Los atacantes desconocidos que violaron la Oficina del Contralor de la Moneda (OCC) en junio de 2023 lograron acceder a más de 150,000 correos electrónicos, según fuentes anónimas familiarizadas con el asunto.
Detalles de la brecha de seguridad en la OCC
La OCC, una agencia independiente del Departamento del Tesoro de los EE. UU., se encarga de supervisar los bancos y asociaciones de ahorro federales, garantizando el cumplimiento de las leyes y regulaciones, el trato justo a los clientes y el acceso equitativo a los servicios financieros.
De acuerdo con el informe inicial de Bloomberg, los atacantes obtuvieron la capacidad de monitorear los correos electrónicos de los empleados después de acceder a la cuenta de un administrador del sistema de correo electrónico, según lo revelado por la OCC en febrero de 2025.
En ese momento, la OCC informó sobre el ataque a la Agencia de Ciberseguridad e Infraestructura de Seguridad de los EE. UU. (CISA) como un “incidente de ciberseguridad” relacionado con su sistema de correo electrónico y varias cuentas, asegurando que no hubo impacto en el sector financiero.
Impacto del incidente de seguridad en los correos electrónicos
La OCC inicialmente indicó que la brecha solo afectaba a un número limitado de cuentas, pero según personas cercanas a la investigación, los atacantes tuvieron acceso a más cuentas de correo electrónico de lo que se pensaba, incluyendo alrededor de 100 correos electrónicos de reguladores bancarios.
El 8 de abril de 2025, la OCC notificó al Congreso de EE. UU. sobre un “incidente de seguridad de la información importante”, descubierto el 11 de febrero de 2025.
La agencia bancaria explicó que la cuenta administrativa comprometida fue desactivada el 12 de febrero.
Además, la OCC mencionó que el acceso no autorizado a los correos electrónicos de varios de sus ejecutivos y empleados incluía información altamente sensible relacionada con la situación financiera de las instituciones financieras reguladas, información utilizada en los procesos de examen y supervisión.
Brechas de seguridad adicionales en el Departamento del Tesoro
A principios de enero, el Departamento del Tesoro también reveló que su red fue violada mediante el uso de una clave API de Remote Support SaaS robada, lo que permitió comprometer una instancia de BeyondTrust utilizada por la agencia.
Este ataque ha sido vinculado a un grupo de hackers respaldado por el Estado chino, conocido como Silk Typhoon.
Los atacantes apuntaron específicamente a la Oficina de Control de Activos Extranjeros (OFAC), encargada de administrar los programas de sanciones comerciales y económicas, así como al Comité de Inversiones Extranjeras en los EE. UU. (CFIUS) que revisa las inversiones extranjeras por riesgos de seguridad nacional.
Los hackers de Silk Typhoon también comprometieron los sistemas de la Oficina de Investigación Financiera del Tesoro, aunque el impacto de este incidente aún está siendo evaluado.
Recomendaciones de seguridad
Este tipo de incidentes de ciberseguridad pone de manifiesto la necesidad urgente de mejorar las prácticas de seguridad informática en agencias gubernamentales y sectores financieros.
Es esencial para las entidades afectadas realizar auditorías de seguridad exhaustivas, fortalecer el acceso y las contraseñas de las cuentas administrativas y mejorar las defensas contra ataques dirigidos.