El Registro de Direcciones de Internet de América Latina y Caribe (Lacnic) es una organización no gubernamental que se propone contribuir al desarrollo de internet en la región. Dos veces al año realiza un encuentro en el que los operadores de red y de la comunidad intercambian experiencias y realizan foros públicos sobre políticas en la web para analizarlas, discutirlas y alcanzar consensos. El más reciente fue el encuentro que se organizó en línea del 2 al 9 de octubre.
Graciela Martínez Giordano, líder del Centro de Respuesta a Incidentes de Seguridad de Lacnic, habló con la diaria sobre los desafíos que supuso la pandemia de covid-19 para la seguridad en línea y explicó cómo proceder ante la proliferación de sitios maliciosos.
Con la pandemia creció el registro de los dominios de internet vinculados con el coronavirus. Según la información que ustedes manejan pasaron de 60 en enero, a registros de entre 500 y 1.000 por día, y después llegaron a picos de 5.000. ¿Estos sitios se crearon para fraudes y difusión de noticias falsas?
Esas son estadísticas mundiales de organizaciones que llevan el monitoreo de esos dominios. Cuando comenzó la pandemia se hicieron estudios sobre cómo había aumentado el registro de esos dominios. Es de destacar que Lacnic administra los recursos de internet, direcciones IP, sistemas autónomos y dominios, por lo que no estamos directamente vinculados con los registros. Si un sitio malicioso está relacionado con uno de nuestros recursos, nos llegan los reportes. Pero sí, aumentaron los dominios. Al principio temimos que fuera un pico de dominios maliciosos pero no fue así, porque muchos fueron creados de manera oficial para la difusión de información, pero siempre en estos contextos críticos los cibercriminales sacan su rédito.
¿Para qué delitos se crean los dominios maliciosos?
Para varios. Podría ser para obtener credenciales válidas, como usuario y contraseña. Una persona se puede preguntar para qué las pueden querer. El problema es que los usuarios muchas veces repiten la contraseña en otros sistemas, y ya con tener una base de datos de usuarios y contraseñas podrían hacer una escala transversal a sitios en los que sí les permitan acceder a acciones financieras, como bancos, tarjetas de crédito o sitios en los que se pueden hacer transacciones. Otros directamente las usan para vender productos, como mascarillas o alcohol en gel. Al principio de la pandemia, con la escasez todo el mundo salía a comprar, había kits mágicos con “medicamentos”. Ellos montaron hasta una industria, porque mandaron imprimir cajas y la presentación era de 50 píldoras, con un frasquito de alcohol y 50 mascarillas, entonces la gente compraba y el producto nunca llegaba. Después, con el número de tarjeta lo que hacen es hacer compras de inmediato.
¿Es real que compran cosas relativamente baratas para que no salten las alertas?
Sí, ahora los bancos tienen muchas alertas de seguridad, pero con montos pequeños o las tarjetas de regalo pasan. No se trata de generar paranoia, sino de estar atentos a los sitios maliciosos. Se pueden comprar productos por internet. En estos casos lo que pasó es que estaban en sitios accesibles y comunes en los que se venden todo tipo de productos.
¿Cómo es posible darse cuenta de que un sitio es malicioso?
A veces es difícil. Antes decíamos que un sitio malicioso en general no tenía un certificado válido. Un certificado válido es cuando en la URL dice “http” y es seguido por una s, que quiere decir “seguridad”. Además, tenía un candadito, entonces decíamos que cuando estaba ese candado era seguro, pero ahora esa no es una condición necesaria y suficiente; es necesaria, pero no suficiente. Ya hay muchos sitios que para no ser detectados tienen certificados válidos o se instalan en sitios que lo tienen. Lo que recomendamos es que si se va a entrar a un sitio que es familiar, hay que prevenir los errores de tipeo, no hay que abrir el primer enlace que aparece. A veces en el apuro se puede tipear mal y aparece el sitio malicioso. No cuesta nada poner la dirección completa. Además hay que prestar atención al sitio, hay muchos sitios maliciosos en los que cuesta darse cuenta de que lo son. Hace un tiempo nos pasó. Cuando usé otro editor de texto detectamos que había una letra cambiada, pero estuvimos un rato. Lo que no me gusta es trasmitir el mensaje de que todo internet es malicioso, pero hay muchos bancos que ahora están advirtiendo y dan tips de prevención. En esos servicios el sistema está robustecido, porque hubo muchos fraudes. El tema es el usuario al que agarran desprevenido o al que le mandan un mail y le piden datos. Puede haber algún usuario suelto que decida hacer una campaña de phishing [técnicas que buscan el engaño ganándose la confianza de la víctima haciéndose pasar por una persona, empresa o servicio], pero en general hay organizaciones detrás. Son campañas que se arman, que tienen un pienso y se largan varias a la vez, parecidas. Es una cuestión de escala, porque mandan un millón de correos y aunque tengan 0,5% de personas que caen, ya está.
¿Cuál es el rédito de este tipo de campaña?
El ciberdelito mueve billones de dólares al año. El año pasado Europol estimaba 3,5 billones de dólares.
¿Cómo prevenir caer en engaños? Una de las cosas que siempre se advierten es que las entidades bancarias nunca piden la contraseña de correo electrónico, y que hay que verificar la dirección desde la que fue enviado el correo.
Sí, si se recibe un correo y no se sabe quién lo mandó, no debería ser contestado y mucho menos enviar una contraseña. Es lo mismo que uno vaya caminando por la calle y que un desconocido te pregunte tu número de cédula y tu dirección, ¿por qué debería enviarle a un desconocido mi contraseña? Es más, ¿por qué agarraría un paquete de alguien a quien nunca vi? Si recibo un mail de un desconocido con un adjunto, ¿por qué lo abriría? Y si resulta sospechoso, menos. Un fraude que aumentó en el primer semestre de este año –ahora disminuyó porque salimos un poco del contexto de pandemia– fueron los ataques dirigidos a una organización. Ellos [quienes cometen ciberdelitos] hacen ingeniería social. Eso es importante decirlo: los ataques no salen de la nada, tienen un componente de análisis del contexto. Ahora usaron la pandemia, pero en los terremotos también usan esa situación: mandan un mensaje y piden que se deposite dinero en una cuenta. Hay cosas que tienen prontas y las ajustan al contexto. Investigan quién es el CEO de una empresa o la persona que está en finanzas, mandan un mail con el nombre del jefe a una persona de la administración, por ejemplo, y piden un giro o un pago. Para algunos resulta raro, pero hay casos de personas que hicieron transferencias bancarias. Para que no haya sospechas, piden montos chicos.
¿Cómo transitó la región estos meses de pandemia?
El phishing está a la cabeza de las estadísticas. Lo que vimos es que aumentaron los programas maliciosos, hechos para trasmitir virus o gusanos, o los programas que encriptan la información y después te piden un rescate a cambio de develarte la clave para acceder a tu información, pero nadie garantiza que esa clave va a funcionar. Además, no habría que pagar el rescate para no ser parte del problema. Hubo un aumento de este tipo de casos. La pandemia nos llevó a nuestras casas, y un usuario solo en su casa, apurado, queriendo sacar el trabajo, es más vulnerable y está más expuesto.
¿El teletrabajo hizo más vulnerable al usuario?
Sí, porque son pocas las organizaciones que estaban acostumbradas al teletrabajo y tenían la infraestructura para hacerlo. Las organizaciones pequeñas y medianas, las que más atacadas estuvieron, no estaban preparadas, y de buenas a primeras los trabajadores debieron ir a sus casas. En los hogares no hay un contexto controlado, no todo el mundo tiene una computadora personal de la empresa. Tuvieron que llevarse las máquinas o usar las propias; cuando los sistemas están desactualizados es cuando empiezan los problemas.
¿La campaña electoral incidió en el aumento de fraudes?
No tengo conocimiento de fraudes. Sí sé que se habían quejado porque algunas páginas habían sido hackeadas o sufrido defacement [un ataque a un sitio web que cambia la apariencia visual de una página].
¿Qué dificultades hay para frenar este tipo de delito, los fraudes?
Uno de los problemas que tenemos es que la gente no reporta. Cuando una persona cae en un fraude, si es con un banco es probable que se reporte, pero si es de otro tipo es difícil. Mucha gente ni siquiera sabe que lo podría reportar y dónde. Con suerte ve una casilla de abuse, pero nadie le contesta, entonces baja los brazos. Habría que instruir a las personas acerca de que hay centros de respuestas de incidentes de seguridad. En Lacnic tenemos el mapa de centros de respuesta de América Latina y el Caribe, pero si no se puede reportar acá, vamos a escalar a quien le pueda dar atención. Hay organizaciones que tienen vulnerabilidades y son explotadas pero no se enteran. Con el reporte, no sólo gana el usuario sino la organización. Uno de los problemas que tenemos en internet es que todo lo que está conectado no está robustecido desde el punto de vista de la seguridad. Internet es un ecosistema que está compuesto de varias partes, el usuario final es el que ha sufrido más. Todos se quieren digitalizar. Ahora, ¿qué se hizo para digitalizar a los usuarios? Hay que acompañar con campañas de concientización y de entrenamiento. Hay que explicar cómo se usan los sistemas y pensar en que el que va a usarlos no nació con tecnología en la mano y tampoco recibió una instrucción. Se mandan a hacer trámites online y la persona a lo mejor pone de contraseña su nombre, el del perro o 123456.
Pero hay sitios en los que se pide una contraseña más compleja. ¿Eso no es útil?
Sí, pero lo que digo es que además, así como cada uno tiene su responsabilidad, hay que hacer una campaña con el concepto: “Para, piensa y conéctate”. Los administradores de los sistemas tienen su responsabilidad y las organizaciones la tienen tanto para afuera como a la interna de sus funcionarios. Tenemos que trabajar todos para mantener internet abierta, estable y resiliente.
Campañas engañosas
Antes de que surgieran los primeros casos de coronavirus en el mundo, en Uruguay apareció una campaña que prometía el sorteo de un celular de última generación con el logo de la empresa de telecomunicaciones más importante del país. El sitio web también tenía una estética muy similar. Guillermo Pereyra, analista en seguridad con experiencia en respuesta de incidentes, explicó a la diaria que en ese momento se intentó combatir a esos atacantes, pero que “es muy difícil porque ellos se esconden detrás de muchos sistemas. Lo mejor es concientizar a las personas y a los clientes”. Pereyra, que trabaja en Lacnic, dijo que estas páginas están escondidas detrás de sitios que brindan protección. Se trata de empresas que se pueden amparar en la ley de protección de datos personales, “por lo que es difícil darlas de baja”. Graciela Martínez Giordano agregó que estas son empresas legales que venden servicios, que tienen una infraestructura para que se postee: “En lugar de tener su servidor y su red, se ponen las cosas ahí”.
Pereyra comentó que los atacantes “van más allá, y bien abajo en la página dice que no están asociados a la empresa, así que si vamos por lo legal también están protegidos”. Por lo tanto, dijo, lo que pueden hacer las empresas asociadas a este tipo de engaño es salir a decir que esos sorteos no son válidos.
Martínez Giordano dijo que las personas no deben ingresar las credenciales si no están seguras de que el sitio es oficial, e insistió: “¿Para qué una empresa que ya tiene sus datos los va a volver a pedir? No los precisa”.