«Un ciberataque no es sólo un problema técnico»
Los ciberataques contra Gobiernos y dependencias oficiales son cada vez más comunes. Por mencionar sólo un puñado de casos, esta semana, el PAMI tuvo que dar de baja sus servicios online por un ransomware, un tipo de virus que encripta información para pedir un rescate a cambio. Hace dos meses, INTA y ANMAT también fueron atacados. Y el Senado de la Nación sufrió el año pasado una filtración masiva de documentos internos.
Los datos son contundentes: empresas de análisis de amenazas como CheckPoint Research arrojan cifras superiores a años anteriores. En su reciente Informe Global de Ciberataques, publicado durante el segundo trimestre de 2023, se detectó que los ataques semanales crecieron un 8% con respecto al mismo periodo del año anterior. Sólo tomando en cuenta las detecciones de CheckPoint, esto significa que hay 1.258 ciberataques por semana.
Debido a este preocupante panorama, diversos organismos intentan brindar herramientas: no sólo Argentina, sino muchos gobiernos, no están preparados para un ataque informático.
“Uno de los problemas es que todo lo que es ciberamenazas no se toma lo suficientemente en serio en términos de recursos y prioridad. Muchos altos funcionarios del Gobierno dicen ‘¿Delitos cibernéticos? Yo no entiendo nada de eso’. Y la realidad es que no tenés que ser un experto o un programador para comprender los costos que pueden costar el delito cibernético y la seguridad cibernética”, explica Chris Painter, presidente de la “Global Forum on Cyber Expertise” (GFCE), una entidad creada en 2015 y con sede en La Haya, Países Bajos, para asistir a entidades en contra de ciberataques.
“El desafío es que algunos países no tienen las instituciones para enfrentar estos problemas, no tienen agentes de la ley capacitados y mucho menos un equipo de respuesta a emergencias informáticas a nivel nacional: no tienen una estrategia nacional y no están organizados”, agrega.
Painter participó esta semana de la Segunda Conferencia Cumbre de Asuntos Cibernéticos, una convención que tuvo lugar miércoles y jueves en la UCA (Puerto Madero), donde expertos de diversos ámbitos oficiales, con fuerte presencia del Ministerio de Seguridad de la Nación y Fuerzas de Seguridad, expusieron en torno a problemáticas relacionadas a ciberseguridad.
El experto tiene una carrera prolífica de 32 años el rubro, desde distintos puestos: de formación abogado, llegó a ser fiscal federal de Los Ángeles y se especializó en delitos cibernéticos. Por esto, procesó a Kevin Mitnick, para muchos “el hacker más famoso del mundo” -que murió hace unas 2 semanas-. Además, fue quién recibió los primeros casos de manipulaciones en precios de acciones y enjuició a Mafia Boy, un adolescente que ejecutó uno de los primeros ataques de denegación de servicios.
Más tarde fue subdirector adjunto de la División Cibernética del FBI, para luego saltar a la Casa Blanca, bajo la administración de Barack Obama, para construir una política de ciberseguridad. En la actualidad se focaliza de lleno en la GFCE.
Habló con Clarín.
Una entidad para ayudar a los Gobiernos
─¿Qué hace el GFCE?
─Una de las cosas que detectamos a lo largo de los años en mi carrera, y creo que otros también lo han hecho, es que muchos países necesitan ayuda para prepararse para el delito cibernético. Esto se está convirtiendo en un gran problema: ya es una cuestión política, de seguridad y económica. Pero muchos países no saben a dónde acudir en busca de ayuda. Entonces, el Foro Global sobre Experiencia Cibernética se creó para reunir a los países, la sociedad civil y el sector privado, en lo que llamamos un “enfoque de múltiples partes interesadas”, porque ninguna de esas personas puede hacerlo todo para colaborar y coordinar el desarrollo de capacidades.
─¿Cómo trabajan, concretamente?
─Trabajamos en áreas particulares como el delito cibernético, la capacitación y la conciencia de seguridad cibernética. Creamos grupos de trabajo en torno a eso. Tenemos un portal llamado Portal Civil donde hay más de 800 recursos de “mejores prácticas” diferentes. Está disponible públicamente para la gente.
─¿Qué es lo que suele faltarles a los Gobiernos en materia de ciberseguridad?
─Tener una estrategia nacional. Ahí es donde más tenemos que intervenir, ayudándoles con eso como primer paso, dando soporte para tener un equipo de respuesta a emergencias informáticas a nivel nacional, ayudándoles a tener leyes de delitos cibernéticos. Ayudamos a los países a diseñar estos programas y compartir información.
─En Estados Unidos es muy activa la CISA, la Agencia de Seguridad de Infraestructura y Ciberseguridad. ¿Es un camino a seguir?
─En mi experiencia, cada país está organizado de manera diferente y no hay una solución universal. Trabajé en la Casa Blanca y coordinamos todas las diferentes agencias, Departamento de Seguridad Nacional, de Justicia y de Estado y del Congreso. Lo más importante es que todas esas agencias cooperen y trabajen juntas. Un ciberataque no es sólo un problema técnico: es un tema más amplio y creo que los países que entienden esto han hecho muchos avances en los últimos años.
La situación actual del ransomware
─Hace unos años sólo los expertos sabían qué era un ransomware. ¿Cambió eso este último tiempo?
─Una de las cosas que hice aparte del Foro Global es que fui copresidente de un grupo de trabajo de investigación sobre ransomware cuyo informe salió una semana antes del gran ataque contra Colonial Pipeline en los Estados Unidos (IST, ver acá). Eso fue algo que sacudió a la industria, porque cuando la gente no podía conseguir combustible, cuando los hospitales se quedaban sin energía y demás casos, eso lo convierte en un problema mucho más tangible: deja de ser etéreo, aparece en titulares de diarios y la gente toma más conciencia de este problema extorsivo.
─Las industrias, explican expertos, están muy por detrás en cuanto a seguridad informática. ¿Qué se sabe de esto?
─Sí, el sector de la industria (OT, Operational Technology) suele manejarse con sistemas muy antiguos y esto es muy peligroso porque manejan infraestructura crítica y se llama así por una razón: la vida es mucho más difícil sin ella. Y los ciberdelincuentes lo saben. Incluso las pequeñas vulnerabilidades son aprovechadas por hackers muy inteligentes. Hay un detalle que no es menor: la gran mayoría de los ataques de ransomware explotan vulnerabilidades ya conocidas. Esto significa que existen parches de seguridad, pero los usuarios no los aplican.
─¿Por qué?
─Porque no se aplica la “ciberhigiene” básica. Es importante hacer esa higiene cibernética básica, pero también es importante modernizar nuestros sistemas para asegurarnos de que tenemos el control de la situación. Tenemos muchos sistemas que todavía son muy vulnerables a vulnerabilidades ya reportadas.
─Diversos relevamientos han detectado una tendencia extraña: los pagos de rescates de ransomware están bajando, pero la cantidad de ataques crece. ¿Cómo leés esto?
─He visto los informes sobre los pagos de ransomware disminuyendo. Pero una de las cosas que diría es que no sabemos del todo qué es lo que sucede. Son cifras subrepresentadas: mucha gente todavía no denuncia estos ataques, están preocupados y simplemente pagan el rescate y continúan. Y corren el riesgo de volver a caer presos de un grupo extorsivo. A decir verdad, no sé si todavía tenemos la imagen completa.
─¿Ha habido avances contra los grupos de ransomware o siguen siempre un paso adelante?
─Hemos dado algunos pasos en los últimos dos años. Para perseguir a estos grupos, Estados Unidos ha desmantelado grupos [como Hive a principios de año], ha emitido sanciones, ha limitado a otros países, porque algunos de los actores de ransomware están en naciones que no cooperan. Se ha transformado en una prioridad de los últimos dos años, así que creo que eso es útil.
─El grupo cibercriminal Clop ya logró afectar a 590 organizaciones y casi 40 millones de individuos, según Emsisoft.
─Precisamente por estos datos es que esto tiene que ser una prioridad para los próximos 5 o 10 años. Vamos a hacer cosas para ponérselo más difícil a los criminales. Ellos recurrirán a otros recursos, están continuamente elevando la vara.
─“La presa se tiene que escapar todos los días, el cazador tiene que atraparla sólo una vez”, dicen.
─Exacto: ese es el problema de la ofensiva y la defensa, que tenés que pagar una buena defensa todo el tiempo, pero solo tenés que jugar un poco a una buena ofensiva para ser exitoso. Y eso es una preocupación.
─¿Cuál dirías que es el desafío más grande, a nivel global, para el trabajo de la GFCE?
─Vuelvo a esta preocupación de la cooperación. Considerando que hay países que no cooperan en la persecución del ciberdelito, esto es una traba. Algunos países simplemente no están dispuestos, ya sea por política o porque están implicados en casos de corrupción, o quién sabe. Pero están proporcionando un refugio seguro para los cibercriminales y esto permite que actúen con impunidad. Sobre todo porque quizás hoy no te estén atacando, pero están atacando a los demás y, eventualmente, irán por vos.
Posible Fuente