Alertan por aumento de ciberataques que explotan vulnerabilidades de software en infraestructura crítica

En los últimos años, las infraestructuras críticas —como las redes eléctricas, los sistemas de abastecimiento de agua, los servicios de salud y los sistemas de transporte— han sido blanco de un creciente número de ciberataques. Los actores maliciosos han intensificado el uso de vulnerabilidades en software como principal vía de entrada para comprometer estos sistemas esenciales, cuya operación es vital para el funcionamiento de la sociedad actual.

Este tipo de infraestructuras se ha convertido en un objetivo prioritario para diversos tipos de cibercriminales, incluidos grupos patrocinados por Estados-nación, bandas de ransomware y hackers oportunistas. Los ataques buscan interrumpir servicios, así como generar consecuencias económicas y sociales de gran escala. Un caso emblemático fue el ataque con ransomware a Colonial Pipeline en 2021, que evidenció cómo la explotación de una sola vulnerabilidad puede desencadenar la paralización de sectores estratégicos, afectando incluso el suministro de combustible a nivel regional.

Los ciberatacantes continúan explotando fallos conocidos en sistemas operativos y aplicaciones, muchos de los cuales ya cuentan con actualizaciones de seguridad disponibles. No obstante, la demora en la implementación de estos parches por parte de muchas organizaciones sigue dejando expuestos sus entornos digitales. En México, por ejemplo, la unidad de investigación de SILIKN reportó que en 2024 se registró un incremento del 55.9% en los ataques dirigidos a vulnerabilidades no corregidas, en comparación con el año anterior.

Las vulnerabilidades de software, especialmente aquellas clasificadas como “críticas” en el sistema CVSS (Common Vulnerability Scoring System), se han convertido en el método preferido de los atacantes debido a su eficacia y bajo costo. Herramientas automatizadas permiten a los ciberdelincuentes escanear sistemas en busca de fallos conocidos, como los registrados en la base de datos CVE (Common Vulnerabilities and Exposures). Una vez identificada una vulnerabilidad, los atacantes pueden desplegar exploits en cuestión de horas -incluso, en algunos casos, minutos-, especialmente si las organizaciones no han implementado los parches correspondientes.

Entre los ejemplos recientes se encuentra la explotación de fallos en sistemas de control industrial (ICS), que son comunes en sectores como la energía y la manufactura. Estos sistemas, a menudo diseñados hace décadas, no fueron concebidos con la ciberseguridad en mente, lo que los hace particularmente susceptibles. La unidad de investigación de SILIKN menciona que, en 2024, el 71.1% de los incidentes reportados en infraestructuras críticas involucraron exploits dirigidos a sistemas ICS.

Dentro de este contexto, las vulnerabilidades más famosas explotadas por ciberatacantes contra la infraestructura crítica del gobierno mexicano, entre 2018 y 2025, destacan la explotación de fallos en software desactualizado, configuraciones inseguras y técnicas de ingeniería social, entre ellas se encuentran:

- CVE-2019-19781 (Citrix ADC y Gateway): Esta vulnerabilidad crítica en Citrix Application Delivery Controller (ADC) y Gateway permite la ejecución remota de código sin autenticación, exponiendo sistemas a ataques triviales. Fue ampliamente explotada a nivel global en 2020 y aunque no hay evidencia específica de su explotación masiva en infraestructura crítica mexicana, se sabe que los ciberatacantes la utilizaron contra organizaciones gubernamentales y privadas en varios países, y México, con su alta exposición a ciberataques (85 mil millones de intentos en 2022), no estuvo exento. La falta de aplicación oportuna de parches en sistemas gubernamentales facilitó su explotación.

- CVE-2019-11510 (Pulse Secure VPN): Una falla crítica en Pulse Secure VPN permite a los atacantes acceder a sistemas sin autenticación, comprometiendo credenciales y datos sensibles. Fue explotada activamente en 2020. Esta vulnerabilidad fue utilizada en ciberataques dirigidos a organizaciones con infraestructura crítica, incluidas entidades gubernamentales. La falta de actualizaciones en sistemas VPN en México permitió a los atacantes infiltrarse en redes sensibles.

- CVE-2018-13379 (Fortinet VPN): Una vulnerabilidad de recorrido de directorio en VPN de Fortinet, descubierta en 2018, permitía a los atacantes acceder a archivos sensibles. Fue explotada activamente hasta 2021. Se ha reportado su uso en ataques contra sistemas gubernamentales y empresariales en México, especialmente en sectores con infraestructura crítica como energía y finanzas, donde los sistemas sin parches eran comunes.

- ProxyShell (Microsoft Exchange Server): ProxyShell es un conjunto de vulnerabilidades (incluyendo CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) en Microsoft Exchange Server que permiten la ejecución remota de código. Fue explotada masivamente en 2021 y 2022. Un caso notable fue el hackeo a la Secretaría de la Defensa Nacional (Sedena) en 2022, donde se explotó un Microsoft Exchange desactualizado, resultando en la filtración de 6TB de datos sensibles. Este incidente expuso la vulnerabilidad de los sistemas gubernamentales mexicanos ante exploits conocidos.

- CVE-2025-21418 (Windows Server): Esta vulnerabilidad en el controlador de funciones auxiliares de Windows para WinSock permite a los atacantes escalar privilegios mediante un desbordamiento de búfer, otorgando control total sobre sistemas vulnerables. En 2025, se alertó que esta falla ponía en riesgo a más de 10,000 instituciones mexicanas, incluidas dependencias gubernamentales. Su explotación podría permitir a los atacantes instalar programas, modificar datos o crear cuentas administrativas, afectando la infraestructura crítica.

- CVE-2025-21376 (Windows Server LDAP): Una vulnerabilidad de día cero en el Protocolo Ligero de Acceso a Directorios (LDAP) de Windows Server permite la ejecución remota de código en servicios críticos como Active Directory. En 2025, se reportó como una amenaza significativa para dependencias gubernamentales mexicanas, ya que Active Directory es ampliamente utilizado en la infraestructura crítica. La falta de parches oportunos aumentó el riesgo de explotación.

- Malware Remcos y XWorm: Remcos (desde 2019) y XWorm (desde 2022) son programas maliciosos que permiten el control remoto, robo de datos y monitoreo de sistemas. En 2024, se explotaron vulnerabilidades como CVE-2017-11882 para distribuir estos malwares mediante scripts maliciosos. En 2024, se detectaron 856,000 archivos maliciosos diarios en México, con un aumento del 67.3% respecto a años anteriores. Estos malwares afectaron infraestructura crítica, incluyendo sistemas gubernamentales, debido a la falta de actualizaciones y configuraciones inseguras.

- Sistemas obsoletos: La infraestructura tecnológica del gobierno mexicano, como la de Pemex, a menudo utiliza sistemas desactualizados que carecen de soporte técnico, facilitando la explotación de vulnerabilidades conocidas.

- Falta de parches: La lentitud en la aplicación de actualizaciones de seguridad es un problema recurrente, como se vio en los casos de ProxyShell y Citrix.

- Escasez de especialistas: La Auditoría Superior de la Federación (ASF) señaló la carencia de personal capacitado en ciberseguridad, lo que limita la capacidad de respuesta ante ataques.

- Ausencia de regulación robusta: Hasta 2022, México no contaba con una legislación específica en ciberseguridad, y aunque se propuso una Ley Federal de Ciberseguridad tras el hackeo a Sedena, aún no se ha implementado completamente.

- Aumento de herramientas de ataque automatizadas: Los kits de explotación disponibles en la dark web han democratizado el acceso a técnicas avanzadas, permitiendo que incluso atacantes con habilidades limitadas puedan causar daños significativos.

- Interconexión de sistemas: La digitalización ha llevado a una mayor integración entre sistemas operativos y de tecnología de la información (IT/OT), lo que amplía la superficie de ataque.

Para contrarrestar esta creciente amenaza, la unidad de investigación de SILIKN recomienda una serie de medidas urgentes:

- Gestión proactiva de parches: Las organizaciones deben priorizar la aplicación de actualizaciones de seguridad, especialmente para vulnerabilidades críticas.

- Segmentación de redes: Separar los sistemas críticos de las redes más amplias reduce el riesgo de que un ataque se propague.

- Capacitación y concienciación: Los empleados deben estar informados sobre las tácticas de ingeniería social, que a menudo se combinan con exploits técnicos.

- Monitoreo continuo: La implementación de sistemas de detección de intrusos y análisis de amenazas en tiempo real puede identificar ataques en sus etapas iniciales.

La protección de la infraestructura crítica no es solo una responsabilidad gubernamental o de organizaciones individuales, sino un esfuerzo colectivo que requiere la colaboración entre gobiernos, empresas y la comunidad de ciberseguridad. A medida que las vulnerabilidades de software continúan siendo el arma preferida de los ciberdelincuentes, las organizaciones deben actuar con rapidez para fortalecer sus defensas. La alternativa —fallos catastróficos en los servicios esenciales— no es una opción viable en un mundo cada vez más interconectado.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.

X: https://x.com/victor_ruiz

Instagram: https://www.instagram.com/silikn

YouTube: https://www.youtube.com/@silikn7599