Por qué “el cuento del tío” sigue siendo tan exitoso a la hora de cometer ciberdelitos

En el marco de la Semana de la Seguridad Informática, un experto en ciberseguridad analizó los principales riesgos del entorno digital. Qué precauciones tomar para evitar ser víctima de engaños

Guardar
La ingeniería social suele ser
La ingeniería social suele ser la puerta de entrada de los atacantes (shutterstock)

En el marco de la Semana de la Seguridad Informática, Infobae entrevistó a Claudio Caracciolo, jefe y embajador de seguridad de la compañía ElevenPaths (unidad de ciberseguridad de Telefónica). Durante el encuentro, el experto mostró una simulación en tiempo real de un ataque informático a una PC y a un servidor corporativo.

Lo llevó adelante con una máquina virtual, llamada Kali Linux (una distribución del sistema operativo Linux). Sólo tiene herramientas de hacking, pensadas para personas que trabajan en seguridad.

Durante la entrevista, Caracciolo compartió mitos y verdades en ciberseguridad, errores conceptuales que se suelen cometer y destacó el error humano como una de las causas principales que pueden derivar en un ataque.

Caracciolo, experto en ciberseguridad.
Caracciolo, experto en ciberseguridad.

– El día de la Seguridad Informática nació en 1998. ¿Cómo comenzó todo? 

-Ya en ese momento, el tema de la seguridad informática puntualmente era un problema para muchas empresas, no tanto para las personas. En esa época, la informática no estaba tan metida en la vida cotidiana, si bien ya había gente muy tecnológica, no era como ahora que todo el mundo tiene un teléfono y hace todo por ahí, o desde una tablet. Tampoco eran tan baratas las PC. Pero la seguridad informática ya era un problema. Si hoy analizamos un poco, ya no se habla de seguridad informática, sino de ciberseguridad, o de seguridad de la información, porque también eso evolucionó. Antes la informática era un tema puntual de equipos tecnológicos, de dispositivos electrónicos. Y hoy en día de lo que hablamos es de proteger la información de las personas. Las empresas empezaron a trabajar en seguridad de la información y no en seguridad informática.

– Se complementan… 

-Sí. Seguridad de la información es más que seguridad informática, que hace referencia sólo a lo que está en los equipos. Seguridad  de la información es toda la información: esté en un equipo, en un papel, o en un medio de transmisión. 

– Hay algunos errores conceptuales que se suelen cometer como, por ejemplo, referirse a ciberseguridad como sinónimo de ciberdelito. ¿Podría aclararlo?

El concepto de "ciber" se puso de moda porque suena lindo, entonces todo se llama ciberdelito, ciberdelincuente, ciberatacante, cibervíctima, ciberseguro. La ciberseguridad es un concepto un poco diferente a la seguridad informática o a la seguridad de la información, que es la seguridad más allá de lo que yo controlo, es la seguridad incluso fuera de lo que pasa alrededor mío. Entonces, cuando se habla de ciberdelito, estamos hablando de cometer un delito en particular que está dentro del ámbito "ciber", informático. Pero ciberseguridad no es equivalente a ciberdelito. En ciberseguridad puede ser que yo me proteja de un error involuntario, de otra persona que no quiso cometer un delito sino que, por ejemplo, publicó un documento que no tenía que haber publicado, y lo subió a las redes sociales. La ciberseguridad te ayuda a protegerte, incluso contra debilidades propias, y no solamente contra ataques que hayan generado otros. El delito informático, que lo mencionan muchos como ciberdelito, en la Argentina está penado desde el año 2008, con la Ley 26.388 de delitos informáticos. Lo que hace esa ley es modificar el código penal e incluir los delitos informáticos, como un tipo penal de delito. Hasta ese momento nadie podía ir preso por un delito informático, a partir del 2008, sí. La particularidad es que las penas son muy chicas.  

– ¿Cuál es el gran paso que tienen que dar los usuarios comunes para tomar conciencia?  

-La mayoría de las personas piensa que el tema de la seguridad informática o de la ciberseguridad es un problema de terceros, un problema de empresas.  Decir "yo no tengo nada que me vayan a robar" es lo típico, y es donde empieza el problema. Hay que entender que cualquiera de nosotros somos víctimas. No importa qué tanto sepas, o qué tan poco sepas. Lo importante es que el atacante lo que busca es ganar plata. Si busca ganar plata, busca una víctima fácil y las víctimas se consiguen por descuidos. En la vida diaria, la gente piensa "nadie me va a seguir, nadie me va a molestar", hasta que las cosas pasan. Familias que se separan, chicos que se pelean, novios que discuten… Entonces uno sigue la cuenta del otro, le instala alguna aplicación que bajó de internet para comprometer y escuchar lo que pasa en el teléfono del otro. Y ahí empiezan los problemas. 

Los ciberdelincuentes suelen hacer ataques
Los ciberdelincuentes suelen hacer ataques masivos para obtener dinero de varios usuarios en simultáneo.

-¿Se refiere a la ingeniería social? 

-Sí, usando ingeniería social. Muchos de los ataques que son externos, es decir, que salen del núcleo común de amigos, familia y demás, que son de externos, tienen que ver, por lo general, con robo de contraseñas, con malware, siempre las técnicas son a través de ingeniería social. Te mando un mail de phishing, te mando un SMS, te llamo por teléfono, te mando un WhatsApp. Siempre hay algún punto de enganche, que es la ingeniería social. Y por qué caemos, si sabemos que existe la ingeniería social. Por lo mismo que seguimos cayendo en el cuento del tío. El atacante lo que hace es aggionarse, y actualizar sus técnicas, en base a lo que va pasando. Y nosotros nos quedamos con las protecciones que teníamos hace 20 años atrás. Vos sabés que si alguien viene y te golpea la puerta en tu casa, y te dice, soy de X empresa, vos no le vas abrir, a menos que veas  su camioneta o algo que lo identifique, pero la gente en internet confía. Básicamente es por una actualización, y porque nosotros no estamos atentos, y ése es el engaño mayor. 

-Respecto de los recaudos que se puedan tomar para no ser atacado, ¿cuán importante es contar con un antivirus en el equipo?

-Es muy importante tener soluciones de seguridad en los dispositivos, en teléfonos, tablets, computadoras. Pero no es lo único. Nosotros siempre decimos que la seguridad se trabaja en capas. Siempre que apliques un control, es decir, una solución de software, es un gran control pero debe tener algún punto de debilidad. Y ese punto puede ser una mala configuración, una falla del propio sistema, puede ser que yo no lo sepa usar. Ante eso, va a haber un nuevo problema. Entonces necesito otra protección extra. Entonces, para nuestra vida diaria, la principal protección es la capacitación. Es aprender, es no tenerle miedo a la tecnología. Para una aplicación, un teléfono o un dispositivo X, yo me tengo que preparar y aprender a usarlo. Si me dan Instagram o Snapchat, tengo que ir a la solapa de seguridad y mirar, entender de qué se tratan. 

– ¿Un consejo podría ser, primero, desconfiar? 

-Para mí es difícil porque soy paranoico por naturaleza.  

-¿Tiene tapada la cámara de su computadora? 

-Sí, hace años. Yo no sé si la mejor sociedad que uno quiere es la que sea desconfiada por sí misma, lo que sí hay que ser es precavido. No hay que dejar de ser atento, pero sí hay que tener ciertos cuidados. Entre esos cuidados, si tengo algo nuevo, tengo que buscar las opciones de seguridad primero, como en el auto. Vos te subís a un auto nuevo que compras, y probás el freno, para controlar las distancias de frenado y así. Bueno, esto es parecido. En la aplicación que tengas o el dispositivo, la idea es mirar las opciones de seguridad, y configurarlas.  

-¿Cómo crecieron los incidentes en smartphones en el último tiempo? 

Hay una variable: si uno analiza ataques completos, que sean malware y demás, la mayor cantidad de ataques sigue pasando sobre las PC, es más fácil. Sin embargo, la mayor cantidad de víctimas es a través de teléfonos. Porque, a través de ingeniería social, casos de phishing, de scam (engaños), suceden a través del teléfono y no de la PC. Una desventaja que tenés en el teléfono es que casi nadie pone un antimalware en el celular, es decir un antivirus. Y segundo, los navegadores tienen menos protecciones en el teléfono que en la computadora. Le gente no tiene cómo chequearlo. Una URL en la PC se ve completa, se ve toda la variable de la URL. Esa misma URL, que podrías leer que es falsa, cuando está en un teléfono,  no tenés espacio para verla completa. Es más fácil engañar a un usuario en un teléfono que en una PC.  

– ¿Hay más ataques en Android que en iOS? 

-Sí, por cómo protegen cada uno las plataformas. En el caso de los navegadores es distinto, de hecho el de Apple es peor que el de Android. Pero a nivel ataque del dispositivo, hoy Android sufre más ataques por cómo es la plataforma. Yo hoy, si desarrollo un malware y lo quiero subir a Android, tengo menos controles que si lo quiero subir a Apple. Y además Apple es más caro para subirlo. Entonces, al atacante le conviene invertir en muchas cuentas de Android que en pocas de Apple. 

– ¿Cuál es la infraestructura de prevención de incidentes que debe tener un usuario común? 

-Es importante siempre mantener todos los dispositivos y aplicaciones que usamos actualizadas, con las configuraciones de seguridad implementadas. Además, tener en claro que los delitos existen y que yo los puedo denunciar. Si yo estoy siendo acosado o alguien me roba mis contraseñas, alguien se crea un perfil a nombre mío, y está hablando sobre mí, y me genera algún perjuicio y demás, todo eso se puede denunciar.  Dentro de la policía, existen las unidades específicas, que son las unidades de ciberdelito. Por otro lado, muchos se instalan antivirus pagos pero los instalan crackeados, y es lo mismo que nada. Esos antivirus vienen con malware adentro. Es gracioso porque cuando los analizás, hacen competencia, es decir, te desinstalan la mayoría de los malware pero dejan el de ellos. 

-¿Qué pasa con las empresas? 

-Las compañías tienen que tener un responsable de seguridad, aunque si es una Pyme, tal vez no necesite dedicación exclusiva. Pero sí tiene que estar identificado que dentro de la empresa haya un responsable de seguridad que defina las políticas de seguridad. Es importante tener normativas que cumplir y contar con un plan de acción. Si la empresa es más grande agregaría pruebas periódicas de seguridad y un equipo de respuestas a incidentes, que sepa cómo actuar.  

Una captura de pantalla del
Una captura de pantalla del mensaje que se veía en las computadoras afectadas por WannaCry (AP)

-¿Qué tipos de malware son más comunes hoy? 

Hay mucho malware en los sitios de descarga de software, por ejemplo. Los más comunes que vas a ver en tu PC, cada vez que aparezca una alerta, son los troyanos. El término viene de la guerra de Troya, de algo que viene oculto en otro programa. Por ejemplo, me bajo un juego o el antivirus, lo que sea, y cumple su rol. Tengo el juego, tengo el antivirus, pero además, tengo un programa que hace otra cosa, y yo no lo veo, está de fondo. Eso es un troyano. Ese troyano, los que vemos normalmente, son para robar información, para sacar datos o para darle acceso completo a un tercero a tu equipo. Si está bien hecho, no te deberías dar cuenta.  

En la década del 90, uno se daba cuenta… 

En los 90, la idea era molestar, ahora la idea es robar. Si yo te robo y te diste cuenta, no me vas a dejar robarte mucho.  

-¿Y el ransomware? 

El ransomware es el malware más común hoy en día. Está claro el porqué. El objetivo de los atacantes de los 90 era molestar o mostrar orgullo, peleas de egos. Hoy el atacante, lo que quiere es plata. La forma más fácil de obtener dinero es robándole poca plata a mucha gente, en vez de que mucha plata salga de un solo lugar. Si yo le quiero robar a un banco, el banco tiene equipos de seguridad, de respuestas de incidentes, inversión, un plan de acción entero, convenios con las fuerzas de seguridad, tiene dónde denunciar, tiene un grupo de abogados. Tiene el juego armado. Ahora bien, si yo te robo USD 200 a vos, seguro no tenés nada de todo eso, y si es el negocio de la esquina que vende autos o lo que sea, tampoco. El atacante lo que busca es lo más rápido y el ransomware lo que fomenta es eso. 

-¿La mayoría de los usuarios comunes afectados están accediendo a pagar? 

-Hay pocas estadísticas, las hay; pero hay poco estadísticas confiables, como para saber si son la mayoría. Pero hay mucha gente que paga.

-Respecto de WannaCry, ustedes conocen bien ese ransomware porque los afectó. ¿Cómo hicieron las grandes corporaciones para escapar? 

-En la grandes corporaciones es más fácil, aunque parezca un caos y además, una cosa es lo que realmente sucede y otra es lo que realmente pasa o se comunica. Cuando acá ocurrió ese incidente, la afectación real fue muy baja. Lo que termina pasando es que se comunica el accionar que es parte del protocolo de actuación. Pero de información no se pierde nada, hay backups, hay sistemas de protección, entonces la información no se perdió. Afecta más a las Pymes en ese caso, que no tienen nada de todo esto implementado, entonces casi siempre pierden todo. El problema con los ransomware es que hay algunos que se pueden recuperar pero la mayoría no. Cuando se cifra la información, a menos que pagues, no tenés forma de recuperar esa información. 

-¿Hay alguna forma de que el atacante vea la información que la víctima tiene cifrada? 

-La información no sale, se cifra dentro del equipo, no sale nunca de tu equipo. El atacante la cifra pero no accede. Cuando usa  un ransomware se distribuye masivamente. Vos lo que hacés es ejecutar un archivo y toda tu computadora se cifra, toda, por completo. Se genera dentro de tu computadora. Cuando vos te comunicás con él, le das ese código, y él, por una tabla, dice "este código corresponde a esta clave" pero no tiene ningún archivo. Lo único que hace es darte la clave si pagás. Y ponés esa clave, te descrifa todo de vuelta. Hay atacantes que te dan la clave, vos la ponés y funciona, y hay atacantes que no te dan la clave. 

– Existe "ciberparanoia" y el temor general del usuario que dice "me van a robar las contraseñas". ¿Cuán real es esto? 

La mayoría piensa que el atacante se pone a pensar cuál es la fecha de tu cumpleaños para robarte la contraseña, o se ponen a pensar qué número pudiste haber puesto. Y hay herramientas para eso. Cuando tengo que usar una herramienta para probar la seguridad de alguien, o si tengo que analizar las contraseñas de alguien, no me pongo a pensar por cada una de las posibles víctimas.  Eso pasa en las películas. La realidad es que se usa un programa que prueba un diccionario de letras, de palabras. ¿Y qué es lo primero que cae? Números, porque es lo más fácil. Para la computadora cambiar números y resolverlos es lo más tonto y rápido que hay. Entonces cualquier contraseña numérica la saca en segundos, muy pocos segundos. Cuando son palabras, que están en un diccionario, no importa el idioma, son palabras. Las van a encontrar, porque están en un diccionario. Cuando empezás a poner combinaciones raras las herramientas de diccionario ya no sirven más, se tienen que usar otras herramientas que son de fuerza bruta, que es probar, letra por letra.   

-¿Qué sucede con el phishing? 

-No es un malware (código malicioso), es una técnica que a veces puede utilizar malware, pero es una técnica de engaño que tiene algunos componentes como la clonación de un sitio y el engaño al usuario para que entre a ese sitio.  

-¿Cualquier persona, sin conocimientos de informática, puede acceder en internet a una herramienta para elaborar una técnica de phishing y engañar a otro usuario? 

-Si sos experto, tenés más ventaja de éxito, pero crear el phishing en sí mismo es muy sencillo.  Existen herramientas que te permiten elegir qué sitio querés clonar y que datos querés robar. El sitio clonado está listo para que otros accedan y yo les robe la contraseña. Por ejemplo, SET (Social Engineering ToolKit), es una herramienta para esto.

– ¿Quiénes son los grupos de hackers más peligrosos hoy? 

– Los grupos más peligrosos de hackers no son los que se conocen con nombre. Hay grupos que trabajan en temas políticos, de guerra, de desestabilización, y todos esos grupos no son conocidos. Estos grupos están ubicados en muchas partes del mundo, no es un equipo en un sólo país. Son acciones políticas o económicas que los motivan. Si me preguntás dónde hay buenos profesionales de seguridad, del lado del bien y del lado del mal, hoy está repartido. Hay equipos rusos muy buenos. Los que se nombran poco pero son de excelencia son los chinos. De hecho en todas las conferencias de hacking, donde hay grupos de competición, siempre hay chinos, y están entre los mejores. Yo creo que la diferencia idiomática les da una ventaja a los hackers chinos,  es información que entre ellos comparten pero nosotros no entendemos, entonces no la miramos. En la Argentina, hay excelentes profesionales de seguridad, es uno de los que más exporta este conocimiento. En Brasil, Estados Unidos y Rusia también. Israel, en equipamiento de seguridad, es uno de los que más sofistificación respecto del hardware tiene. Lo producen e invierten mucho en Pymes de ciberseguridad.  

MÁS SOBRE ESTE TEMA:

Guardar