La Oficina del Contralor de la Moneda (OCC) de Estados Unidos ha revelado un grave incidente de ciberseguridad que permitió a actores maliciosos acceder a información financiera confidencial durante casi dos años. Los atacantes comprometieron una cuenta administrativa con privilegios elevados, logrando acceder a aproximadamente 150,000 correos electrónicos que contenían datos sensibles de supervisión financiera.
Anatomía de la Intrusión: Cronología y Alcance
La infiltración, que permaneció sin detectar desde mayo de 2023 hasta principios de 2025, se ejecutó mediante la explotación de una cuenta administrativa de correo electrónico con acceso privilegiado. Los atacantes mantuvieron un acceso persistente a los sistemas internos de la organización, comprometiendo información crítica sobre instituciones financieras reguladas federalmente.
Impacto y Datos Comprometidos
La brecha expuso múltiples categorías de información sensible, incluyendo:
– Datos no públicos de supervisión financiera
– Información controlada no clasificada (CUI)
– Datos personales identificables (PII)
– Documentos internos de evaluación financiera
Detección y Respuesta al Incidente
La detección del compromiso se produjo el 11 de febrero de 2025, tras una alerta de Microsoft sobre actividades sospechosas. La respuesta inmediata incluyó la desactivación de la cuenta comprometida y la contratación de especialistas forenses externos para evaluar el alcance de la intrusión. Esta respuesta rápida ejemplifica la importancia de contar con protocolos de respuesta a incidentes bien definidos.
Análisis del Contexto y Tendencias de Amenazas
Este incidente se suma a una serie de ataques dirigidos contra instituciones financieras gubernamentales, incluyendo la reciente compromiso de la plataforma SaaS del Departamento del Tesoro en diciembre de 2024. El patrón sugiere una campaña coordinada posiblemente vinculada a actores estatales, destacando la necesidad crítica de fortalecer las defensas cibernéticas en el sector público.
Este incidente subraya la urgencia de implementar medidas de seguridad más robustas en infraestructuras críticas gubernamentales. Las organizaciones deben priorizar la implementación de sistemas de detección temprana, autenticación multifactor reforzada y monitorización continua de actividades privilegiadas. La duración prolongada de este acceso no autorizado evidencia la necesidad de realizar auditorías de seguridad más frecuentes y exhaustivas en entidades reguladoras financieras.
