Alertan por ataque de fuerza bruta global que afecta a México: ¿qué es y cómo roban tus datos?

La empresa de ciberseguridad The Shadowserver Foundation alertó el viernes 7 de febrero por un ataque de fuerza bruta a gran escala que lleva activo hace casi un mes y con el que han llegado a utilizar 2.8 millones de direcciones IP de origen al día en múltiples países incluyendo a México.

“En las últimas semanas se ha observado un gran aumento de ataques de fuerza bruta contra dispositivos periféricos a través de nuestros honeypots, con hasta 2,8 millones de direcciones IP por día (especialmente Palo Alto Networks, Ivanti, SonicWall, etc.). Más de un millón de direcciones IP de Brasil”.

The Shadowserver Foundation

[TE RECOMENDAMOS: Aquí puedes revisar que tan segura es tu contraseña]

¡Alertan por ataque de fuerza bruta en México y otros países!

The Shadowserver Foundation y el portal BleepingComputer alertaron por este ataque de fuerza bruta que usa casi tres millones de direcciones IP para intentar adivinar las credenciales de una amplia gama de dispositivos de red, incluyendo los de:

• Palo Alto Networks, empresa de ciberseguridad
• Ivanti, empresa de software
• Sonic Wall, empresa de ciberseguridad

Fuente: The Shadowserver Foundation y el portal BleepingComputer

Dicha vulneración ha estado en curso desde enero de 2025 y las millones de direcciones IP de origen se emplean diariamente para realizar los ataques. Más de un millón de estos son de Brasil y ha sucedido en estos países:

• México
• Argentina
• Rusia
• Turquía
• Marruecos

Fuente: The Shadowserver Foundation y el portal BleepingComputer

¿Cómo funciona este ataque a nivel global?

Los ciberatacantes usan dispositivos de seguridad de borde como firewalls, VPN y puertas de enlace, entre otros, los cuales están expuestos a internet para facilitar el acceso remoto, según los especialistas de cibberseguridad.

Los dispositivos que llevan a cabo estos ataques son principalmente enrutadores y equipos de Internet de las siguientes marcas:

• MikroTik
• Huawei
• Cisco
• Boa
• ZTE

Fuente: The Shadowserver Foundation y el portal BleepingComputer

Dichos dispositivos suelen verse comprometidos por grandes botnets de malware y una fuente de Shadowserver dijo a BleepingComputer que la actividad ha estado en curso durante un tiempo, pero recientemente aumentó a una escala mayor.

La empresa de ciberseguridad también dijo que las direcciones IP atacantes están distribuidas en muchas redes y sistemas autónomos. Es probable que sean una botnet o alguna operación asociada con redes proxy desidenciales.

• Los proxies residenciales son direcciones IP asignadas a clientes de proveedores de servicios de Internet (ISP), lo que los hace muy buscados para su uso en delitos cibernéticos, scraping, evasión de restricciones geográficas, verificación de anuncios, scalping de entradas, y más.

Estos proxies enrutan el tráfico de Internet a través de redes residenciales, lo que hace que parezca que el usuario es un usuario doméstico normal en lugar de un bot o un hacker, según los analistas.

Los dispositivos de puerta de enlace como los que son el objetivo de esta actividad podrían usarse como nodos de salida de proxy en operaciones de proxy residencial, enrutando el tráfico malicioso a través de la red empresarial de una organización.

Estos nodos se consideran de “alta calidad” ya que las organizaciones tienen una buena reputación y los ataques son más difíciles de detectar y detener.

¿Qué es y cómo evitarun ataque de fuerza bruta?

Un ataque de fuerza bruta es cuando los actores de amenazas intentan iniciar sesión repetidamente en una cuenta o dispositivo utilizando muchos nombres de usuario y contraseñas hasta que encuentran la combinación correcta.

Una vez que tienen acceso a las credenciales correctas, los actores de amenazas pueden usarlas para secuestrar un dispositivo o acceder a una red.

Los pasos para proteger los dispositivos de borde de los ataques de fuerza bruta incluyen:

• Cambiar la contraseña de administrador predeterminada a una segura y única
• Aplicar la autenticación multifactor (MFA)
• Usar una lista de permitidos de IP confiables
• deshabilitar las interfaces de administración web si no son necesarias

Fuente: BleepingComputer

En última instancia, aplicar las últimas actualizaciones de firmware y seguridad en esos dispositivos es crucial para eliminar las vulnerabilidades que los actores de amenazas pueden aprovechar para obtener acceso inicial, según BleepingComputer.

Te recomendamos:

Video

Pasión de Cristo en Iztapalapa EN VIVO: sigue aquí el minuto a minuto de la tradición

Detienen a Hugo Buentello Carbonell, exdirectivo de Liconsa

Turistas saturan autopistas México-Cuernavaca y México-Querétaro

Continúa incorporación de beneficiarios a Vivienda para el Bienestar 2025; ¿cómo registrarme?