Resumen Ejecutivo A finales de enero de 2026, tres sistemas de información gubernamental en Uzbekistán fueron objeto de ataques cibernéticos durante un período de cuatro días (del 27 al 30 de enero), resultando en la exposición de aproximadamente 60.000 registros de datos únicos. Las afirmaciones iniciales que circulaban en las redes sociales y Reddit sugirieron que hasta 15 millones de registros de ciudadanos habían sido comprometidos a través de una violación del servidor central OAuth de la plataforma e-government (E-Gov). Sin embargo, después de una investigación oficial, el ministro de Tecnologías Digitales Sherzod Shermatov confirmó el 12 de febrero que el alcance real era significativamente menor. . [15] [1][3] 15] El Gobierno de Uzbekistán respondió prontamente, iniciando una investigación a través de su Centro de Ciberseguridad y estableciendo un grupo de trabajo operativo En los días siguientes a la divulgación inicial, la emisión de microcreditos en línea fue suspendida temporalmente como medida de precaución, y los bancos reforzaron sus posturas de seguridad. . [1][2] [9] Este incidente se produce en el contexto de la escalada de las amenazas cibernéticas – con más de 7 millones de amenazas cibernéticas prevenidas en 2024 y 107 millones en 2025 [15], y un aumento de 68 veces el delito cibernético en los últimos cinco años (de 863 delitos en 2019 a 58.800 en 2024) [16]. (También se muestra como que ha llevado a cabo operaciones dirigidas contra agencias gubernamentales e instituciones financieras en toda Asia Central, incluido Uzbekistán Aunque no se ha hecho ninguna atribución directa entre Bloody Wolf y esta violación específica, el enfoque sostenido del grupo en la región subraya el entorno de amenazas cada vez más sofisticado que enfrenta la infraestructura digital de Uzbekistán. Bloody Wolf Stan Ghouls [4][5] 1 Lo que sucedió Entre el 27 y el 30 de enero de 2026, los sistemas de información de tres agencias gubernamentales en Uzbekistán fueron objeto de ataques cibernéticos.[15] Entre el 1 y el 2 de febrero, los enlaces a varios recursos, incluyendo plataformas de darknet, se compartieron en redes sociales y Reddit afirmando que los datos de los sistemas de información gubernamentales de Uzbekistán habían sido publicados en línea. Los datos supuestamente provenían de los sistemas de información gubernamentales, con el servidor central de autenticación OAuth de la plataforma e-government (E-Gov) identificado como el potencial punto de compromiso. . [1] [1][3] El servidor OAuth sirve como una puerta de acceso única de confianza, permitiendo a los ciudadanos e instituciones autenticarse en una amplia gama de servicios gubernamentales y no gubernamentales. Escopo confirmado (actualizado el 12 de febrero) De acuerdo con la conferencia de prensa del ministro de Tecnologías Digitales Sherzod Shermatov el 12 de febrero de 2026 [15]: Aproximadamente 60.000 registros de datos únicos fueron expuestos (unidades de datos individuales, no 60.000 ciudadanos) La reclamación inicial de 15 millones de registros de ciudadanos fue rechazada como inexacta Los expertos en ciberseguridad de C7 confirmaron que la muestra del atacante contenía sólo 5,522 registros, junto con 24 fotografías de empleados del Ministerio del Interior, 15.874 registros de trabajadores médicos de la Agencia Nacional de Protección Social, y 446 registros de hipotecas de la Compañía de Refinanciamiento Hipotecario. Se han bloqueado más intentos de acceso no autorizado y se han reforzado las medidas técnicas de seguridad Se han implementado salvaguardas adicionales en el Sistema Unificado de Identificación (OneID) Sistemas identificados como potencialmente afectados Basado en informes de varios medios de noticias de Uzbekistán creíbles como Gazeta.uz, UzDaily.uz y Zamin.uz : [1][2][3] Agencia Nacional de Protección Social (IHMA.UZ) – registros médicos y datos de protección social Comité Estatal de Estadística (STAT.UZ) — datos demográficos y relacionados con el censo Sociedad de Refinanciación de Hipotecas (UZMRC.UZ) - Registros financieros y de vivienda Sistemas del Ministerio de Asuntos Internos — Datos de ciudadanos relacionados con la aplicación de la ley Portales universitarios e institucionales de educación — registros de estudiantes y profesores Portales bancarios y de organizaciones comerciales — Datos de autenticación financiera Tipos de datos potencialmente expuestos Data Category Details Personal Identifiers Full name, date of birth, internal user ID Contact Information Phone number, email address, residential address Identity Documents Passport number and related details Authentication Data Logins, passwords, user photographs Sensitive Records Workplace details, medical histories, government service records Identificadores personales Nombre completo, fecha de nacimiento, ID de usuario interno Información de contacto Número de teléfono, dirección de correo electrónico, dirección residencial Documentos de identidad Número de pasaporte y detalles relacionados Datos de Autenticación Logins, contraseñas, fotos de usuario Recordes sensibles Detalles del lugar de trabajo, historias médicas, registros de servicios del gobierno 2 Cómo ocurrió Mientras que la investigación oficial del Centro de Ciberseguridad de Uzbekistán todavía está en curso, los expertos en ciberseguridad han ofrecido evaluaciones preliminares de los posibles vectores de ataque. El servidor central OAuth como un único punto de entrada El servidor e-government OAuth funciona como la columna vertebral de la autenticación para docenas de servicios interconectados. OAuth 2.0 es un marco de autorización estándar de la industria ampliamente utilizado en todo el mundo. Sin embargo, como han señalado los investigadores de seguridad a nivel mundial, las implementaciones de OAuth son inherentemente propensas a la configuración incorrecta si no se auditan y endurecen continuamente. Hipótesis de ataque de la cadena de suministro Dmitry Paleyev, director de la empresa de ciberseguridad corporativa ONESEC, sugiere que esto puede no haber sido una única violación aislada, sino más bien un ataque a la cadena de suministro. En tales escenarios, comprometer un componente dentro de una infraestructura conectada puede conceder acceso lateral a otros sistemas en la misma red. Esta es una táctica bien documentada utilizada por actores de amenazas avanzadas en todo el mundo. [1] Factores que contribuyen en el contexto Uzbekistán ha sufrido una rápida transformación digital, con importantes inversiones en servicios de gobierno electrónico.El país tiene como objetivo digitalizar el 70% de los servicios públicos y expandir sus exportaciones de servicios de TI a 5 mil millones de dólares para 2030 como parte de la Estrategia Uzbekistán-2030. Más de 760 servicios públicos ya han sido digitalizados, con aproximadamente 10 millones de ciudadanos utilizando plataformas digitales anualmente. El incidente destaca un desafío universal: la necesidad de que la madurez de la ciberseguridad aumente en paralelo con la adopción digital. [17]. [18] Perspectiva del experto: "La amenaza real puede ser muy exagerada y puede no corresponder a la realidad. Como muestra la experiencia, estos datos a menudo son muy exagerados y compilados a partir de diversas fuentes, incluyendo datos antiguos y datos recopilados de diversos sistemas." — Dmitry Paleyev, Director, ONESEC [1] Perspectiva de expertos: "La amenaza real puede ser muy exagerada y puede no corresponder a la realidad.Como muestra la experiencia, estos datos a menudo son muy exagerados y compilados a partir de diversas fuentes, incluyendo datos antiguos y datos recopilados de diversos sistemas." - Dmitry Paleyev, Director, ONESEC [1] Perspectiva de expertos: 3 Respuesta del Gobierno El Gobierno de Uzbekistán demostró una respuesta proactiva y organizada.Múltiples agencias actuaron rápidamente para abordar las preocupaciones públicas, iniciar investigaciones y emitir directrices a los ciudadanos . [1][2] Timeline de respuesta Date Action Jan 27–30 Three government information systems targeted by cyberattacks [15] Feb 1–2 Links to darknet resources shared on Reddit and social media [1] Feb 3 Cybersecurity Center confirmed investigation launch; issued public guidance [1] Feb 3 National Social Protection Agency confirmed cyberattack on archival database; task force established [2] Feb 3 Statistics Committee confirmed census data stored encrypted on separate servers [1] Feb 3–4 Tax Committee and Interior Ministry denied breaches; systems functioning normally [1] Feb 5–6 Online microcredit issuance suspended; Central Bank reinforced oversight [9] Feb 12 Minister Shermatov confirmed ~60,000 records exposed; additional OneID safeguards [15] Julio 27 - 30 Tres sistemas de información gubernamentales afectados por ataques cibernéticos [15] Febrero 1–2 Enlaces a recursos de darknet compartidos en Reddit y redes sociales [1] Feb 3 El Centro de Ciberseguridad confirmó el inicio de la investigación; emitió una guía pública [1] Feb 3 Agencia Nacional de Protección Social confirmó un ciberataque a la base de datos de archivos; se estableció un grupo de trabajo [2] Feb 3 El Comité de Estadística confirmó los datos del censo almacenados encriptados en servidores separados [1] Feb 3 - 4 El Comité de Impuestos y el Ministerio del Interior negaron violaciones; los sistemas funcionan normalmente [1] Feb 5 - 6 La emisión de microcréditos en línea se suspende; el Banco Central refuerza la supervisión [9] Feb 12 Ministro Shermatov confirmó ~60.000 registros expuestos; salvaguardas adicionales OneID [15] Impacto en el sector financiero Suspensión del microcrédito Uzbekistán suspendió temporalmente la emisión de microcréditos en línea tras informes de que los datos de ciudadanos comprometidos podrían ser usados para obtener microcréditos fraudulentos Esta acción, aunque disruptiva, refleja un enfoque responsable para proteger a los ciudadanos de la explotación secundaria. [9] Respuesta del sector bancario Varios bancos reforzaron sus sistemas de autenticación y monitoreo.El Banco Central sostenía que la infraestructura bancaria central no había sido directamente comprometida [2]. Servicio de Ban de Crédito Voluntario Uzbekistán introdujo un servicio de prohibición voluntaria del crédito en junio de 2025, permitiendo a los ciudadanos prohibir la emisión de préstamos sin autorización personal (Ley No ZRU-1043) En octubre de 2025, aproximadamente 150.000 ciudadanos habían inscrito Para el 1 de enero de 2026, la inscripción había aumentado a más de 438.000 Se espera que la violación acelere aún más la adopción. [19] [20] [21] Contexto de crecimiento del cibercrimen Según el Centro de Ciberdelincuencia del Ministerio del Interior, Uzbekistán experimentó un aumento de 68 veces en el número de ciberdelincuencias entre 2019 y 2024 -de 863 delitos en 18 categorías a 58.800 en 62 categorías. Entre 2021 y 2024, los delitos cibernéticos resultaron en el robo de más de 1.9 billones de somas ($148.9 millones) de ciudadanos. . [16] [16] Paseo de amenaza activa: Lobo sangriento Independientemente de esta violación, la investigación publicada por las principales empresas de ciberseguridad ha documentado una actividad persistente de amenazas dirigidas a la región. Actor amenaza visión general Un grupo de amenazas rastreado como — también identificado por Kaspersky como - ha llevado a cabo operaciones dirigidas contra organizaciones en Asia Central desde al menos finales de 2023.El grupo se dirige principalmente a agencias gubernamentales, instituciones financieras y empresas de TI Según Kaspersky, la motivación principal parece ser el beneficio financiero, aunque sus métodos también sugieren capacidades de espionaje cibernético. . Bloody Wolf Stan Ghouls [5] [4] [5] Actividad Timeline Period Activity Late 2023 Group first identified, targeting Kazakhstan and Russia [5] May 2025 Kaspersky first flags NetSupport RAT config [5] Jun 2025 Campaign in Kyrgyzstan targeting government, financial, IT sectors [4] Oct 2025 Operations expand to Uzbekistan [4] Nov 2025 Group-IB / UKUK publish joint advisory [4] Feb 5, 2026 Kaspersky identifies ~50 victims in Uzbekistan, 60+ total [5] A finales de 2023 Grupo primero identificado, dirigido a Kazajstán y Rusia [5] Mayo de 2025 Kaspersky anuncia la configuración de NetSupport RAT [5] Junio 2025 Campaña en Kirguistán dirigida al gobierno, a los sectores financiero e informático [4] Oct 2025 Las operaciones se extienden a Uzbekistán [4] Nuevo 2025 Grupo-IB / UKUK publica asesoramiento conjunto [4] Feb 5, 2026 Kaspersky identifica ~50 víctimas en Uzbekistán, 60+ total [5] Los principales hallazgos Documentada una campaña persistente de Bloody Wolf dirigida contra las estructuras gubernamentales y los sistemas financieros de Kirguistán y Uzbekistán, empleando ingeniería social sofisticada e imitando ministerios gubernamentales . Group-IB / UKUK (November 2025): [4][3] Identificaron hasta 50 organizaciones comprometidas en Uzbekistán en el sector manufacturero, financiero e informático. Alrededor de 10 dispositivos en Rusia también fueron afectados.El grupo utilizó correos electrónicos de phishing en ruso y uzbeko.La infraestructura también alojaba el malware Mirai IoT, lo que sugiere una posible expansión del kit de herramientas (estimado con poca confianza) . Kaspersky Securelist (February 5, 2026): [5] Campañas cubiertas por The Hacker News Revista de Seguridad SC Media y Cyberpress. Media Coverage: [6] [7], Nota importante sobre la asignación No hay ninguna atribución directa confirmada públicamente entre Bloody Wolf / Stan Ghouls y la violación de la agencia gubernamental de enero de 2026. sin embargo, el objetivo documentado del grupo de los sistemas gubernamentales de Uzbekistán ilustra la naturaleza avanzada y persistente de las amenazas que enfrentan la infraestructura digital del país. Incidentes de ciberseguridad previos Date Incident Source 2023 Over 11.2 million cyberattacks on web resources [22] 2024 Over 7 million cyber threats prevented [15] 2025 Over 107 million cyber threats prevented [15] Jul 2025 Hacker forum listing: 21M citizen records for sale [10] Aug 2025 Uzbekistan Airways data breach — passports, system credentials [10] 2023 Más de 11,2 millones de ataques cibernéticos en recursos web [22] El 2024 Más de 7 millones de amenazas cibernéticas prevenidas [15] El 2025 Más de 107 millones de amenazas cibernéticas prevenidas [15] El Navidad 2025 Hacker forums listing: 21M citizen registros para la venta [10] El Año 2025 Violación de datos de Uzbekistan Airways - pasaportes, credenciales del sistema [10] El Marco jurídico y reglamentario Ley de Datos de Carácter Personal (Nr. ZRU-547): de octubre de 2019, regula el tratamiento y la protección de datos personales [12] Ley de ciberseguridad (no ZRU-764): aprobada en abril de 2022, por la que se establece el marco nacional de ciberseguridad [13] Ley de Intercambio de Información de Crédito (ZRU-1043): firmada en marzo de 2025, por la que se introducen servicios voluntarios de prohibición de crédito Decreto Presidencial No. PP-153 (abril de 2025): Notificación obligatoria de infracciones y responsabilidad legal por incidentes de datos [14] 8.- El marco de reparación Basado en NIST CSF 2.0, ISO 27001:2022 y CIS Controls v8 : [11] Fase 1: Contención inmediata Aislamiento y auditoría del servidor OAuth: auditoría forense completa, incluyendo registros de emisión de token, registros de sesión, patrones de acceso de API Reestablecimiento de credenciales obligatorio - ejecutar la reestablecimiento de contraseña; invalidar todos los tokens de OAuth y las cookies de sesión Activar el MFA – en todos los portales gubernamentales y dependiendo de las aplicaciones de partidos Revocar y rotar todas las claves de API - todos los secretos compartidos y los secretos del cliente en el ecosistema de OAuth Monitorización de la web oscura: involucre servicios de inteligencia de amenazas para rastrear la distribución de datos comprometidos Fase 2: Hardening estructural Arquitectura de confianza cero: verifica cada solicitud de acceso; implementa la micro-segmentación Despliegue SIEM y EDR – monitoreo continuo y detección rápida de amenazas Gestión del acceso privilegiado: control y auditoría del acceso privilegiado a la infraestructura de autenticación Segmentación de la red: aislamiento de los sistemas críticos de autenticación del tráfico general Pruebas regulares de penetración: ejercicios periódicos de equipo rojo en sistemas dirigidos al gobierno Fase 3: Resiliencia a largo plazo Desarrollo nacional de la fuerza de trabajo de ciberseguridad Planificación de respuesta a incidentes: desarrollar y probar regularmente planes de IR completos Auditorias de seguridad de la cadena de suministro – evaluaciones en curso de proveedores de terceros Campañas de concienciación pública - educación de los ciudadanos sobre higiene de contraseñas, phishing, protección de datos Acciones recomendadas a los ciudadanos Por orientación del Centro de Ciberseguridad y del Ministerio de Tecnologías Digitales [1][15]: Cambiar todas las contraseñas de inmediato, especialmente para los servicios gubernamentales La autenticación de dos factores en todas las cuentas No comparta información personal con personas desconocidas Evite sitios web y enlaces sospechosos recibidos por correo electrónico o mensajes Uso de contraseñas fuertes y únicas para los servicios gubernamentales y financieros Monitorear las cuentas financieras: considere activar la prohibición de crédito voluntaria a través de my.gov.uz Informar de la actividad sospechosa al Centro de Ciberseguridad y a la Policía Ten cuidado con la ingeniería social: los atacantes pueden presentarse como empleados de bancos y citar datos personales conocidos para solicitar códigos SMS [15] 10 Fuentes y referencias [1]Gazeta.uz — "Uzbekistán investiga supuesta fuga de datos personales de ciudadanos en darknet" (Feb 4, 2026)https://www.gazeta.uz/en/2026/02/04/darknet/ [2]UzDaily.uz — "La Agencia Nacional de Protección Social de Uzbekistán confirma el ciberataque a los datos de archivos" (Feb 2026)https://www.uzdaily.uz/en/uzbekistans-national-social-protection-agency-confirms-cyberattack-on-archival-data/ [3]Zamin.uz — «Se dice que los datos de 15 millones de ciudadanos han sido filtrados» (Feb 3, 2026)https://zamin.uz/en/society/185508 [4]Grupo-IB / UKUK — Asesoramiento conjunto sobre las operaciones de Bloody Wolf APT en Kirguistán y Uzbekistán (noviembre 2025) [5] Kaspersky Securelist — "Atacos de Stan Ghouls en Rusia y Uzbekistán: NetSupport RAT y potencial interés en IoT" (Feb 5, 2026)https://securelist.com/stan-ghouls-in-uzbekistan/118738/ [6]The Hacker News — "Bloody Wolf Targets Uzbekistan, Rusia Using NetSupport RAT" (Feb 2026)https://thehackernews.com/2026/02/bloody-wolf-targets-uzbekistan-russia.html [7]Infosecurity Magazine — "El actor de la amenaza de lobos sangrientos expande su actividad en toda Asia Central" (Dec 2025) [9]Pressa.uz — Respuesta del sector bancario y información sobre la suspensión del microcredito (Feb 2026) [10]Brinztech — «Data Leak of 21+ Million Uzbekistan Citizens on Sale» (Jul 31, 2025); «Massive Data Breach at Uzbekistan Airways» (Aug 20, 2025)brinztech.com — 21M listing · brinztech.com — Airways breach [11]NIST Cybersecurity Framework (CSF) 2.0, ISO 27001:2022, Controles CIS v8 [12] Ley de datos personales de Uzbekistán (No ZRU-547, Oct 2019) [13] Ley de Ciberseguridad de Uzbekistán (No ZRU-764, Apr 2022) [14]Decreto Presidencial No. PP-153 (Abr 2025) [15]Gazeta.uz — "El ciberataque de Uzbekistán expuso 60.000 registros, no datos de 15 millones de ciudadanos" (Feb 13, 2026)https://www.gazeta.uz/en/2026/02/13/data-leak/ [16]Gazeta.uz — «Cybercriminales en Uzbekistán aumentaron 68 veces en cinco años» (31 de mayo de 2025), citando el Ministerio del Interior Cybercrime Centerhttps://www.gazeta.uz/en/2025/05/31/cybercrime/ [17]UzDaily.uz — Uzbekistán–2030 Estrategia, $5B IT exportación objetivo (Jan 2, 2026)https://www.uzdaily.uz/en/uzbekistan-plans-to-increase-international-internet-capacity... [18]Euronews — "La semana de las TIC de Uzbekistán 2025" (Sep 26, 2025)https://www.euronews.com/next/2025/09/26/uzbekistans-ict-week-2025... [19]Ley sobre el intercambio de información de crédito (no ZRU-1043, 4 de marzo de 2025)yuz.uz — Ley de prohibición de crédito [20]Newsline Uzbekistán — 150K prohibición de crédito de inscripción a partir de Oct 1, 2025https://newslineuz.com/article/1220891/ [21]Yuz.uz — 438K prohibición de crédito inscripción a partir de enero 1, 2026yuz.uz — 440K inscripción [22]UzDaily.uz — "Más de 11.2 millones de ataques cibernéticos fueron lanzados contra recursos web en Uzbekistán" (2024)https://www.uzdaily.uz/en/over-112-millón-ataques cibernéticos...
