Con varios años de trabajo en seguridad informática a sus espaldas, Graciela Martínez Giordano viene investigando el avance de los delitos informáticos en América Latina desde el Centro de Respuesta a Incidentes de Seguridad de Lacnic, el registro de direcciones IP de América Latina y el Caribe.
La pandemia de covid-19 trajo consigo un aumento de los ataques informáticos y la confirmación de algo que se veía venir: los usuarios no tienen la seguridad indicada para conectarse al trabajo desde su hogar, y muchas empresas no están preparadas para atender estos problemas de manera remota. Sobre esto, hablamos con Martínez Giordano.
¿Qué pasó durante la pandemia con los ataques informáticos en América Latina?
Hubo un aumento de ataques informáticos, tanto a nivel de Latinoamérica como a nivel general. Las personas tuvieron que irse a trabajar a sus hogares. Ahí no tenemos equipamientos adecuados. En una familia las computadoras muchas veces se comparten, al irte a casa estás conectado a recursos de tu trabajo de una manera que no está contenida como dentro de tu organización, donde tenés otros mecanismos de control que te proveen más seguridad para el acceso a la información de la empresa. Otra cosa que pasó es que la mayoría de esas organizaciones son pymes [pequeñas y medianas empresas] y más de 90% no estaban preparadas para llevar a cabo sus operaciones en forma remota. En algunos casos ni siquiera tenían una buena identificación de los activos críticos de la información.
A medida que esto pasaba, ¿notaste un cambio en torno a la seguridad para teletrabajar?
Las organizaciones tuvieron que tomar recaudos. Algunas no contaban con recursos económicos para asegurar todo y proveer a sus funcionarios una máquina por persona. Otras no tomaron conciencia de los riesgos y amenazas que implica llevar tu información hacia afuera y conectarte a través de canales que quizás no son seguros. Esas organizaciones serían más vulnerables a un ataque. Hubo un aumento de los ataques de ransomware, programas maliciosos que cuando se ejecutan en un sistema cifran algunos archivos y los ofuscan, entonces, para volver a obtener esos archivos en texto plano precisás una clave. El atacante te pide una recompensa a cambio de la clave. Eso tiene varios problemas. El primero es decidir si se paga. Los expertos en seguridad no recomendamos pagar, porque terminás volviéndote parte del problema. Otro es que en las organizaciones no hay conciencia de que al usuario también hay que educarlo en seguridad de la información y que las contraseñas son información confidencial. Es altamente recomendable que a personas clave de la organización les den un doble factor de autenticación, con contraseña y algo más para prevenir ataques. El ransomware también es un problema porque los atacantes te piden que pagues en bitcoins o en otras criptomonedas. Eso dificulta la trazabilidad y llegar al culpable. Las pymes, sobre todo, no tienen los respaldos de la información, y a veces se han visto obligadas a pagar.
El año pasado también vimos una tendencia en el phishing, que ha sido el incidente más reportado a Lacnic. En 2020 se dio una tendencia al alta. En enero de 2020 teníamos menos de 100.000 reportes de phishing, y terminamos el año con cerca de 250.000 sitios de phishing reportados. Eso nos muestra que los atacantes lo ven como un vector útil y atacan al usuario, entonces vemos que la concientización en seguridad de la información a veces es muy débil. Los que trabajamos en tecnología la hemos llevado al servicio de la sociedad y para hacerles la vida más fácil, pero quizás nos hemos olvidado de tomar de la mano al usuario y acompañar ese proceso con una concientización y educación para el uso de esas tecnologías.
¿Qué diferencia hay entre el cibercriminal de hace diez años y el de ahora?
En realidad, los cambios son los mismos que hemos tenido los técnicos y que ha tenido la tecnología. En su momento, algunos ciberatacantes sabían más de las tecnologías que otros y atacaban esas vulnerabilidades. Lo que sucedió a lo largo de los años es que aumentó la cantidad de usuarios conectados y algunos delitos también se movieron hacia internet. Los atacantes también evolucionaron y tienen organizaciones detrás. Hay grupos bien conocidos que sabemos que tienen su estructura de trabajo. Hay algunos tipos de campañas de ataque donde se ve que hay gente distribuida en todo el mundo, con diferentes horarios. También hay atacantes sueltos. En la dark web se venden kits para crear escenarios de ataque. Y cuando la vulnerabilidad del sistema que quieren atacar no está parcheada, se pueden pagar hasta 30.000 dólares. Lo triste es que hay sistemas expuestos a esas vulnerabilidades desde hace uno, dos, tres años o más. Tener sistemas conectados y servicios en internet está bárbaro, pero acompañando eso tiene que haber una administración seria y responsable.
¿Qué postura están tomando los estados en América Latina?
Los estados, mal o bien, están trabajando. Algunos tienen sus estrategias de ciberseguridad definidas y acciones que apoyan esa estrategia. Otros están un poco más atrás, pero hoy en día muy pocos estados no están preocupados y ocupados con esos temas. En Uruguay tenemos una estrategia definida, en Colombia también. No nos olvidemos de que esto debe ser acompañado por leyes. A nosotros, por ejemplo, nos llegan reportes acusando a tal organización de estar hospedando un phishing de una entidad bancaria. Lacnic no es la policía de internet, nosotros podemos tomar contacto y ver qué está pasando. Podemos coordinar la gestión del incidente, apoyar en los contactos y bajar el sitio, pero no tenemos leyes. Eso es resorte de cada país. A veces se dificulta mucho tomar acciones legales. Yo puedo intercambiar información entre diferentes países, pero si no tenés un marco legal para operar, eso seguramente vaya a Interpol o a delitos informáticos de ese país; sin embargo, muchas veces llega a determinados puntos y después quedan perdidos.
En el último tiempo tomaron notoriedad los ataques a los ministerios de Interior y Defensa, las vulnerabilidades en sitios de Antel y la vulnerabilidad de Facebook, que dejó expuestos 1,5 millones de números de teléfonos de usuarios uruguayos. ¿Cuál es la situación de seguridad del Estado uruguayo?
Dentro de Agesic [Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento], Uruguay tiene el CertUy, que trabaja bien y responsablemente hace muchos años. En un reporte de 2020 informaron que tuvieron alrededor de 2.800 incidentes, de los cuales sólo 38 fueron clasificados de severidad alta o muy alta. También reportaron que el año pasado tuvieron un incremento de 26% en la cantidad total de incidentes. O sea que a ellos les llegaron más incidentes que en otras épocas. Además, vieron un aumento sostenido en el malware, que yo creería que es por el ransomware, por esto que hablamos antes. El tema de la filtración de datos, como lo que pasó con Facebook, es algo a lo que estamos expuestos cuando dejamos información en esas infraestructuras. Todos tenemos una identidad digital que dejamos a lo largo de nuestro pasaje por internet. Por eso es importante que cuando voy a usar una plataforma, esta me dé garantías mínimas de seguridad, y que yo use esas características que me brinda para darme un poco más de seguridad. Si yo tengo un usuario y contraseña en un sistema, no tengo que usar la misma en los demás, tengo que tratar de tener una diferente. No hay que usar contraseñas débiles, que son una de las principales razones por las cuales se vulneran los sistemas. Por ejemplo, la contraseña “123456” es la más usada en todo el mundo. No es sólo poner la responsabilidad en las plataformas o en los estados. Todos somos parte del ecosistema. El usuario también es responsable de cómo administra su información en las plataformas y de cómo la protege.