Obras Públicas y Carreteras (DPWH) de Filipinas. La información comprometida incluye supuestamente 231,761 líneas de información de varios documentos y archivos de API, que contienen contraseñas, correos electrónicos, direcciones y entradas de bases de datos. Los datos se están distribuyendo a través de múltiples plataformas públicas de intercambio de archivos.

Información Enriquecida (OSINT):

  • Perfil del Actor de Amenaza: KANLAON es un actor de amenazas activo en Filipinas. Aunque la búsqueda de "KANLAON threat actor" se asocia con la erupción de un volcán, en el contexto de ciberseguridad, se le vincula con el grupo DeathNote Hackers (DNH), que ha estado implicado en otros ciberataques contra entidades gubernamentales filipinas. Su motivación parece ser una mezcla de hacktivismo y la intención de exponer vulnerabilidades en las agencias gubernamentales.
  • Perfil de la Víctima: El Departamento de Obras Públicas y Carreteras (DPWH) es el brazo de ingeniería y construcción del gobierno filipino. Es responsable de la planificación, diseño, construcción y mantenimiento de la infraestructura pública del país, como carreteras nacionales, sistemas de control de inundaciones y otros proyectos de obras públicas.
  • Detalles de la Vulnerabilidad: N/A. La publicación del actor de amenazas no detalla la vulnerabilidad específica que fue explotada para obtener el acceso.

Datos Clave del Incidente:

  • Actor de Amenaza: KANLAON
  • Víctima: Department of Public Works and Highways (DPWH)
  • País: Filipinas
  • Sector: Relaciones Gubernamentales
  • Categoría del Ataque: Fuga de Datos
  • Datos Cuantitativos: 231,761 líneas de información.

Conclusión del Incidente: La severidad de este incidente es crítica. La exfiltración de datos de una agencia gubernamental tan importante como el DPWH, incluyendo credenciales y bases de datos, representa un grave riesgo para la seguridad nacional. Estos datos podrían ser utilizados para ataques posteriores más sofisticados contra otras agencias gubernamentales, espionaje o sabotaje de infraestructura crítica. La naturaleza de los datos expuestos, como información sobre carreteras y puentes, podría tener implicaciones de seguridad física.

Nestor Martin Guerra Garcia (Dr.Plaga)

Nestor Martin Guerra Garcia (Dr.Plaga)

Threat intelligence | Protección de Datos y Gestión de Riesgos | Old school
Volver al blog