Una sola vulnerabilidad permitió a hackers infiltrarse en todos los ministerios de Corea del Sur
¿Por qué ocultaron durante dos meses la información sobre el incidente?
El gobierno surcoreano confirmó oficialmente el hecho de un ciberataque a la infraestructura clave del país dos meses después del incidente. Según se informa, los atacantes obtuvieron acceso al sistema de gestión de documentos Onnara, utilizado por los funcionarios públicos, así como a los certificados digitales GPKI, empleados para autenticar a los usuarios en procedimientos administrativos. A pesar del prolongado silencio, las autoridades admitieron que se trata de una violación grave en la cadena de seguridad y abrieron una investigación para determinar la fuente de la filtración y evaluar la magnitud del posible daño.
Según un comunicado del Ministerio del Interior y Seguridad, los rastros de acceso no autorizado fueron detectados por primera vez a mediados de julio por empleados del Servicio Nacional de Inteligencia. La intrusión se realizó a través de la red VPN gubernamental, G-VPN, lo que permitió a los atacantes penetrar en la infraestructura interna. Aunque anteriormente los funcionarios no confirmaron la información publicada en julio por la revista estadounidense Phrack, ahora las autoridades reconocen oficialmente que el ataque afectó a varios ministerios y a empresas tecnológicas, incluyendo KT, LG U+, Daum, Kakao y Naver.
Un portavoz del ministerio informó que hasta el momento no se ha registrado la filtración de documentos oficiales; no obstante, esa posibilidad no está descartada y será verificada durante el análisis en curso. Para eliminar las consecuencias y prevenir nuevos incidentes, el gobierno ha endurecido una serie de procedimientos. Desde el 4 de agosto, el acceso a G-VPN requiere no solo una firma digital, sino también confirmación por teléfono. Además, el 28 de julio se implementó un sistema que bloquea la reutilización de credenciales en el sistema Onnara para todos los organismos, tanto a nivel central como local.
En cuanto a los certificados digitales GPKI, según el ministerio, la mayoría de ellos ya habían perdido vigencia en el momento del incidente. Los que seguían activos fueron anulados el 13 de agosto. Las autoridades también señalaron la causa raíz del ataque: negligencia en el manejo de datos, que condujo a la filtración de información fuera de los organismos. Se ordenó a todas las instituciones dejar de compartir certificados y revisar sus procedimientos de almacenamiento.
Aunque anteriormente las sospechas recayeron sobre el grupo norcoreano Kimsuky, especializado en ciberespionaje contra estructuras diplomáticas y de defensa, no se han encontrado pruebas directas de su implicación. No obstante, las autoridades no descartan que detrás del ataque pueda estar un actor estatal.
Para reducir los riesgos en el futuro, el gobierno planea abandonar GPKI a favor de la autenticación biométrica multifactor, en particular identificaciones móviles para los funcionarios públicos. También se está debatiendo la implementación de tecnologías similares en servicios públicos a gran escala dirigidos a toda la población. Los representantes de los organismos prometieron responder con rapidez a cualquier hallazgo adicional de los órganos de inteligencia y adoptar medidas para evitar la repetición de situaciones similares.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla