El grupo de ciberataques Lazarus, conocido por sus operaciones de ciberespionaje y actividades financieras ilícitas, ha intensificado su ofensiva global, centrando ahora parte de sus esfuerzos en organizaciones clave en México. Con vínculos atribuidos al régimen de Corea del Norte, este colectivo ha perfeccionado el uso de técnicas avanzadas para infiltrarse en redes corporativas, robar información sensible y, en muchos casos, financiar actividades estatales encubiertas.
Su modus operandi refleja un nivel de sofisticación que supera a la mayoría de los grupos criminales convencionales. Entre sus métodos más empleados destacan el phishing dirigido, mediante correos personalizados con archivos maliciosos; la explotación de vulnerabilidades en software desactualizado; y el uso de malware personalizado, como troyanos de acceso remoto o destructores de datos. Además, han llegado incluso a comprometer cadenas de suministro, utilizando actualizaciones de software aparentemente legítimas para distribuir código malicioso.
Ataques más relevantes de Lazarus en México: Robo, espionaje y caos
Lazarus no discrimina a la hora de elegir a sus víctimas. Han atacado desde bancos y empresas de tecnología hasta instituciones del gobierno. Y aunque sus métodos varían, sus motivaciones suelen girar en torno a tres grandes objetivos:
-
Robar dinero: Han estado detrás de golpes a bancos y plataformas de criptomonedas, usando ese dinero para financiar actividades que no son precisamente legales.
-
Espiar: Buscan datos estratégicos (militares, políticos o tecnológicos) que podrían ser útiles para sus intereses, muy probablemente vinculados al gobierno norcoreano.
-
Generar caos: Algunos de sus ataques parecen tener como fin desestabilizar o dañar infraestructuras críticas, dejando claro que no solo buscan ganancias, sino también impacto.
En pocas palabras, no es un grupo cualquiera. Mezclan robo financiero, espionaje y sabotaje, y lo hacen con una sofisticación que los convierte en una amenaza seria, especialmente para países como México, que ya ha sentido su presencia.
Uno de los casos más sonados ocurrió en 2018, cuando intentaron robar casi 100 millones de dólares del sistema financiero mexicano. Aunque no lo lograron del todo, la amenaza fue real. Investigadores de la entonces Procuraduría General de la República (hoy FGR) identificaron técnicas clásicas de Lazarus como spear-phishing y explotación de fallos en sistemas conectados a la red SWIFT. Es el mismo enfoque que usaron en el robo de 81 millones al Banco Central de Bangladesh en 2016, así que claramente saben lo que hacen.
Pero no se detuvieron ahí. En 2022, volvieron al ataque, esta vez aprovechando vulnerabilidades en servidores de correo Zimbra (específicamente CVE-2022–27925 y CVE-2022–37042) para infiltrarse en dependencias gubernamentales mexicanas. De acuerdo con reportes, extrajeron unos 120 GB de correos electrónicos, enfocándose en áreas sensibles como seguridad nacional e infraestructura crítica.
Este incidente ocurrió justo después de la enorme filtración de 6 terabytes de información de la Secretaría de la Defensa Nacional (Sedena) por parte del colectivo Guacamaya, que, por cierto, usó las mismas fallas. Todo esto deja en evidencia que Lazarus sigue al acecho, buscando fallos sin parches y sistemas ampliamente usados por gobiernos.
Conoce más sobre: 10 Mayores Ciberataques de 2023
Sectores en riesgo y cómo puede protegerse México del grupo Lazarus
Entre 2015 y 2016, Lazarus puso la mira en bancos mexicanos como parte de una campaña financiera a gran escala. Aunque no se sabe con certeza qué tanto lograron robar o a quiénes afectaron directamente, estos ataques fueron parte de una estrategia bien armada: usar malware hecho a medida, generar distracciones para cubrir sus movimientos y ejecutar transferencias fraudulentas que les permitieran salir con las manos llenas.
Lo preocupante es que el grupo no solo es persistente, sino increíblemente adaptable. Basta recordar cómo en 2017 estuvieron detrás del ransomware WannaCry, o que este mismo año lograron robar 1.5 mil millones de dólares de la plataforma de criptomonedas Bybit. Cada ataque muestra lo mismo: están muy interesados en blancos financieros y no tienen problema en jugar sucio para financiar sus operaciones.
En México, hay varios sectores que están especialmente en riesgo. Por un lado, están las dependencias gubernamentales (como Sedena, Gobernación o Hacienda) que manejan información sensible y muchas veces trabajan con sistemas viejos o vulnerables, como Zimbra. Para Lazarus, esos son objetivos jugosos para espiar o extraer información estratégica.
En el mundo financiero, nombres como Banxico, Banorte, BBVA México, e incluso plataformas de criptomonedas como Bitso, están bajo el radar. ¿Por qué? Porque estos ataques no son solo por codicia, sino parte de un esfuerzo más grande por financiar al régimen norcoreano. Y si hablamos de infraestructura crítica, empresas como Pemex o la CFE también podrían estar en la lista, ya sea para interrumpir servicios o extorsionar con amenazas de sabotaje.
Tampoco se salvan los centros de investigación y desarrollo, como el IPN, ni las startups tecnológicas que están trabajando en soluciones innovadoras. La propiedad intelectual también es un objetivo: no se trata solo de dinero, sino de poder y ventaja estratégica.
¿El problema más común que facilita todos estos ataques? La falta de actualizaciones. Muchas organizaciones siguen usando software desactualizado, con fallas conocidas que no han sido parchadas, especialmente en herramientas como Zimbra. Y eso, para un grupo como Lazarus, es una invitación abierta.
Además, su nivel de sofisticación es impresionante: desde correos de phishing perfectamente disfrazados, hasta malware destructivo y ataques a la cadena de suministro, saben exactamente cómo entrar y causar daño. Por eso, las organizaciones mexicanas necesitan actuar ya. Algunas medidas clave:
-
Actualizar todos los sistemas lo antes posible, sobre todo Zimbra o Zoho ManageEngine (como la vulnerabilidad CVE-2022–47966).
-
Entrenar al personal para que puedan identificar correos sospechosos o intentos de suplantación.
-
Usar autenticación multifactor (MFA) en todos los accesos sensibles.
-
Segmentar las redes, para que si alguien logra entrar, no pueda moverse con libertad.
-
Hacer copias de seguridad offline, por si el ransomware hace de las suyas.
-
Monitorear activamente con herramientas de inteligencia de amenazas.
Y más allá de todo esto, la colaboración es clave. El gobierno, las empresas privadas y los expertos en ciberseguridad deben trabajar juntos para compartir información y reforzar las defensas. Lazarus no es una amenaza cualquiera: es un grupo bien organizado, con motivaciones políticas, que ha puesto a prueba la seguridad financiera, la estabilidad institucional y la infraestructura crítica de México.
Lo que pasó en 2018 y 2022 no debe tomarse a la ligera. Son señales claras de que hay que tomarse la ciberseguridad en serio. Proteger nuestros sistemas, actualizar la tecnología y fomentar alianzas son pasos fundamentales si queremos estar preparados para lo que viene. Porque una cosa es segura: Lazarus no se va a detener.
