El Banco Hipotecario del Uruguay (BHU) confirmó el 2 de octubre de 2025 que ha sufrido un “incidente informático” que obligó a la entidad a desactivar su red institucional y vías de comunicación digitales, incluyendo la página web, el correo institucional y los pagos en locales de cobranza. Esta decisión se tomó para proteger la información y la viabilidad del sistema.
Análisis de Riesgos y Escenario (BHU y Sector Financiero)
La interrupción del servicio digital es una fuerte señal de que el ataque pudo haber comprometido infraestructura crítica.
- Alcance y Naturaleza del Ataque: El hecho de que Múltiples servicios (web, pagos, correo) fueron dados de baja simultáneamente sugiere que los atacantes lograron acceder al backend central oa la infraestructura crítica compartida.
- Sospecha Principal: El escenario se alinea con un ataque de ransomware o una extorsión de datos. En estos casos, la interrupción del servicio suele combinarse con el robo de datos sensibles para presionar a la víctima.
- Riesgo de persistencia: Al restablecer la red, existe un riesgo significativo de que los atacantes hayan dejado puertas traseras, backdoors o herramientas de persistencia para un futuro acceso, o que ya hayan exfiltrado grandes volúmenes de datos financieros y personales de clientes.
- Consecuencias: Si la base de datos de clientes se ve afectada, las implicaciones legales y reputacionales para el BHU (y el sector financiero uruguayo) podrían ser considerables.
Recomendaciones
- Aislamiento y captura de evidencia forense
- Contención: Mantener desconectados los servicios afectados y segmentar agresivamente la infraestructura comprometida para evitar la propagación.
- Evidencia: Antes de cualquier limpieza o reinicio, capture evidencia forense crítica. Esto incluye volcar la memoria RAM, capturar registros de sistemas, tráfico de red reciente e imágenes completas de los discos de los servidores afectados.
- Búsqueda Rápida: Utilizar la evidencia capturada para identificar de inmediato el vector inicial de ataque, el malware (hashes), procesos inusuales y conexiones externas activas (IOC).
- Restauración Segura y Endurecimiento
- Respaldo Limpio: La restauración debe hacerse exclusivamente desde respaldos limpios y verificados que sepa que no han sido infectados o manipulados por los atacantes.
- Parcheo y Fortalecimiento: Aplique todos los parches pendientes en los sistemas críticos. Fortalecer inmediatamente el acceso mediante el reinicio de contraseñas, la implementación de Autenticación Multifactor (MFA) y la segmentación de red.
- Comunicación y Análisis Interno
- Transparencia: Mantener una comunicación clara y transparente con clientes y reguladores, explicando qué servicios están inactivos, por cuánto tiempo y si los datos pudieran estar comprometidos.
Indicadores de compromiso
- c4da41d0f40152c405ba399a9879d92b05ac1f61
- ba4685594714e3ffde4f52a82cc07c6f94324215
- a60c6a07d3ba6c2d9bf68def208566533398fe8f
- dd389b5f3bb7e946cc272bf01d412d661635f10b.
- 9a9f52554c1a9938725b7dabd0f27002b0f8e874
- e573f4c395b55664e5e49f401ce0bbf49ea6a540
- 71a528241603b93ad7165da3219e934b00043dd6
- 74bc31f649a73821a98bef6e868533b6214f22a4
- b23d0939b17b654f2218268a896928e884a28e60
- 093902737a7850c6c715c153cd13e34c86d60992
- 5d1f44a2b992b42253750ecaed908c61014b735a
- 8057d42ddb591dbc1a92e4dd23f931ab6892bcac
- eeafb2d4f6ed93ab417f190abdd9d3480e1b7b21
- 3922461290fa663ee2853b2b5855afab0d39d799
- 45.63.9.192:5050
- crypto24support@pm.me
- access.by
- solutions.data
- crypto24mart.com
