Desde el pasado 13 de abril de 2023 la Comisión Nacional del Agua (Conagua) ha mermado sus actividades ante el hackeo de los servidores de la dependencia. Tras este hackeo a Conagua, la Secretaría de Medio Ambiente y Recursos Naturales (SEMARNAT) sigue presentando vulnerabilidades que pueden ser explotadas por los cibercriminales. Especialmente el Sistema Nacional de Trámites (SINAT) de SEMARNAT, cuyo sitio aparece como «No seguro».
Pero al buscar de nuevo el sitio web del SINAT como sitio seguro (usando https en lugar de http), encontramos que aparece una página con los datos expuestos del servidor Apache Tomcat/8.5.35.
El SINAT tiene la finalidad de agilizar la gestión y seguimiento de cualquier tipo de trámite solicitado a través del portal de la Secretaría de Medio Ambiente y Recursos Naturales.
De no dar mantenimiento a este tipo de sistemas o no instalar los parches de seguridad emitidos por Apache, una de las vulnerabilidades críticas (y de mayor puntaje) en la versión de Apache Tomcat 8.5.35 — que se puede presentar y ser explotada por los cibercriminales — es la ejecución remota de código (RCE), es decir, tomar el control de la consola del sistema operativo de un servidor, con el fin de ejecutar comandos a distancia. De este modo, un cibercriminal podría instalar malware, ransomware o, en principio, hacer lo que desee dentro del servidor.
De acuerdo con la página CyberSecurity Help, las Vulnerabilidades en Apache Tomcat 8.5.35 que ya tienen parche de seguridad emitido por Apache, (y que deberían estar instalados en los servidores de SINAT), son:
- – Configuración de cookies no segura en Apache Tomcat
- – Denegación de servicio en el componente de carga de archivos de Apache Tomcat
- – Contrabando de solicitudes HTTP en Apache Tomcat
- – Divulgación de información en Apache Tomcat
- – XSS en Apache Tomcat
- – Múltiples vulnerabilidades en Management Cloud Engine
- – Escalada de privilegios en Apache Tomcat
- – Denegación de servicio en Apache Tomcat
- – Denegación de servicio remota en Apache Tomcat
- – Omisión de autenticación en Apache Tomcat JNDI Realm
Así es que es crítico que SEMARNAT pueda revisar este punto, instalar los parches de seguridad disponibles ya que los datos personales recabados en el sitio de SINAT pueden estar en riesgo.
En el Aviso de Privacidad del SINAT se menciona:
SEMARNAT, a través de la Subsecretaría de Gestión para la Protección Ambiental, de sus Direcciones Generales y de la Dirección de Contacto Ciudadano, es la responsable del uso, tratamiento y protección de los datos personales recabados en el sitio http://sinat.semarnat.gob.mx y se utilizarán con el fin de buscar, generar, validar y gestionar los trámites deseados ante la SEMARNAT.
Datos personales que se recaban: Para cumplir con la finalidad descrita en el presente Aviso de Privacidad, y de conformidad con las actividades a realizar, se utilizan diversos datos personales, entre los que se encuentran: nombre, CURP, RFC, domicilio, teléfono, correo electrónico, fecha de nacimiento, género, estado y algunos datos de la identificación oficial. Se informa que no se recabarán datos personales sensibles.
Por Víctor Ruiz, fundador de SILIKN e Instructor Certificado en Ciberseguridad.