*

Online

Por qué otra vez hackearon al gobierno: ¿qué paso, se puede evitar?

La ciberseguridad del Estado está bajo amenaza. Cómo se piensa la seguridad gubernamental en IT de cara a los ataques más frecuentes y qué dicen los expertos sobre lo que falta. Por MATIAS NAHUEL CASTRO - 27 de Abril 2018
Por qué otra vez hackearon al gobierno: ¿qué paso, se puede evitar?

Hackearon a la Policía de la Ciudad, publicaron bases de datos de la fuerza y pidieron liberar a acusado de hackear el Twitter de Patricia Bullrich.

“Hackeados por [S]”, firmaron, otra vez, los autores de la intrusión. Pusieron como imagen la foto de Maximiliano Gómez, el vendedor de sandwiches de salame que se hizo viral cuando la misma Policía de la Ciudad se los decomisó.

 

 

El mensaje fue claro: que la policía detiene y persigue a personas que no cometen delitos. El hackeo incluyó los links para descargar bases de datos de la Policía que comanda Horacio Rodriguez Larreta  (una pequeña de unos pocos megas con información de postulantes a la Fuerza y otra de 3 gigabytes que aún no se conoce su contenido). La gravedad de esta exposición solo se compara con lo vulnerables que parece la seguridad informática del Gobierno.

"Son monos con navaja, no cazan un fulbo.” Así definió a la ciberseguridad del Ministerio de Seguridad el difusor (vía GitHub y reddit) de los documentos filtrados en 2017, que contenían 40,2 MB de información sensible en 215 documentos que incluyen imágenes, archivos de texto, hojas de cálculo y PDF, además de cuatro archivos de audio con llamadas del 911. Quien se autodenominó “gorraleaks” filtró, durante meses, sumarios, resúmenes semanales policiales, actas de allanamiento, cadenas de custodia. No es poca cosa. La pericia de la división de Delitos Tecnológicos de la Policía Federal Argentina informó en febrero que fueron hackeados más de 30 correos electrónicos oficiales del Ministerio de Seguridad de la Nación, entre ellos el de la ministra de Seguridad Patricia Bullrich. El acceso lo consiguieron a través de un ataque de phishing usando un correo electrónico enviado desde una cuenta falsa a nombre de la embajada de Bolivia en la Argentina. Al parecer, la vulnerabilidad comenzó cuando Ricardo Damián Mirco Milski, conocido como Niño Orsino, denunció en redes sociales que los sistemas IT de la cartera de Bullrich eran débiles. Hoy, está preso acusado de ser el perpetrador.

Al mismo tiempo, se comprometieron los sitios webs de otros espacios institucionales sensibles. A principios de 2017, la página de la ex Esma fue vulnerada y los perpetradores cambiaron el home de la web con uno de fondo negro y frases alusivas a la dictadura militar de los años 70. El sitio web del Ejército Argentino sufrió en junio de ese año una vulnerabilidad que permitió a usuarios intrusos ingresar y colocar una imagen genérica del grupo terrorista ISIS, con la leyenda “ISIS está llegando a la Argentina”. En agosto, el sitio web de Gendarmería fue atacado y los hackers cambiaron headers de la página web para demandarla aparición con vida de Santiago Maldonado. Ahora, mueve el gobierno.

 

Acomodando las piezas

No es casualidad, entonces, que se impulsaran desde el gobierno nacional diferentes apéndices estatales para lidiar con las agresiones informáticas que lo tienen bajo asedio. La piedra basal fue el decreto 557/2017 que reglamentó la creación del Comité de Ciberseguridad, que opera bajo el ala del Ministerio de Modernización, hoy en manos de Andrés Ibarra. Para avanzar con este proyecto se tomó una resolución firmada en 2004 con la Asamblea General de la Organización de Estados Americanos (OEA) en donde los Estados miembros adoptaron la Estrategia Interamericana Integral de Seguridad Cibernética. Vale la pena recordar que la administración nacional impulsa no pocos proyectos relacionados con la digitalización del Estado y la economía, como la ciudadanía digital y los diversos proyectos del Ministerio de Modernización como la factura electrónica. Para tal fin, el Ministerio de Defensa tiene un presupuesto de $190 millones para prevenir ciberataques. Y desde el gobierno piensan llegar a los $260 millones para este año. Seguridad planea tener un monto específicamente dedicado a seguridad IT a partir del año próximo. Y el de Modernización cuenta, en la actualidad, con $40 millones para el mismo objetivo.

"Nació a finales del año pasado bajo la necesidad de atender al ciudadano y al Estado en temas de ciberseguridad, desde ramsonware y malware hasta robo y suplantación de identidad. Si bien por ahora estamos enfocados en el ciudadano, nuestra otra comunidad objetivo es el Gobierno de la Ciudad”, explica Pablo Romanos, responsable de Planificación y Gestión Documental en el Centro de Ciberseguridad del Gobierno de la Ciudad de Buenos Aires (BACSIRT). Romanos, que es ingeniero en Sistemas por la Universidad de la Marina Mercante, estuvo a cargo del plan de desarrollo estratégico de ciberseguridad y de las políticas que se bajan para que funcione el centro que en 2017 contaba con unas 30 personas. La planificación se arma a partir de los servicios que se ofrecen, con un catálogo actual de 13, todos apoyados en un inventario de activos tecnológicos. “Algunas son charlas a la comunidad o colegios primarios y secundarios, actuamos de forma preventiva, de cara a la atención del ciudadano. Tenemos detección temprana de vulnerabilidades y, en función de eso, se actúa y se elabora una serie de documentos que pueden ser alertas o boletines”, desarrolla Romanos. “Las vulnerabilidades están más orientadas al gobierno interno, sin embargo hay algunas que son públicas y se informan con el contacto con otros centros, como pasó con el caso de WannaCry”, agrega.

 

Gustavo Linares, director General de Seguridad Informática del Gobierno de la Ciudad de Buenos Aires

 

El otro core del centro son los servicios reactivos, que están orientados a gestionar incidentes: analizar, clasificar y archivarlos diferentes incidentes que acontecen en la Ciudad. En estos casos,si se lleva a cabo un delito, la dependencia habla con las autoridades pertinentes. “Recibimos llamados y correos del ciudadano con denuncias. Estamos ampliando, pero recibimos por mail, redes sociales y teléfono, le damos una mano al vecino con asesoría y gestión del incidente. Si alguien lo infectó con un ramsomware o le suplantó la identidad en Facebook, nostiene que llamar”, explica Romanos. El centro de seguridad IT está en desarrollo aún. Cuenta con un laboratorio de investigación de seguridad equipado solo con lo básico para hacer pruebas de infecciones. Para suplirlas carencias trabajan en alianza con laboratorios privados como Kaspersky Labs. Consultados por INFOTECHNOLOGY, desde el BA-CSIRT explicaron que no pueden dar precisiones sobre infraestructura por cuestiones de seguridad. Sin embargo, confirmaron que hay controles de seguridad física y máquinas virtuales que solo se conectan intermitentemente a la red para maximizar la seguridad. El centro tiene cuatro grandes áreas: de atención al público, de monitoreo permanente, de análisis forense y de contacto judicial. La calidad de la seguridad, argumentan, está dada por la certificación del grupo de analistas internacionales FIRST (Foro de Respuesta de Incidentes y Equipos de Seguridad, por sus siglas en inglés).

 

El Ministerio de Defensa tiene un presupuesto de $190 millones para prevenir ciberataques. Y desde el gobierno piensan llegar a los $260 millones para este año

 

¿A qué se enfrentan en la Ciudad? “Los casos más denunciados de la comunidad objetivo son 50 por ciento ramsonware, 25 por ciento phishing y suplantación, 5 por ciento cyberbullying y el resto son diferentes ataques más raros”, explica Karina Birarda, que trabaja en BA-CSIRT en el sector de relaciones institucionales. Birarda es optimista respecto del ciudadano de la ciudad, sostiene que “la mayoría está al tanto de qué es el ramsonware, en particular las Pyme que son las más afectadas. Trabajamos con centros de todo el mundo en conjunto, el argentino está en bastante conocimiento pero no concientizado, que no es lo mismo”, concluye.

“Nosotros analizamos todas las aplicaciones que publica el gobierno, hacemos la seguridad, hacemos el análisis forense en el caso de incidentes, verificamos identidad digital de empleados y externos. Trabajamos con la Policía Metropolitana, con el área de comunicaciones, Ministerio de Educación, luego obviamente asistimos a todos los ministerios en materia de seguridad informática”, explica Gustavo Linares, director general de Seguridad Informática del gobierno de la Ciudad de Buenos Aires, en conversación con INFOTECHNOLOGY. “Tenemos proyectado trabajar con las Pyme y microempresas porque su costo de infraestructura es alto para que tengan ciberseguridad. El gran problema que las aqueja es el ransonware y temas de espionaje cibernético. De hecho, ya estamos armando un equipo específico para Pyme que se lanzaría a mediados del año que viene”, adelanta.

Últimamente, al gobierno porteño lo que más le preocupa son los ataques de negación de servicios (DDoS); se trata de los clásicos ataques de infiltración de aplicaciones, “pero la tendencia es hacia DDoS de varios tipos, algunos para denegar el servicio, otros para bajarla imagen pública del gobierno y otros son para enmascarar un ataque de infiltración, hay muchas cosas que no se están pudiendo ver y ahí surgen infiltraciones sobre aplicativos o base de datos que aparecen recién en el análisis forense”, desarrolla Linares.

“Hay gobiernos muy preparados y otros en desarrollo. Hay que pensar en una inversión de presupuesto en ciberseguridad que algunos gobiernos no pueden costearse.” Los argumentos oficiales son que, por un lado, ahora se encara el tema como una estrategia de estado. “Se creó un comité de ciberseguridad nacional y estamos trabajando en un comité similar de alcance regional con todas las provincias, hoy por hoy estamos parados en un lugar donde deberíamos estar hace varios años”, explica el director de ciberseguridad.“A nivel ciudad, los planes ya están hechos para los próximos tres años”, agrega.

 

¿La pesada herencia tecnológica?

 

Si bien nadie niega que falta mucho por hacer, muchos también hacen hincapié en el punto de partida. “Aunque suene político, hay que trazar una línea entre lo que era antes y ahora. Es distinto para bien”, comenta Sebastián Stranieri, CEO de la empresa de ciberseguridad VUSecurity. “Hoy, mi sensación es que las empresas tecnológicas, incluso la nuestra, no terminan de dar toda la seguridad. Los usuarios no son expertos en ciberseguridad y lo que nadie dice es que la gente no está aprendiendo, las precauciones tienen que ser otras claramente. Los bancos, los proveedores de internet, los marketplaces deberían hacerse cargo de la seguridad”, dice Stranieri y agrega que “en términos de gobierno, o sea el Estado, es otra cosa. Estoy trabajando en una mesa de negociaciones con el Banco Central donde estamos viendo que hacer a futuro. Esto es nuevo, antes era un ‘tupper’ y ahora estamos en la misma mesa. Tenemos más consultas de organismos de gobierno que nunca, y valoran mucho las empresas argentinas. Eso es bueno, no querés que una empresa de un eventual país enemigo sea la que desarrolló tu software de defensa”, agrega el CEO, y con esto recuerda a la reciente polémica de Kaspersky Lab y sus potenciales lazos entre esta empresa y el gobierno ruso. “Yo veo que se están haciendo muchas cosas, se aportan partidas presupuestarias que no se veían desde 2007. Muchos organismos nos dejaron de llamar porque no tenían presupuesto”, afirma Stranieri.

Hay, sin embargo, datos para ser escéptico de los resultados de los esfuerzos oficiales. El 55,9 por ciento de los internautas argentinos tienen una conexión insegura en su casa, dice un informe elaborado por Avast. De acuerdo con la empresa de ciberseguridad de origen checo, más de la mitad de los módems y routers que se conectan a las computadoras son susceptibles a ataques. A nivel general, el 18,2 por ciento de los dispositivos hogareños conectados a la red son inseguros. Después de los módems, los gadgets más vulnerables en la Argentina son las cámaras web y los monitores para bebés, con un 24,4 por ciento de debilidad. Los siguen las impresoras, con el 10,9 por ciento. Los datos que llegan de la policía porteña tampoco son alentadores: el ransomware pasó de una decena de denuncias en todo el 2016 a 50 en el primer trimestre de 2017, y se estima que solo el 10 por ciento llega a oídos de las autoridades.

 

Una solución integral, aceptablemente moderna, de ciberseguridad cuesta unos US$ 40.000 dólares de software y el hardware suele duplicar el coste del software

 

En efecto, la Argentina se encuentra detrás de México, Uruguay, Brasil, Panamá y Colombia en lo que respecta a ciberseguridad según informa la Unión Internacional de Telecomunicaciones en su Índice de Ciberseguridad Global (ICG) de este año donde el país ocupa el puesto 63 a nivel mundial. Y, si bien el país se encuentra en el piso de los países considerados en proceso de maduración, su puntaje ICG sigue siendo bajo. Los aspectos más débiles de la ciberseguridad nacional son los aspectos legales, especialmente la falta de estándares legales para organizaciones y profesionales, al igual que la protección de los menores. El informe también remarca la carencia del país en aspectos técnicos como estrategia y métricas de ciberseguridad. Lo mismo vale para el segmento educación. Capacitación y profesionalización, al igual que la investigación y el desarrollo, están en rojo. No son todas pálidas, sin embargo, ya que el estudio califica positivamente el interés y los esfuerzos del Estado para incorporarse al concierto internacional.

María Belén Rey, directora ejecutiva de Argentina Cibersegura

 

En el interior del país, la situación parece un poco más preocupante y en particular para las empresas. “A escala global, las compañías están demasiado confiadas, aunque el tema ransomware está empezando a pegar. Lo que sucede es que cuando te parás de manera holística no hay visión del proceso de negocios, muchas empresas ni lo tienen documentado. ¿Cómo van a protegerse si no saben ni qué recursos IT son parte del negocio?”, reflexiona Enrique Dutra, cofundador y CEO de la consultora Informática Punto Net Soluciones. “Hoy el estándar de seguridad es mediocre, no hay madurez salvo en empresas grandes o multinacionales. Cuando hablás de seguridad te dicen que tienen antivirus y backup. Hay empresas que no quiere invertir en tecnología y tienen a uno que hace copias de seguridad manuales a la noche para ahorrar”, explica Dutra. Para el especialista, sólo 20 de cada 100 empresas toma acciones y el resto están en piloto automático. Menos compañías aún toman el toro por las astas y llevan a cabo acciones preventivas. Sólo las multinacionales o de capital público siguen ese camino, porque tienen el incentivo de las auditorías.

Es, por otro lado, entendible que muchas empresas se retrasen en la ciberseguridad. Los costos son altos y no hay (por ahora) ni hubo acompañamiento por parte del Estado. Desde Punto Net estiman que una solución integral, aceptablemente moderna, de ciberseguridad cuesta unos US$ 40.000 dólares de software (que incluiría clusters de virtualización, duplicados remotos, VPN, una plataforma o suite tipo McAffee, proxys con URL filtering, etcétera) y el hardware suele duplicar el coste del software. Dutra comparte un caso que deja a las claras cómo se piensa la IT de seguridad en algunos sectores: “Los hospitales son de los menos precavidos, cuando uno habla con un médico y le muestra los costos te responden que por ese dinero compran no sé cuántas camillas y muchísimos insumos. Esto es en todo el mundo, por eso el WannaCry afectó a hospitales en Inglaterra; usaban Windows XP. Su negocio pasa por otro lado”.

“El Estado estuvo abandonado. Ahora están intentando unificar y que todo vaya por la AFIP, pero las otras entidades fundamentales no tienen ese interés. En el interior hemos visto páginas de municipios vulneradas que las dejan como están y pasa de nuevo a los cuatro o cinco días. Algunos ponen un archivo jpeg fijo. En municipios hemos hecho test de vulnerabilidad donde hicimos cualquier cosa. Se invierte en las calles pero no en tecnología. En los municipios del interior uno ve cosas muy antiguas, todo agarrado con pinzas. Hay racks de madera sin acondicionar, si físicamente está así, imagínate lógicamente”, se lamenta Dutra. El especialista recuerda, en sus recorridas por el interior de país, un escenario que asusta: los sistemas IT estatales son equipos con WindowsXP y servidores clones, los directorios de acceso tiene un único usuario admin para todas las unidades, computadoras de trabajo de intendentes infectadas con programas de fuerza bruta para robar contraseñas. A pesar del escenario dantesco, el especialista confía en el rumbo que se está tomando. “Esto es la punta del iceberg recién, pero está bueno. Es un problema de educación básicamente eso, así como Telefónica puso todo en medidas IT pero no sirve eso solo. Hay campaña del dengue en verano, necesitamos la de ciberseguridad para todo el año”, concluye el analista.

Manos a la obra

 Hay quienes se alinean en el pensamiento de Dutra. La organización Argentina Cibersegura es uno de esos casos. Se trata de una organización no gubernamentalse encarga de brindar charlas gratuitas en colegios y en empresas, como así también en capacitar a formadores de opinión en temas de ciberseguridad. “Hablamos de identidad digital, sexting, ciberbullying y grooming, con niños y adultos, como el adulto acompaña al niño, pero al mismo tiempo para que ellosse protejan. Todo lo que tiene que ver con robo de identidad e ingeniería social también al igual que lo que tiene que ver con la convivencia de nativos y recién llegados digitales”, dice María Belén Rey, directora ejecutiva de la organización. “El otro foco tiene que ver con el tercer público que tiene el mundo corporativo. Ahí hablamos de Internet de las cosas, por ejemplo”, agrega.

Para Rey, en el mundo corporativo y gubernamental los peligros son el ramsonware para las empresas y los ataques de ingeniería social en el Estado. Desde la organización, brindan herramientas cognitivas para que los usuarios sepan identificar una URL falsa o cómo elegir una contraseña segura. “Cada vez se le da más lugar a la ciberseguridad. Las grandes empresas son las que más le dan, pero hay un enorme espacio de mejora en Pyme y ONG al igual que en el Estado”, concluye Rey.

Sin dudas, el proyecto de mayor envergadura en este sentido es la creación de la Subsecretaría de Tecnología y Ciberseguridad, bajo la ejida del Ministerio de Modernización de la Nación, para trabajar en la protección de los sistemas e infraestructuras informáticas del Estado y aquellos que soportan servicios vitales a la población. ¿Qué se hace? Entre otras cosas se manejó la creación de instancias de intercambio de experiencias y buenas prácticas con los países más avanzados del mundo en materia de Ciberseguridad, el relevamiento de Data Centers de la Administración Pública Nacional y se realizaron evaluaciones de seguridad y análisis de vulnerabilidades y el ingreso a la Red de Gobierno Electrónico de América latina y Caribe donde, desde la unidad llamada ArCERT, se comparte información sobre ataques y anomalías entre diferentes naciones y organismos internacionales. ¿Los resultados? Los incidentes detectados pasaron de solo 2.200 en 2015 a más de 400.000 en 2016. INFOTECHNOLOGY intentó comunicarse con la secretaria en varias oportunidades, sin éxito, para obtener más datos.

Las piezas están en su lugar. Los ataques globales como WannaCry ponen bajo la lupa la capacidad de resistencia y reparación de los gobiernos frente a ciudadanos y empresas. Las ventajas de la digitalización de la vida pública, abren la puerta a un sinfín de peligros a la ciudadanía y lo mismo puede decirse de la tecnificación de la industria. Los cibercriminales, desde hace tiempo, mostraron de lo que son capaces. La pregunta no es ya si el Estado está a la altura sino si está a tiempo de recuperar el tiempo perdido en una carrera en la que corre desde atrás.



¿Te gustó la nota?

Comparte tus comentarios

2 Comentarios

hpuelman Puelman Reportar Responder

y si, en el gobierno están preocupados, no vaya a ser que les encuentren alguna que otra cuentita off shore no declarada ...

Jorge Cordero Reportar Responder

La ciudad terceriza con amigos de Dereck y así anda todo para el orto. Pero pagamos una factura gorda todos los meses.

Notas Relacionadas