El 22 de agosto de 2025, el Ayuntamiento de Cajeme, en Sonora, México, experimentó una interrupción temporal en sus servicios digitales debido a un ataque cibernético que comprometió su sistema informático institucional. Para el 25 de agosto, los servicios seguían inactivos tras tres días de suspensión, y los diagnósticos iniciales estimaban que la recuperación total podría extenderse hasta cinco días, dependiendo del progreso en las medidas de seguridad y restauración.
Cabe señalar que la unidad de investigación de SILIKN había emitido múltiples alertas sobre vulnerabilidades en esta entidad gubernamental, notificando simultáneamente a la Guardia Nacional. Entre las advertencias más destacadas se incluyen:
- El 24 de enero de 2024, se identificó una falla crítica en aplicaciones de Zoom para sistemas Windows, afectando al Organismo Operador Municipal de Agua Potable, Alcantarillado y Saneamiento de Cajeme.
- El 12 de noviembre de 2024, se reportó la circulación de versiones maliciosas de Remcos, un software de acceso remoto explotado como troyano, con Cajeme entre las dependencias de alto riesgo.
- El 18 de noviembre de 2024, una vulnerabilidad en el complemento Really Simple Security para WordPress permitía accesos administrativos no autorizados, impactando a entidades como el Ayuntamiento.
- El 29 de noviembre de 2024, campañas de phishing mediante el kit Rockstar 2FA atacaban credenciales de Microsoft 365, con Cajeme como objetivo vulnerable.
- El 4 de marzo de 2025, se documentó un phishing oculto en SharePoint que desplegaba el marco Havoc para control remoto, catalogando a Cajeme como altamente expuesto.
- El 19 de mayo de 2025, una falla en el complemento Eventin de WordPress permitía escaladas de privilegios no autenticadas, afectando nuevamente a esta institución.
Estas alertas subrayan un patrón de riesgos ignorados, que facilitaron la brecha reciente.
El incidente fue confirmado como un ataque de ransomware perpetrado por el grupo de ransomware Ghost, que extrajo datos sensibles de los sistemas municipales. Los ciberdelincuentes exigen 150 mil dólares para evitar la divulgación de la información robada, poniendo en jaque la privacidad de contribuyentes y usuarios de servicios públicos.
Ghost, activo desde 2021, ha comprometido organizaciones en más de 70 países al explotar vulnerabilidades en sistemas expuestos a internet, como servidores Fortinet, Adobe ColdFusion y Microsoft Exchange sin actualizaciones. Una vez dentro, emplean herramientas como Cobalt Strike para post-explotación, Mimikatz para escalar privilegios y CertUtil para descargar cargas maliciosas, logrando persistencia y propagación en la red.
El grupo aplica una estrategia de doble extorsión: encripta los sistemas para inhabilitarlos y amenaza con publicar o vender los datos robados —incluyendo bases de tesorería, registros fiscales y personales— si no se paga el rescate. En este caso, el sistema de Tesorería resultó gravemente afectado, aunque el Ayuntamiento ha declarado que no cederá al pago y cuenta con respaldos.
No obstante, las consecuencias son graves y multifacéticas. Existe un alto riesgo de exposición de datos personales, fiscales y administrativos, que podrían usarse en fraudes, robos de identidad o extorsiones. La suspensión de servicios digitales genera pérdidas económicas, limita la gestión pública y afecta directamente a la ciudadanía.
Estructuralmente, las dependencias como Cajeme comparten recursos tecnológicos debido a políticas de austeridad, lo que reduce inversiones en ciberseguridad y facilita la propagación de ataques. Es probable que la brecha inicial ocurriera en el Organismo Operador de Agua Potable, extendiéndose luego a toda la red.
Si se confirma la filtración, los expertos recomiendan a la población vigilar intentos de suplantación, extorsiones telefónicas o fraudes electrónicos.
¿Por qué ha sido difícil contener los ataques de Ghost?
Ghost evade herramientas de seguridad convencionales como firewalls, EDR, IDS y SIEM, que dependen de firmas conocidas o detección basada en reglas. Sus tácticas incluyen:
- Explotación de vulnerabilidades públicas: Ataca directamente fallas no parcheadas en software legítimo, sin recurrir a phishing.
- Velocidad de ejecución: Completa el ataque en horas o días, cifrando datos antes de que los sistemas detecten anomalías.
- Uso de herramientas nativas: Abusa de componentes de Windows como PowerShell, Command Shell y WMI, camuflando acciones maliciosas como operaciones legítimas.
- Desactivación de protecciones: Neutraliza antivirus y defensas como Windows Defender antes de desplegar el ransomware.
- Ausencia de persistencia prolongada: Opera sin dejar huellas duraderas, evadiendo detección de amenazas sostenidas.
Las alertas emitidas por la unidad de investigación de SILIKN -- las cuales han sido compartidas con la Guardia Nacional --, tienen como propósito avisar y proteger a la ciudadanía, cuya información recae bajo la responsabilidad del gobierno. En estos casos, reforzar la ciberseguridad garantiza la continuidad de los servicios públicos y cumple con el deber de salvaguardar datos sensibles en beneficio de la sociedad.
Este incidente evidencia la necesidad urgente de invertir en modernización tecnológica y actualizar los sistemas para reducir los riesgos detectados. Mientras tanto, el Ayuntamiento debe proceder con la presentación de denuncias formales, adoptar de inmediato medidas de seguridad y mantener una comunicación transparente con las personas afectadas.
* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.
Instagram:https://www.instagram.com/silikn
