Cada año, en Chile hay cientos –sino miles– de millones los ataques informáticos a organizaciones de todo tipo con el fin de extraer grandes volúmenes de información sensible o incluso dinero. Ocurrió hace poco en el Ejército, en el Ministerio de Justicia, en el Poder Judicial, en ENAP, en el Banco de Chile, en tiendas comerciales y más. Los sistemas de seguridad fallas y así como hay quienes intentan vulnerarlos de manera ilegal, están también quienes rastrean las fallas y buscan generar defensas. ¿Qué está fallando, qué tan expuestos estamos y cómo defenderse? Las respuestas en esta entrevista con el especialista en ciberseguridad Christopher Oporto, Technical Lead en seguridad de la empresa Red Sentry.
Red Sentry es una empresa internacional dedicada a la seguridad informática. Desarrollan softwares que sirven para que compañías o personas puedan tomar acciones antes de ser atacadas por un hacker.
Son hackers, pero actúan de manera legal y autorizada, pues entre los servicios que prestan está la realización de pruebas a los sistemas de seguridad de sus clientes, como si fueran detectives, para encontrar de manera más directa y rápida las falencias en los sistemas.
No son la única empresa ni los únicos dedicados a este rubro, pues las necesidades de ciberseguridad son cada vez más demandadas y esenciales para todo tipo de organizaciones: pequeñas, grandes, públicas y privadas.
Lo que ocurrió hace unas semanas con el ataque masivo que sufrió el Estado Mayor Conjunto es una muestra de ello. La filtración ilegal expuso más de 400 mil correos electrónicos del área de Defensa, una de las más sensibles de un país, y formó parte de un hackeo a gran escala por parte de un grupo llamado Guacamaya Leaks, que no sólo vulneró los sistemas de las Fuerzas Armadas chilenas, sino también en México, Colombia, El Salvador y Perú.
También está el hackeo al Ministerio de Justicia, con el que cerca de 384 mil correos electrónicos fueron comprometidos. En ellos se encontraba información personal y privada de menores del Sename, entre otros datos sensibles, según dio cuenta un reportaje de CIPER. Pero hay también casos previos: en los últimos años distintos bancos han sido víctimas de ataques cibernéticos, tiendas comerciales, también el Poder Judicial, y empresas de todo tipo, incluyendo algunas del Estado, como ENAP.
Esto hace cuestionar sobre la ciberseguridad con la que operan los entes del Gobierno, de las Fuerzas Armadas y, en definitiva, de todos los actores que manejan grandes volúmenes de datos sensibles y qué tan protegidos están ante ataques de hackers. Mal que mal, son cientos de millones los ataques que se realizan en Chile al año. Según reportó el año pasado el Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT), sólo entre enero y marzo de 2021 fueron más de 410 millones.
Debido a lo anterior, surgen varias interrogantes: ¿cómo pueden las empresas, o incluso uno mismo, defenderse de estos ataques? ¿Cómo se ejecutan estos hackeos? Si hackearon al ministerio, ¿me pueden hackear a mí? ¿Qué tan seguro es colocar mis datos en una página de internet? Puroperiodismo conversó con Cristopher Oporto, Technical Lead en seguridad de Red Sentry, quien explica en la siguiente entrevista cómo son operan los sistemas de seguridad y cómo evitar caer en fraudes o robos mediante la extracción de datos personales.
–Respecto a los ataques que se han dado a conocer en el último tiempo a organismos públicos y también privados, ¿cómo se efectúan los ataques cibernéticos y que clase de ataques existen?
Hay muchas formas. Se abren vectores de posibles explotaciones de seguridad y que van desde cosas súper amplias, como la ingeniería social que es, básicamente, hacerse “amigo” de una persona que tiene mucha información y robársela. Por ejemplo, en estas aplicaciones de citas se crea a una persona ficticia y ésta interactúa con mucha gente hasta sacarle sus datos y terminar vaciando sus cuentas bancarias. También está el phishing, que es enviar un enlace que pareciera ser auténtico, pero que termina siendo fraudulento y terminan robando tus datos, ya sea de alguna plataforma o tu dinero. Lo otro vendría a ser un poco más tecnológico, donde se investiga toda la superficie tecnológica que una compañía expone a la internet pública y, con eso, se analizan todos los posibles puertos abiertos que tenga esa superficie y también la tecnología que estos tengan. Sabiendo que puertos están abiertos, se pueden atacar estas diferentes tecnologías.
Aquí entran en efecto los Exploits o los CVE (Common Vulnerabilities and Exposures) que es una documentación de una vulnerabilidad, esto quiere decir que en una tecnología dada se encontró un posible agujero de seguridad, pero eso tampoco quiere decir que ese agujero se pueda explotar. Ya que se puede prever con algún Firewall o un parche de seguridad. Los Exploits en sí son la prueba de que la plataforma que se expone realmente tiene problemas de seguridad. Un exploit ejecutado implica que se puede utilizar ventajosamente este agujero para una actividad no permitida.
–Desde una mirada más empresarial, ¿cómo se trabajaría esta seguridad?
Esto se trabajaría con dos equipos: un red team y blue team. El red team tiene estrategias de seguridad ofensiva: son los que analizan toda la superficie que se expone, las aplicaciones que la plataforma esta utilizando o desarrollando, para hacer explotaciones de seguridad. En resumen, hacen pruebas constantes para saber si se permite acceder a la base de datos. Y el blue team trabaja desde la perspectiva defensiva. Están atentos a todos los agujeros de seguridad que son informados y poder instalar los parches de seguridad que sean necesarios, alertar sobre información que no debería de estar expuesta, restringir dominios, etc. Para hacer esto, las empresas usan plataformas especiales, conocidas como Bug Bountys Companys (cazadores de recompensas de seguridad), que consta en que una empresa ponga su información y ofrecen dinero, para que hackers éticos e independientes analicen su seguridad y reportar las fallas que éstas tengan. Estas mismas plataformas están desarrolladas por hackers que ofrecen sus servicios.
–¿Cuál es la diferencia entre tener un equipo propio de hackers que revisen tu sistema de seguridad y optar por estas plataformas de recompensas o que están automatizadas?
Quizás la diferencia sería el nivel de conocimiento que tienen cada uno de los grupos, ya que para crear una plataforma se requiere mucho conocimiento, pero también el interés de hacerlo. Si bien no todas las personas creen en las plataformas automatizadas, ya que hay gente que ve el hacking como un arte, y en parte lo es. Porque no solo es tener la información y entendimiento del área, sino que también hay que tener creatividad para innovar, para saber de qué manera se pueden vulnerar los sistemas y cómo protegerlos.
–Respecto a compañías, empresas u otro tipo de organizaciones que contienen un alto flujo de datos, ¿cómo preparan la seguridad ante algún posible ataque?
Bueno, esto se puede analizar de dos perspectivas: la tecnología habilitadora que absorbe todo este flujo de datos y la seguridad que se plantea para evitar cualquier vulnerabilidad. Una empresa que sabe que durante cierto periodo tendrá mucha carga de datos, se prepara habilitando más servidores para dar abasto, para que no ocurra una sobre carga y los servidores se caigan. Pero si lo ves desde la perspectiva de un hacker malicioso, es la oportunidad para acceder y hacer muchas pruebas, ya que las empresas esperan tener mucha carga. De todas maneras, se puede usar como medida paliativa la cantidad de flujo de los usuarios en promedio, y si uno esta por sobre el promedio constantemente, se le bloquea el acceso.
–¿Pero esa acción se hace forma previa o reactiva a una vulneración de los sistemas?
La seguridad debería estar resuelta desde antes de que se produzca la sobrecarga de usuarios. No como en el caso del área de tecnología, en la cual hay que tener a los equipos chequeando los flujos y habilitando la capacidad de acceso cuando sea necesaria.
Nivel usuario
–Una persona común y corriente que está expuesta a un posible ataque y robo de datos, ¿de qué manera se podría proteger?
Lo principal es que no coloque sus datos en cualquier sitio. Lo otro es tener cuidado con hacer click en cualquier enlace que te manden por mensajes, correos, mails, etc. Lo que uno podría hacer es colocar el ratón sobre el enlace y el mismo navegador te dice dónde te mandará, ya que el texto puede decir algo y otra cosa es dónde está ubicado. Otra forma es copiar el URL del enlace y leerla en algún documento de texto, para saber si apunta a la pagina que quieres, puesto que muchas veces se utilizan dominios muy parecidos. Un ejemplo es la ruta diga “El Banco de Chile”, en vez de “Banco de Chile”. Al ser un cambio muy pequeño, la gente no se da cuenta. Lo otro es que, si vas a utilizar una plataforma que no conoces mucho, investigar sobre esta, si es confiable y segura.
–En el último tiempo, en el plano nacional, se han vivido varios incidentes en el área de ciberseguridad. ¿Por qué cree que pasó esto?
Creo que esto ocurrió porque los equipos donde estaba recopilada la información no tenían sus sistemas de seguridad bien actualizados. Aquí es donde entran los blue teams, que son los defensivos, puesto que son éstos son los que se deben de encargar de mantener todos los parches de seguridad al día. Una poca mantención en la seguridad deja una puerta abierta a que la información quede expuesta.