EscucharHay un lado luminoso de la “Fuerza” alineada al bien y la curación, según la filosofía Jedi en la Guerra de las Galaxias. Otro es el lado oscuro, alineado con el miedo y la agresión. En ciberseguridad los bandos utilizan las mismas herramientas en su enfrentamiento.
A Erick Múñoz, profesor de tecnología de información de la Universidad Latinoamericana de Ciencia y Tecnología (Ulacit), le gusta aprovechar la metáfora de la franquicia de películas para ejemplificar las fuerzas en conflicto en el universo de Internet. A él le bastó utilizar una de las herramientas de la comunidad llamada Kali Linux —el mapeador de redes o NMAP, que descubre vulnerabilidades y determina la topología de un sitio o sistema— para evaluar la situación de una muestra de 10 sitios web.
Revisó las páginas electrónicas de varias instituciones públicas, incluyendo algunas municipalidades, y de empresas privadas de Costa Rica. Encontró dos con problemas de actualización de sistemas. Uno de ellos, además, tenía una vulnerabilidad conocida como Stack Buffer Overflow, que es causada por la inserción de datos con tamaño superior al esperado, lo que provoca un error en el sistema y lo deja fuera de servicio.
“Son vulnerabilidades que un cracker (término utilizado para describir a ciberdelincuentes) podría aprovechar”, afirmó Muñoz.
Las empresas e instituciones deben madurar en materia de ciberseguridad para proteger la información y la operación de sus sistemas y servicios, así como los datos de los clientes y proveedores. Un estudio de la Promotora de Comercio Exterior (Procomer) determinó que la mayoría de las compañías invierten en sistemas básicos, pero no tanto en soluciones de ciberseguridad para enfrentar el tipo de ataques informáticos que se reciben en la actualidad.
En Costa Rica la problemática de la ciberseguridad adquirió relevancia con el ataque a los sistemas del Ministerio de Hacienda desde el 17 de abril anterior por parte del grupo Conti, que había abarcado 26 instituciones más. Los ataques no se detienen.
Este martes 31 de mayo, la Caja Costarricense de Seguro Social (CCSS) informó que durante la madrugada fueron atacados sus sistemas, por lo que de manera preventiva se desactivaron las plataformas, incluyendo el Expediente Digital Único en Salud (EDUS). En horas de esta mañana se reporta afectación en la atención de pacientes en los servicios hospitalarios. Los hospitales y clínicas indican que están recurriendo a expedientes de papel. Una situación similar se produce, desde la semana anterior en Navarra, España.
En esa región española, un ciberataque procedente de un servidor ubicado en Lituania (Hive y Cobalt Strike) contra una empresa pública que gestiona los servicios en línea de las instituciones regionales provocó la caída del correo electrónico, las webs municipales o las sedes electrónicas de 172 entidades. “En la práctica han vuelto a trabajar como en los años noventa, en papel”, informó el diario español El País.
El que no quiere ver
El reporte de Procomer indica que en 2020 en Costa Rica en una hora hay casi 23.000 ataques a empresas e instituciones y que cada 10 segundos se registran pérdidas de casi $2 millones.
Según Juan Baby, hacker ético y experto en ciberseguridad israelí, el promedio de tiempo de recuperación para una empresa que sufrió un ataque de ransomware es de 23 días, tiempo durante el cual deberá operar sin sistemas informáticos. Los ransomware, como el de Conti, encriptan la información y la extraen con fines extorsivos. Una cuarta parte de los ataques en la región son de este tipo.
La situación amerita atención y actuar proactivamente, cerrando las puertas por dónde pueden ingresar los ciberdelincuentes. Alberto Porras, socio director de la firma Baker Tilly Costa Rica, dijo que la prevención en la actualidad es la mejor forma de minimizar los riesgos de sufrir un ciberataque.
La firma organizó, en conjunto con la Cámara de Industria y Comercio de México (Cicomex), varios eventos para los próximos 6 (Ataques ransomware), 8, 9 y 10 (El lado oscuro de la red) y 13, 14 y 15 de junio (Hacking puro). Este último muestra cómo explorar, probar, hackear, y asegurar los propios sistemas.
El hackeo ético, precisamente, permite descubrir las vulnerabilidades existentes. Se trata de una metodología que, apoyándose en un profesional de informática, establece el objetivo de una prueba de fuerza realiza un inventario de los equipos y dispositivos conectados, detecta las vulnerabilidades y analiza el potencial peligro.
Una vez detectadas las vulnerabilidades, se procede a resolverlas. Posteriormente la empresa o institución debe mantener un monitoreo permanente. Estas acciones deben completarse con un plan de ciberseguridad y de continuidad de negocios.
Las personas contratadas para un hackeo ético utilizan las mismas herramientas (se dispone de más de un centenar y sin costo solo en Kali Linux) que los ciberdelincuentes, para descubrir puertas abiertas. La diferencia es que mientras éstos aprovechan ese portillo para inyectar o introducir un código malicioso, los hackers éticos indican cuáles medidas adoptar.
Hay herramientas para redes inalámbricas wifi, ingeniería de reversa (donde se desglosan los componentes del sistema) o de exploración del sistema operativo. Por ejemplo, Sniffing & Spoofing facilita descubrir redes que no están encriptadas y con las cuales un ciberdelincuente puede captar, así como ver la información y las conversaciones. Precisamente, este tipo de peligros llevó a WhatsApp a establecer un canal encriptado.
Con un dispositivo del tamaño de una moneda, llamado analizador, un ciberdelincuente puede determinar los teléfonos móviles y otros equipos conectados en una red wifi de una empresa o institución, analizar los datos obtenidos y definir víctimas u objetivos de fraude electrónico. Múñoz dijo que los analizadores tienen una batería para varios meses y que, cuando está por agotarse, realiza una sobrecarga que lo inutiliza.
Mientras un cracker o ciberdelincuente (también conocido como hacker) utiliza esas herramientas para descubrir la vulnerabilidad y atacar, el hacker ético lo hace para que la empresa conozca los portillos que tiene y los cierre. En este ejercicio se puede ir un poco más allá.
Un ejemplo es la vulnerabilidad es conocida como Cross Site Scripting (XSS), que conduce al usuario —que digitó correctamente una dirección electrónica o URL de un sitio— hacia uno fraudulento y sin darse cuenta entregar sus credenciales.
Múñoz, de Ulacit, recomienda establecer dos equipos, uno ofensivo y otro defensivo, para que desempeñen un juego de roles, donde a los primeros les corresponde descubrir las vulnerabilidades y los segundos intentan detener el ataque.
Las empresas pueden aprovechar programas tipo EDR (End-Point Detection and Response) para detectar anomalías, implementar cambios de forma de trabajo y en la red de la empresa, a partir de la identificación de posibles vectores de infección y acciones puntuales, y filtrar —a través de un Proxy— los sitios web.
¿Es imposible enfrentarse a los ciberdelincuentes? Con la implementación de herramientas básicas y sofisticadas de protección, la educación de los usuarios y metodologías de hackeo ético para identificar y solucionar vulnerabilidades, por ejemplo, puede aprovechar el poder de la Fuerza, creando un campo o escudo, para proteger su negocio.
