"Ciberarmadas", filtraciones y técnicas de engaño para orquestar ataques millonarios

John Williams, profesor del MIT y especialista en ciberseguridad habló con Infobae sobre cómo funciona esta maquinaria que explota vulnerabilidades del sistema y vende información en el mercado negro

Guardar

Argentina es el cuarto país con más ataques y amenazas cibernéticas de Latinoamérica, según el último informe anual de Symantec que analiza 157 países. Los primeros tres lugares están ocupados por Brasil, México y Venezuela.

Entre las amenazas que más crecen en la región está el phishing, que son técnicas de ingeniería social para obtener información confidencial. Esto no solo ocurre en la Argentina sino el mundo: los ataques cada vez se vuelven más sofisticados y difíciles de identificar.

Infobae habló con John Williams, profesor del MIT y especialista en ciberseguridad, sobre éste y otros temas vinculados a la seguridad y privacidad en la web. El experto visitará la Argentina el 29 de mayo, para participar de una conferencia sobre tendencias e innovación en materia de fintech, que organiza la Escuela de Negocios del MIT Sloan, a través de su oficina para Latinoamérica, junto a la organización empresarial IDEA.

El programa incluirá presentaciones y talleres a cargo de destacados profesores de la universidad estadounidense y especialistas locales. Para inscribirse hay que ingresar aquí.

– ¿Cuál fue el ciberataque que creció más en el último tiempo?

– El phishing es uno de los más comunes que se dan a través de correos con mensajes que mandan atacantes y que dice, por ejemplo, "presione aquí que su correo está repleto". Esos ataques son muy comunes y fáciles de llevar a cabo. Generalmente son baratos de hacer. Solo basta con que un pequeño porcentaje de usuarios haga clic. El problema es que esto es muy peligroso. Un documento Word o Excel son los más fáciles de comprometer, sobre todo en una organización.

-Tengo entendido que la divulgación de información sensible en las redes sociales también puede ser un factor de riesgo

-Para las organizaciones que tienen información personal eso es un problema. Quienes forman parte de un banco u hospital no deben divulgar información personal. Usualmente la gente usa Facebook, Twitter o alguna red social y pueden dar a conocer información personal sobre sus clientes y a veces no es con malicia, sino que no están pensando. Por ejemplo, en el caso de los bancos hay que entrenar a los empleados para que no divulguen información personal. Esa es una de las preocupaciones más usuales para las organizaciones que trabajan con datos personales es que se divulgue información sin malicia. Los ataques de parte de gente que forma parte de la empresa es una gran preocupación para las compañías. También puede ocurrir que alguien de adentro que no esté contento con la compañía que recibió y busque vengarse comprometiendo la seguridad del sistema.

-Pero en ese caso sería a propósito. Lo que califica como "ataques desde adentro" (insider attack), ¿son siempre con intención?

-A veces puede ser por negligencia. A veces la gente reduce la seguridad en su sistema para hacer una actualización, o mejora. Alguien puede, por ejemplo, deshabilitar el firewall para instalar un software nuevo y luego se olvidan de habilitarlo otra vez. O sea que dentro de los ataques desde adentro también hay que considerar la negligencia, aunque lo más preocupante es cuando hay malicia, especialmente si viene de alguien trabaja dentro del departamento de tecnología que sabe las contraseñas o medidas de seguridad que se implementan.

-¿Puede dar otros ejemplos de divulgación de información privada en las redes sociales?

-Alguien podría estar grabando un video de la pantalla de su computadora y podrían grabar, sin querer, cuando están iniciando sesión y ese video puede subirse a YouTube y entonces se vería cómo ingresan su contraseña, cosas como esas que a veces uno no piensa.

A veces en el trabajo uno puede sacar una foto de la pantalla y con las cámaras hoy en día hay tanto nivel de resolución que se podría ver información privada. También está el caso de las huellas digitales. Si yo tengo una foto muy buena de tu dedo puedo recrear tu huella con una impresora 3D y también se puede falsificar el iris de una persona.

-Entonces subir cualquier foto o selfie a la red implica un riesgo

-Sí, puede ser muy peligroso si uno no es cuidadoso. En el ejército lo prohibieron porque en Afganistán la gente subía selfies y cuando uno no deshabilita el GPS, esa foto incluye, dentro de los metadatos, la ubicación exacta de la persona. Entonces un atacante podría saber la ubicación de las tropas, así que hay que ser muy cuidadoso. También es una forma de saber si alguien está lejos de su casa porque sube fotos de su viaje en el Caribe y entonces un ladrón podría decidir entrar a robar en su casa. Hay muchas formas en las que se da información que uno cree que no es importante. Lo primero que hace un atacante, por ejemplo, es espiar a la organización que va a atacar para saber quién está a cargo de la base de datos, luego reunirán información de sus amigos, afiliaciones, intereses y después diseñarán un correo para enviarle a esa persona que puede contener un engaño de phishing. Eso sucedió en Ucrania: abrieron con un documento Word y atacaron tres plantas de energía.

-Cada vez que se usa una aplicación o un servicio web uno también podría estar siendo rastreado sin saberlo

-Yo uso un teléfono con Android, y usualmente uso la navegación en mi Android y mantiene un registro de cada una de mis ubicaciones. Si uno va a Mapa, mientras estás conectado con tu usuario de Google, básicamente puedes obtener tu historial de viajes, según lo llaman ellos, y eso tiene un registro de varios años atrás. Tiene todos los detalles de cada lugar que se ha visitado, cada restaurante en el que estuve está en ese historial.

-Lo sé. Incluso si uno usa un iPhone, sucede lo mismo

-El acuerdo es que ellos nos proporcionan información de navegación y a cambio nosotros les damos nuestra ubicación, una ubicación muy precisa. Cuando uno va a un restaurante aparece un comentario solicitando que hagas una review sobre un restaurante. O sea que saben que estuviste ahí. Se está volviendo un mundo que da miedo. La gente ahora está empezando a pensar si deberían dejar de usar Facebook, las redes sociales. Para muchos de nosotros es tarde, yo uso mucho Facebook, hago tango y quiero saber dónde va la gente a bailar el fin de semana, entonces miro en Facebook para saber dónde van.

-No solo es Facebook, como muy bien explicó, también es Google y otras aplicaciones.

-Sí, cada aplicación. El otro día revisé mi teléfono y tengo más de 80 aplicaciones, la mayoría obtiene mis datos de contacto. Todos mis amigos, sus números de teléfono, direcciones de mail, todo. Entonces más de 80 organizaciones están obteniendo toda esta información y la están uniendo. Creo que en Estados Unidos, hay 2.000 ítems de información sobre una persona promedio disponible. Alguien como Google sabrá todo eso sobre vos como tu número de seguro social, básicamente ellos pueden saber mucho.

-¿Y eso debería asustarnos?

-Sí, da miedo. Al principio nos concentramos en lo positivo, y en que es genial tener todas estas conexiones y poder estar en contacto con la gente pero luego uno se da cuenta de que hay muchos delincuentes ahí fuera. Yo estaba involucrado con internet de las cosas, y nuestro objetivo era conectar dispositivos. Y ahora que lo logramos, estos dispositivos se usan en contra nuestros. Hubo un ataque recientemente donde los atacantes tomaron control de 500 mil cámaras de videovigilancia y lanzaron un ataque de denegación de servicio desde esas cámaras.

-¿Deberíamos dejar de usar dispositivos conectados e inteligentes?

-Hay que ser conscientes de que hay riesgos, y que podrían ser blancos de ataque. Hay bots que permiten hacer ataques automatizados y dirigidos. Buscan en internet objetivos vulnerables y dirigen los ataques, o sea que uno puede ser atacado por un sistema entrenado para identificar vulnerabilidades. Es muy difícil defender una computadora, el software no es tan efectivo, los escaneos de riesgo solo pueden identificar un 30% de los riesgos. Uno puede tener el sistema infectado y no notarlo.

-¿Cuánto dinero hacen los ciberatacantes al año?

-No hay un número preciso pero se puede sacar un estimativo. En el caso de Swift casi robaron mil millones de dólares. Algunas organizaciones delictivas están haciendo millones y millones. Para tener una idea: si se encuentra un bug que nadie más conoce se llama Zero Day. Esto quiere decir que es la primera vez que alguien vio este bug, y los zero day pueden llegar a venderse por 2 millones de dólares.

-¿Cómo se venden?

-Se pueden vender en el mercado negro. Entonces, hay una cadena de suministro que proporciona los zero days y hay grupos que escanean códigos en busca de vulnerabilidades. Entonces si encuentran una vulnerabilidad en Adobe, Microsoft o iOS de Apple usualmente lo ofrecerán a la compañía pero si la empresa no está dispuesta a pagar lo ofrecen en el mercado negro, en la dark web, lo venden y aparentemente las ventas están en dos millones de dólares, en la actualidad.

-¿Las próximas batallas mundiales se darán en el ciberespacio?

-Sí, se puede decir que ya está ocurriendo. Los países están formando "ciberarmadas". Ahora se están armando. Están viendo qué serán capaces de hacer; están sondeando las defensas, a veces no es solo ataques, están investigando las vulnerabilidades. Se pueden dejar puertas traseras abiertas, se meten en organizaciones, puede que no las ataquen pero dejan la puerta trasera abierta.

-¿Qué se debería hacer para mejorar la seguridad?

-Ahora nos estamos volviendo más conscientes de los ciberataques, las organizaciones están dándose cuenta de que tienen estilos de defensa antiguos. Solíamos pensar que podríamos poner paredes alrededor, construir un castillo y poner un muro alrededor, pero eso no funciona hoy en día. No podemos construir las paredes para que sean 100 por ciento seguras, cuesta mucho. Así que la gente está comenzando a distribuir su información. Entonces, si tengo un archivo que es crítico para la organización se ubica en cientos de lugares, y aquí es donde entre la blockchain. No se puede destruir la información en blockchain con facilidad, por eso todo el mundo está entusiasmado con esta tecnología.

MÁS SOBRE ESTE TEMA: 

"Ciberengaños" y delitos en la red: ¿cuán vulnerable sos?

AlphaBay, uno de los sitios de eCommerce más populares de la Dark Web, fue hackeado

Cómo la ciencia de los mensajes secretos busca desafiar el reinado del bitcoin

Guardar