Y si llegan a hackear los computadores en nuestras casas, "podríamos vernos en problemas, ya que si hay datos confidenciales, pueden hacer mal uso de ellos, y aunque no tengamos nada importante, los podrían utilizar como base de lanzamiento para atacar a otros computadores o a un banco", por ejemplo.

"No solo las empresas y los bancos son vulnerables, sino que nosotros mismos. Un ciberataque puede arruinar nuestra información y trabajo de toda una vida, si no ha sido debidamente respaldado o incluso nuestra reputación si somos atacados con fake o deep fake news", complementa el senador Kenneth Pugh. "Las personas somos la primera y la última línea de defensa en ciberseguridad, lo que requiere de una nueva cultura", puntualiza.

Programas maliciosos y vulnerabilidades

Respecto de los 10 días que habría estado el virus en los sistemas de BancoEstado antes de ser detectado, el profesor Seguel estima como perfectamente posible una permanencia de esa extensión y no descarta que pueda haber estado desde mucho antes.

"El mayor problema de las organizaciones hoy en día son los tipos de 'amenaza persistente avanzada' o APT. El malware -programa dañino- se aloja en algún dispositivo vulnerable y comienza a buscar otros dispositivos en la red de la organización por donde diseminarse sin ser detectado por algún control de seguridad digital", como un antivirus convencional, "cortafuegos" o herramientas de detección de intrusiones o control de acceso a redes, expone.

"Para diseminarse y no ser detectados utilizan escalamiento horizontal con usuarios y tráfico válidos que los controles de red dejan pasar hasta que logran escalar permisos con cuentas de usuarios privilegiados válidos. El origen del problema es la vulnerabilidad explotada por el malware que puede ser conocida o desconocida (zero-day). En el caso del BancoEstado, la vulnerabilidad RDP (Remote Desktop Protocol, o Protocolo de Escritorio Remoto), existía desde 2018, no era zero-day. Claramente, el aumento del teletrabajo por la pandemia produjo que algunos controles no hayan sido reforzados cuando se habilitaron los accesos para dar continuidad de las operaciones", añade el docente de la UAI, quien recuerda que ese tipo de fallas de procedimientos ocurren frecuentemente, como sucedió con el data breach -violación de datos- que afectó a Equifax el 2017, Banco de Chile 2018 y Marriot en 2019 y 2020.

El profesor Mercado complementa señalando que, según la información que se maneja, en el caso de BancoEstad se trataría de un ransomware -software malicioso que permite bloquear remotamente un dispositivo y tomar el control de la información almacenada- llamado Sodinokibi, "que se caracteriza por ser polimorfo, o sea, cambia, ya que al instalarse se encripta con claves distintas. Entonces es muy difícil de detectar, porque generalmente los sistemas de seguridad y los antivirus, lo que hacen es buscar patrones, una firma con la cual los detecta", cosa que aquí no ocurre.

Dice que en la mayoría de los casos, por no decir en todos, "lo que hacen los malware es explotar vulnerabilidades de los equipos. Vulnerabilidades, porque los programas tienen fallas que se aprovechan para ingresar al sistema". Cuando esas deficiencias se detectan se instalan actualizaciones que conllevan soluciones. "Son muy pocos los virus que usan vulnerabilidades 'día cero', más bien hacen uso de vulnerabilidades conocidas. De hecho, una de las formas de propagación que tenía este virus, hacía referencia a una vulnerabilidad de Microsoft del 2018. Muchas veces estos problemas ocurren por no tener actualizaciones en los equipos. Hay que estar permanentemente actualizando, y se deben tener clarísimos los protocolos a seguir en caso de vulnerabilidades".

¿gasto en tecnología o inversión?

Después de los ciberataques conocidos en el país, cabía esperar un mayor blindaje, sobre todo en el ámbito financiero. No necesariamente ha sido así, refieren los expertos.

"Las grandes empresas en Chile, sobre todo el sector financiero y otras instituciones reguladas por superintendencias, han invertido en seguridad de la información hace más de 20 años. Sin embargo, ha sido un camino difícil porque aún los directorios y la alta gerencia lo ven como un gasto de tecnología y no una inversión para reducir los riesgos de exposición a un ataque que les haría perder por lejos mucho más dinero", plantea Ricardo Seguel.

Haciendo un ejercicio simple, recalca, "hay un costo de imagen corporativa y reputacional, más miles de horas humanas dedicadas a responder y recuperar la infraestructura y servicios fuera de línea, miles de transacciones de usuarios que no pudieron ser realizadas, miles de horas de consultoría y auditoría extras, miles de horas para reforzar los programas de educación y sensibilización, más pagos de demandas, multas y primas de seguros".

Agrega que aun cuando BancoEstado ha invertido más de 20 millones de dólares en los últimos años en ciberseguridad, el ataque sufrido demostró que una brecha de seguridad la puede sufrir cualquiera que haya invertido mucho o nada en ciberseguridad. Lo destacable, remarca, "es que estaban preparados y pudieron responder a la contingencia y recuperar la operación en sólo días, mientras que en otras empresas, ataques similares los han tenido fuera de operación por varias semanas".

"estamos perdiendo por goleada"

Iván Mercado hacer ver que en Chile "el gasto de las empresas en ciberseguridad está muy por debajo de otros países, sobre todo si nos comparamos con la OCDE". Pero plantea igualmente que políticas adecuadas no implican sólo contar con los recursos tecnológicos para prevenir ciberataques, "sino también pasan por el conocimiento, el entrenamiento y la educación de las personas que trabajan en el manejo de estos programas dentro de la organización".

El senador Kenneth Pugh, quien propuso la creación en Valparaíso del Instituto Nacional de Ciberseguridad y sostiene que la zona tiene talento para convertirse en la capital de la ciberseguridad del Pacífico Sur, opina que hay que crear conciencia "primero en nuestras autoridades y líderes, y entender que este no es un tema de ciencia ficción. Chile avanza rápidamente en digitalización, con nuevos cables de fibra óptica y licitando incluso las tecnologías de comunicaciones inteligentes de quinta generación (5G), pero no hace esfuerzos de igual magnitud en ciberseguridad, poniendo en riesgo a todo el sistema, incluyendo al estado, las empresas y las personas. Por eso es tan importante por ejemplo que en los directorios de gobiernos corporativos existan expertos en ciberseguridad".

Más importante aún "es crear talento ciber nacional y generar conocimiento que permita incluso desarrollar una industria nacional, la de la ciberseguridad. Haciendo un símil con el fútbol, estamos perdiendo por goleada. Debemos reclutar a los mejores y si es necesario, traer algunos jugadores extranjeros, entrenarlos y competir para ser los mejores, con una buena defensa y con todos al arco".

En lo normativo, refiere, la Política Nacional de Ciberseguridad de 2017, si bien identifica los cinco objetivos nacionales y señala 43 acciones necesarias, "no especifica un cronograma o carta Gantt, propios de un plan, como tampoco un modelo de madurez para establecer métricas, esencial en una estrategia nacional".

Pero estima que en lo legislativo se ha avanzado, por ejemplo, en la tramitación de los proyectos de ley de protección de datos personales, y de delitos informáticos, que incorpora elementos para perseguir el cibercrimen transnacional, aunque está pendiente una nueva ley que cree el Sistema Nacional de Ciberseguridad, que dé facultades a una autoridad nacional y disponga las coordinaciones necesarias para proteger los activos de información del Estado y la infraestructura crítica nacional.

Esquiva arquitectura de seguridad

Para el jefe de Estudios en Seguridad y Defensa de AthenaLab, John Griffiths, la ciberseguridad constituye una dimensión dentro de una arquitectura de seguridad más amplia, que el país no ha adoptado aún. "El ataque que en su momento sufrió el Banco de Chile fue un campanazo de alerta que obligó al Estado a adoptar algunas medidas en este ámbito, las que se han ido implementando de a poco, aunque no con el dinamismo que se esperaría", sostiene.

Se declara "convencido de que en la medida que Chile no tenga esa arquitectura, que involucre no sólo al Estado, sino también a los privados y a la sociedad en general, no vamos a tener mejores niveles de seguridad". Lamentablemente, dice, los países reaccionan cuando enfrentan grandes problemas. "Lo ocurrido en BancoEstado fue un segundo campanazo, pero ¿vamos a necesitar un colapso cibernético para reaccionar?".

El experto opina que "el país está en una coyuntura especial, y me atrevería a sugerir que se aborde la arquitectura de seguridad que requiere. En ella, sin lugar a dudas, la ciberseguridad tiene una relevancia importante, pero junto con eso el resto de los fenómenos que nos pueden afectar, como esta misma pandemia", para lo cual "hay que empezar a preparar ahora a las personas y cuadros profesionales que se van a requerir, porque eso toma años".

También menciona que distintos países han resuelto formar esas estructuras tras sufrir graves ataques. "Estados Unidos lo hizo después de Pearl Harbor; Gran Bretaña, en 2010, tras los atentados terroristas, al igual que España en 2011", y llama a aprender de lo que está ocurriendo. Ejemplifica con el ciberataque de que fue blanco en 2010 la planta nuclear en Natanz, Irán, donde un virus - Stuxnet- cambió las temperaturas de las centrifugadoras para enriquecer uranio y destruyó instalaciones físicas. Y se pregunta qué ocurriría en caso de un ataque a infraestructura crítica nacional, como el Sistema Interconectado Central de generación y distribución eléctrica.

John Griffiths hace ver finalmente que Harvard acaba de publicar el Índice de Ciber Poder Nacional 2020, donde el primer puesto lo ocupa Estados Unidos y el décimo, Australia. El único país latinoamericano que figura en los top 30 es Brasil. Y en el número 24. 2

Lo ocurrido en BancoEstado fue un segundo campanazo, pero ¿vamos a necesitar

un colapso cibernético para reaccionar?".

Muchas veces estos problemas ocurren por no tener actualizaciones en los equipos. Hay que estar permanentemente actualizando".

Los sectores más sensibles son los de infraestructura crítica, como empresas de energía, sanitarias, transporte y alimentos".

Ricardo Seguel

Académico UAI

"

"

"

Basta una rápida visita al sitio www.csirt.gob.cl, del Equipo de Respuesta ante Incidentes de Seguridad Informática, para percatarse por ejemplo de cinco alertas de riesgo informático emitidas el miércoles 16 y que se refieren a la activación de portales fraudulentos asociados a dominios que suplantan los sitios web oficiales de Netflix, BancoEstado, Banco Santander y Scotiabank, que podrían servir para robar credenciales de usuarios de esas entidades.

Es parte del trabajo de esa unidad dependiente de la División de Redes y Seguridad Informática del Ministerio del Interior. La sola existencia de esta unidad revela la peligrosidad de los ciberdelincuentes. "Hay bandas que funcionan como una empresa, con hackers contratados para que operen día y noche buscando formas para entrar a la infraestructura de una institución para robarle dinero, información sensible o secretos comerciales. Incluso infiltran las empresas o instituciones públicas con trabajadores que operen dentro para perpretar un ataque de gran escala", refiere el académico Ricardo Seguel, de la UAI, quien agrega que también existen los que actúan solos o en grupos pequeños para realizar robos de dinero, de datos o de claves, y en el otro extremo, "están los grupos de ataque y defensa financiados por un estado y que actúan amparados bajo un régimen de ciberguerra".

El académico Iván Mercado, de la UCV, acota que "en la actualidad podemos ver delincuentes que envían correos electrónicos muy mal hechos, hasta con faltas de ortografía, hasta organizaciones muy bien conformadas, como la del ataque al Banco de Chile, que desde el punto de vista informático fue bastante grande y que debe haber tomado meses y meses de elaboración, así como organizaciones asociadas a países".

Kenneth Pugh: "Los ciberdelincuentes han encontrado una oportunidad para maximizar sus ganancias, dado que el riesgo que enfrentan e incluso la inversión inicial es mucho más baja que otros ilícitos. Persiguen dinero, robando información o credenciales para venderlas o simplemente bloqueando, secuestrando o raptando sistemas para conseguir rescates en criptomonedas. También están los actores estatales que buscan inteligencia de fuentes cerradas, comprobar sus capacidades y probar sus estrategias y armas. El cibercrimen, ciberactivismo y ciberespionaje han cobrado una gran relevancia y exigen al estado, los privados y la sociedad civil entera prepararse para enfrentarlos". 2

El CSIRT DEL MINISTERIO DEL INTERIOR MONITOREA INCIDENTES.

EL MERCURIO