En base a un informe de Gabriel Farías para No toquen nada.
Durante el año pasado, el CertUy intervino en 499 incidentes en sistemas críticos a nivel nacional, mientras que en 2013 habían sido 250. La mayor cantidad de ellos están relacionados con el Phishing y el Spam (61%), los que aumentaron 80% en un año.
El Phishing refiere a la suplantación de identidad, por ejemplo, hacerse pasar por un banco para pedir datos personales, contraseñas, cuentas bancarias. Por otra parte, el Spam está relacionado con “el cuento del tío” (“te ganaste 100.000 dólares, enviá 50 dólares a determinada cuenta bancaria”).
Santiago Paz, director del CertUY, dijo a No toquen nada que para prevenir estos ataques se puede realizar distintas actividades técnicas -como llaveros de one-time password o autenicación fuerte con certificado- pero también hay que sensibilizar al usuario.
“Hay un componente que está asociado a la sensibilización del usuario, en advertirle que ese mail que está viendo es de un atacante, es mentira, nadie le va a regalar plata porque sí”, comentó.
Los centros de respuesta a incidentes informáticos se crearon en la década del 80 en Estados Unidos cuando los primeros virus empezaron a afectar a los sistemas informáticos. El Cert de Uruguay es bastante reciente: empezó a trabajar en 2008.
En parte, el aumento en la cantidad de incidentes se debe a que el organismo es mejor conocido en la sociedad y por lo tanto aumenta la cantidad de reportes, y por otra parte, mejoraron las herramientas de detección de ataques que utiliza la institución.
Paz sabe que no todos los incidentes que ocurren son registrados por el Cert, algunos se escapan, pero dijo que imposible estimar cuántos. A su vez, explicó que es necesario contar con un Cert a nivel nacional por la cantidad de involucrados que hay en un ataque informático.
Señaló que en un ataque participan la víctima, el atacante, los proveedores de servicios de internet, los equipos de investigación criminal y servidores de correo electrónico que eventualmente se usaron para reenviar spam.
“Todos esos actores normalmente ni siquiera están ubicados en el mismo país. Por lo tanto, a la hora de responder a un incidente en un ambiente con tantos actores y tantos países, es muy útil que haya un equipo que esté especializado en esa interacción”, señaló.
Un centro nacional debe estar preparado, tener medios de comunicación segura y procedimientos preacordados. Según Paz, debe “actuar como un articulador entre diferentes actores para resolver el incidente lo antes posible y reducir el impacto al mínimo posible”.
Paz contó que ante un caso de phishing, se comienza por “bloquear el acceso al servidor donde está montada la página falsa del banco, después, hay que lograr acceder a quién administra ese servidor para que nos pueda dar información que fue robada para luego dársela al banco que recibió el ataque y avisarles que ciertos cliente fueron hackeados”.
El director del CertUy mencionó que ellos no se encargan de hacer la denuncia ni del proceso criminal pero sí brindan toda la información recolectada a la policía.
Virus peligroso
Los programas maliciosos (conocidos en la jerga informática como “malware”) son responsables del 4% de los reportes al CERT.
En las últimas semanas, se reportó a nivel mundial una alerta sobre un nuevo malware que secuestra la computadora, encripta el disco duro, y pide 1.500 dólares de rescate para darle al usuario la clave para desencriptarlo. De lo contrario, éste no puede acceder nunca más a su información.
El virus CBT-Locker ya ha tenido algunas víctimas uruguayas. Paz explicó que la única forma conocida hasta el momento para no tener que pagar el rescate es realizar un respaldo o backup.
“Sugerimos tener la precaución de no abrir archivos sospechosos que lleguen por mail de fuentes desconocidas, con idiomas incorrectos, con textos que no tienen sentido y realizar backup, desde los sistemas más sofisticados hasta en un disco externo o USB. Haciéndolo uno se ahorra de pagar esos 1.500 dólares porque si me encriptaron lo que hice hoy, no perdí tanto. Ahora, si yo no hice backup y el último respaldo que tengo es de hace seis meses, ahí si me pueden haber cifrado mucha información”, relató Paz.
Seguridad militar
Los Cert en varios países suelen tener subsidiarias especializadas, por ejemplo, en educación, el sector financiero y en defensa. En enero se formalizó mediante un decreto el primer centro de respuesta a incidentes informáticos especializado en defensa y funciona en ese ministerio.
Roberto Ambrosoni, director del centro de respuesta del Ministerio de Defensa, explicó que este centro se creó para algunos incidentes específicos del área de la ciberdefensa.
“Trabajamos con equipamientos de comunicaciones que tienen otro tipo de soluciones de encriptado o cifrado, se trabaja en operaciones críticas. Por ejemplo, si se da un incidente con la cadena de radares que puede afectar a la seguridad nacional, uno que afecte las vías de navegación territoriales o una operación de búsqueda y rescate”, indicó.
El especialista dijo que defensa no es el área que más ataques informáticos tiene -el área que encabeza el ranking de ataques es la de finanzas y bancos-, pero sí donde se encuentran los sistemas más críticos y sensibles del Estado.
