Hackeo masivo: ¿Cómo enfrentan los gobiernos un ataque cibernético?

El masivo hackeo al Estado Mayor Conjunto (EMCO) del Ejército de Chile, perpetrado por el grupo internacional Guacamaya, levantó las alertas. La entidad no es la única que ha sufrido este tipo de violaciones -de hecho, Carabineros de Chile debe defenderse de unos 15 millones de ataques mensuales a su sitio web-, pero sí cuestiona cuán preparadas están las instituciones y los gobiernos. El ciberataque expuso cerca de 400.000 correos electrónicos y varias comunicaciones. En la historia hay cientos de países, instituciones y personalidades políticas que han tenido violaciones de este tipo.

El de Julian Assange y WikiLeaks es uno de los casos más importantes de los últimos veinte años, y sigue dando de qué hablar. En 2010, a través de su página de filtraciones, el editor y hacker australiano reveló, junto a un grupo de activistas, algunos 400.000 informes sobre la guerra de Irak, 90.000 sobre la situación en Afganistán, casi mil sobre la prisión de Guantánamo y 300.000 comunicaciones diplomáticas, realizado en diferentes partes del globo, entre diferentes organismos. La mayor fuga de datos realizada, según algunos, por grupos de activistas digitales. Eso, al menos, hasta ahora.

Hay otros casos emblemáticos que se refieren cómo las autoridades cometen errores y exponen material sensible. A mediados de 2015, en plena campaña presidencial en Estados Unidos con Hillary Clinton debatiéndose por el cargo en la Casa Blanca, la exsecretaria de Estado recibió el primer golpe. El presunto grupo de hackers rusos The Duke tomó miles de sus correos electrónicos, porque usó una cuenta de correo privada para realizar tus comunicaciones. Más allá del revés, las investigaciones posteriores a los mensajes -y que algunos atribuyen como los grandes detonantes de su caída en la carrera por el poder- revelaron que algunos de ellos tenían información que debería considerarse clasificada; otros, “secreto” y algunos “muy secretos”.

Lo que sucedió recientemente con el hackeo del Estado Mayor Conjunto es una situación similar. Según Fernando Lagos, director de Level4 CyberSecurity, los gobiernos tienen las mismas vulnerabilidades que las empresas privadas, pero la motivación para atacar una entidad pública es diferente a la de violar, por ejemplo, un banco. “Normalmente, hay una motivación ‘hacktivista’pero hemos visto muchos casos en los últimos meses, donde también existen cosas lucrativas, como el caso de secuestrar información y luego tener una solicitud de recompensa a cambio de ‘devolver’ información a través de ransomware”, describe el especialista.

Algunas de las vulnerabilidades o problemas de seguridad más frecuentes, dice, son dos: el uso de “sistemas heredados” -software obsoleto, sin soporte del fabricante o sin personas capacitadas que puedan mantenerlos- y por otro lado, las mismas personas que son incapaces de identificar una amenaza y no saben cómo actuar. Este último es conocido como “conciencia de seguridad”. “Si tiene un sistema muy sólido, pero una persona cae en un ‘phishing’ y entrega sus credenciales, no queda mucho por hacer”, dice.

Las zonas con mayor frecuencia de ataque serán variables y dependerán de la motivación del “hacktivista”. “Los ataque al SERNAC Y al Poder Judicial tenían motivaciones económicas, y así como cayeron, cualquier otra institución puede ser víctima, por irrelevante que sea. El ataque a EMCO fue hacktivista y probablemente también podrían haber secuestrado información y exigido criptomonedas como rescate”, argumenta.

“Muchas veces se detectan vulnerabilidades a nivel tecnológico, como se presume que es el caso de la EMCO, pero hoy en día es muy común que estas se encuentren a nivel de personas, que son el principal vector de ataque que utilizan los ciberdelincuentes”, señaló. explica. , de España, Gabriel Bergel, cofundador de la 8.8 Computer Security Conference, organización especializada en formar a usuarios de diferentes áreas de la ciberseguridad. Gran parte de las incidencias, dice el hacker e informático, tienen su punto de origen en la falta de formación, educación y formación de los ciudadanos, considerando que, además, la mayoría de los ataques en la actualidad se basan en la ingeniería social; es decir, el engaño a las personas de la organización.

Bergel explica que hoy, a pesar de que este sigue siendo uno de los principales motores de ataque, existe una amplia gama de delincuentes. Primero están aquellos, en su mayoría jóvenes de la generación del milenio, que intentan ganar dinero fácil y usar herramientas masivas. Luego están otros grupos delictivos asentados en “las grandes ligas”, como las mafias, que están más preparados y estudian a sus víctimas. A esta lista se suman los hacktivistas, que no buscan dinero, sino reconocimiento del propio grupo o de sus causas. En el último escalón están los países que, con sus propios servicios de inteligencia, violan a otras naciones. Finalmente, en el extremo están otras asociaciones que realizan acciones ofensivas a favor de su país.

por ejemplo, el Grupo Lázaro, formado por un número indeterminado de ciberdelincuentes pertenecientes al gobierno de Corea del Norte y conocidos por innumerables ataques en Asia, roban dinero digitalmente para financiar la carrera armamentista en su país. En algún momento, incluso tuvo vínculos con ataques contra instituciones locales. En 2015, recuerda Bergel, tuvo en su conferencia de hackers a un analista de Corea del Sur que les explicó cómo se hacía con dinero la asociación criminal. “Pensamos que nunca les pasaría nada en Chile, y tres años después pasó”, recuerda.

El especialista también menciona la Los corredores de la sombra, que en el hackeo de gobiernos es quizás el más emblemático. En 2016, el grupo, que forma parte del gobierno ruso, logró robar herramientas de la Agencia de Seguridad Nacional (NSA) de EE. UU. tambien tiene su vínculo con el territorio nacional.

Los desafíos en el campo de la ciberseguridad, dice Marco Zúñiga, Representante de Ventas TECH, PS Fld Prime de Oracle Chile, son cada vez mayores. Algunas recomendaciones para el sector público es contratar servicios donde un proveedor externo especializado les dé más garantías. El uso de La tecnología en la nube permite, por ejemplo, que las instituciones obtengan de inmediato sus sistemas de seguridad.como el cifrado de datos, la gestión de identidades y accesos, la IA y el aprendizaje automático.

La nube es capaz de proporcionar una mayor automatización, puede prevenir errores y mantener los parches actualizados sin deshabilitar los sistemas críticos, dice. “Esto ayuda a prevenir la principal causa de las brechas de seguridad, que es la negligencia humana; hay un desafío común para evitar errores de configuración, uso de software antiguo y sin parches, junto con el desconocimiento de la política de seguridad”, argumenta. Entre las medidas que recomienda a los gobiernos, tiene la autenticación multifactor en todos los dispositivos para prevenir estos ataques.

“Es muy importante que se incorpore y no se refuerce la seguridad, que la arquitectura de la organización se construye con una perspectiva de ‘confianza cero’ y estas medidas se aplican en los gobiernos, porque si una base de datos está bien configurada, el hacker no debería poder acceder a los datos del cliente, o en este caso, a los de sus ciudadanos”, dice Zúñiga.

La seguridad total no existe, insisten los especialistas. Los gobiernos deben asegurarse de que se acerquen al 100%, eso sí. “La EMCO pudo haber tomado todas las medidas, pero eso solo hubiera retrasado al atacante y, quizás, lo hubiera logrado, aunque en más tiempo: el problema no está en ‘qué hacer para que no pase’, sino en detectarlo a tiempo y reducir el impacto”, dice Fernando Lagos, de Nivel 4, argumentando que “quizás pudieron haber accedido a diez correos y no a miles”. Lo que más falta, dice, es la capacidad de detección temprana, sabiendo cómo responder al incidente y cómo comunicarlo.

“Tiene que ser un tema de Estado y no del gobierno de turno, y al igual que las empresas privadas, cuando cambian de directores o gerentes, tiene que tener continuidad: hay que verlo así y no por separado”, dice. Respecto a lo que pasó con los correos electrónicos del Partido Demócrata en 2015 y de Hillary Clinton, dice que el correo electrónico puede ser un canal formal para este tipo de comunicación. “Sin embargo, debe existir un protocolo en el que se envíe cierto tipo de información a determinados destinatarios, pero de forma encriptada y segura: cuantos más destinatarios haya, más probable es que la información se filtre”, explica Lagos.

De hecho, en este mismo caso, el método era “anticuado”, sin tácticas sofisticadas. El phishing era “el mejor aliado” de los presuntos ciberdelincuentes rusos. Durante las elecciones primarias del Partido Demócrata, John Podesta y otros miembros del partido recibieron el tradicional correo electrónico tipo “alguien tiene su contraseña, haga clic aquí para cambiarla”. Como el mensaje parecía legítimo y estaban usando su cuenta de Gmail, un error llevó a otro. Fue una ola de correos electrónicos a los integrantes del grupo y la filtración por facilitar las credenciales fue masiva.

“Los ataques no se están volviendo más sofisticados. Lo que hemos visto es que aumentan por problemas de gestión, administración de la plataforma, negligencia, falta de actualización o falta de seguimiento”, dice Lagos, quien agrega que un ataque altamente sofisticado no se conoce hasta mucho tiempo después, si es que se conoce. Muchas veces no es posible encontrar “dónde” ingresaron y mucho menos “qué hicieron”. Los sistemas de inteligencia tampoco pueden detectar quién fue.

Se presume que lo ocurrido en la EMCO se debió a un error tecnológico. La no actualización del sistema en alguno de sus niveles podría facilitar una “ventana de vulnerabilidad”. Más allá de eso, es necesario que cada unidad, en cada ministerio u organismo público esté en constante capacitación y especialización con respecto al tema. “Hay que crear grupos de personas que sean especialistas en la materia y que estén en constante proceso de formación”, dice Gabriel Bergel, de 8.8. Tomemos como ejemplo el caso de España, que tiene la Instituto Nacional de Ciberseguridad (INCIDIR).

Básicamente, describe el especialista, es un grupo público-privado el que se preocupa por este tema. “Hay mucha gente tratando de lidiar con las diferentes fases: primero hay que anticiparse, protegerse, resistir y, si ocurre un incidente, recuperarse”, dice Bergel. Llevar a cabo iniciativas de este tipo significa “tener muchos especialistas que constantemente están haciendo análisis de riesgo, auditorías, capacitando a la gente y capacitándola, pero tiene que ser un grupo grande, con trabajo colaborativo, y en ese grupo tiene que estar las Fuerzas Armadas”.

Un elemento a considerar, dice Marco Zúñiga, de Oracle Chile, es que la ciberseguridad no se resuelve exclusivamente con la contratación o adquisición de tecnología. “Requiere una combinación adecuada de elementos tecnológicos, capacitación y educación de las personas, y la definición de procesos y procedimientos adecuados para cada organización: equilibrar inversiones y recursos en personas, procesos y tecnología es una condición fundamental para una estrategia adecuada”, dice el ejecutivo . “Los gobiernos tienen un gran papel en la sensibilización de los ciudadanos sobre la importancia de la ciberseguridad y la protección de datos, así como priorizar la actualización y creación de leyes que se adapten a los nuevos delitos en esta materia”, afirma.