Cyber Incident Victim: Auditoría General del Poder Ejecutivo
Date:
Jun 2025
Location:
Paraguay
Summary
The Ministry of Information and Communication Technology activated its incident response protocol after detecting unauthorized access to public portals, including the Auditoría General del Poder Ejecutivo, the Ministry of Public Works and Communications, the National Directorate of Health Surveillance, and the Ministry of Environment and Sustainable Development. Investigations revealed that the breaches resulted from stolen user credentials harvested by infostealer malware, and the incidents have since been fully and successfully contained.
| CIA Posture | Motives | Tactics, Techniques & Procedures |
|---|---|---|
| Available to members | 1 motive | 1 technique |
| Threat Actors | Type | Location |
|---|---|---|
| 0 actors | Available to members | Available to members |
Description
El Ministerio de Tecnologías de la Información y Comunicación (MITIC) informó el 1 de junio de 2025 que se habían detectado accesos no autorizados a los portales web de varias instituciones estatales, entre ellas el Ministerio de Obras Públicas y Comunicaciones (MOPC), la Dirección Nacional de Vigilancia Sanitaria (DINAVISA), la Auditoría General del Poder Ejecutivo (AGPE) y el Ministerio del Ambiente y Desarrollo Sostenible (MADES). Según el reporte, las vulneraciones fueron identificadas por el Centro de Respuestas a Incidentes Cibernéticos de Paraguay (CERT‑PY) y se trataba de accesos obtenidos mediante el uso de credenciales de usuario que habían sido filtradas previamente. Las investigaciones indicaron que esas credenciales fueron robadas por un tipo de malware conocido como “infostealers”, cuyo propósito es extraer y exfiltrar datos valiosos de los sistemas infectados. El incidente afectó la disponibilidad y la integridad de las páginas digitales de las cuatro entidades mencionadas, aunque no se detalló en el reporte el alcance exacto de la información comprometida.
Ante la detección, el MITIC activó de inmediato su protocolo de respuesta a incidentes de seguridad y comenzó a trabajar en estrecha colaboración con los Responsables de Seguridad de la Información de cada una de las instituciones afectadas. El CERT‑PY asumió la coordinación técnica de la contención, aplicando medidas para aislar los sistemas comprometidos y evitar la propagación del acceso no autorizado. Durante la respuesta, se confirmó que las vulneraciones ya estaban contenidas y que no se observaban nuevos intentos de ingreso utilizando las mismas credenciales filtradas. El MITIC también señaló que se mantuvo una comunicación constante con los equipos de seguridad de las instituciones para compartir hallazgos y actualizaciones sobre el estado de la contención.
Como parte de la respuesta, el MITIC reiteró la importancia de reforzar las medidas de protección, incluyendo el uso de contraseñas robustas y únicas, la implementación de la autenticación de dos factores y la actualización regular de los sistemas operativos. Para reportar cualquier incidente relacionado con ciberseguridad, se puso a disposición el correo electrónico [email protected]. Además, el CERT‑PY indicó que pone a disposición del público estadísticas detalladas sobre los reportes atendidos, accesibles a través de su sitio web www.cert.gov.py/estadisticas/. El reporte concluyó indicando que, tras la contención, los portales afectados volvieron a operar bajo supervisión continua de los equipos de seguridad.