Ciberdelito: “La seguridad absoluta es un hito imposible”

Así lo aseguró Bruno Alejandro Roberti Ferri, especialista en la materia y profesor de la UNCUYO. Reflexionó a partir del ataque a los sitios de INTA. La política pública, los delitos que se impusieron y la pata débil del sistema.

Ciberdelito: "La seguridad absoluta es un hito imposible"

Roberti Ferri es titular de la cátedra de Seguridad Informática, de la Licenciatura en Ciencias de la Computación de la Facultad de Ingeniería de la UNCUYO, Foto: Unidiversidad.

Sociedad

Ciberseguridad

Unidiversidad

Verónica Gordillo

Publicado el 16 DE MAYO DE 2023

La ciberseguridad absoluta es un hito imposible. Así lo planteó Bruno Alejandro Roberti Ferri, especialista en la materia y profesor de la UNCUYO. Y dio las múltiples razones: desde errores en los códigos, pasando por diseño de medidas para detectarlos y corregirlos, que no son infalibles, hasta el factor humano, porque aún una persona capacitada puede cometer una equivocación  en un momento de estrés o distracción que abrirá la puerta a un posible ataque.

Roberti Ferri, quien es titular de la cátedra de Seguridad Informática de la Licenciatura en Ciencias de la Computación de la Facultad de Ingeniería de la UNCUYO, aceptó la invitación de Unidiversidad para hablar sobre la realidad de su especialidad en el país, a partir del ataque que sufrió el Instituto Nacional de Tecnología Agropecuaria (INTA), que dejó inactivos a su sitio web y a muchos de los servicios que ofrece al sector productivo.

“La seguridad absoluta es un hito imposible, lo que se hace es poner distintas capas y uno trata que sea cada vez más difícil, entonces quizás busquen un blanco más fácil. Puede haber errores en el software, puede haber errores en el hardware, pueden tener errores las personas, todos son vectores de ataque y no todo está visualizado o expuesto, entonces no podés protegerte de eso que no conocés, no sabés todo lo que está mal, es como un iceberg que ves la punta. Tratás de protegerte, buscás patrones, conductas, pero la seguridad absoluta no existe”, fueron sus palabras.

El profesional planteó otros dos aspectos sustanciales por los cuales la seguridad absoluta no existe. El primero es que, así como existen personas que intentan evitar los errores y buscar soluciones alternativas para subsanarlos, otras buscan las vulnerabilidades para cometer un delito. El segundo, que la industria ofrece cada año muchos productos o versiones actualizadas de los existentes, que pueden implicar nuevos errores, que se pueden transformar en vulnerabilidades.

El profesor explicó que el concepto de ciberseguridad es difuso, que primero se habló de seguridad informática, referida a los equipos y la parte técnica y que luego se pasó al término más amplio de seguridad de la información, que incluyó a las personas y procesos. Actualmente —comentó— se refiere a la seguridad dentro de los entornos que están en la nube, es decir todos los servicios que se brindan a través de internet, donde puede haber otras redes, por lo que se refiere a un universo amplio y variado.

El profesor explicó que el concepto de ciberseguridad es amplio, y que hoy se refiere a todo lo que está dentro de la nube. Foto: Unidiversidad.

El ataque al INTA

Aún cumpliendo con las medidas de seguridad dispuestas, el profesor dijo que no existe un sistema infalible. En este sentido, el ingeniero explicó que de acuerdo a la información general que tiene, el INTA sufrió un ataque que se conoce como ransomware (conjunción de “ransom” -rescate- y software), una “familia” de programas maliciosos que busca ocasionar un inconveniente y pedir un rescate. Esos programas pueden ser de dos tipos: uno que bloquea el equipo, y salvo que se pague el rescate hay que instalar todo nuevamente, y otro, más actual, que encripta la información a distintos niveles (archivos, sistema operativo, servidores), por lo que no es posible acceder a los datos. Dijo que este último corresponde a una descripción general de lo que sucedió en el organismo.

Este tipo de ataques —contó el profesor— comienza con una etapa de infección, por ejemplo, a través de lo que se conoce como robo de identidad o phishing (en alusión a la palabra fishing que significa pescar) por lo que alguien coloca sus claves donde no debe, baja un archivo infectado o a través de distintas vulnerabilidades en los servicios web ingresa al sistema y “escala” en los privilegios que tienen dentro del mismo, hasta dejarlo inactivo.

El profesor dijo que el INTA sufrió un ataque conocido como ransomware, que creció mucho en el último tiempo. Foto: Captura de imagen. 

Política pública y estándares de calidad

¿Existe una política pública de ciberseguridad que intenta evitar el ciberdelito en Argentina y reducir el riesgo de que suceda lo que pasó con el INTA? El profesor respondió que el país cuenta con distintos dispositivos: el Equipo de Respuesta ante Emergencias (CERT, por sus siglas en inglés), un organismo que se replica en varios países y que coordina las estrategias de defensa y recaba información sobre los ataques; la Dirección Nacional de Ciberseguridad, que depende de la Jefatura de Gabinete y coordina las políticas para los entes nacionales y de aplicación de las normas y la Sindicatura General de la Nación (Sigen), que se encarga de auditar los procesos.

En cuanto a las normas existentes, el ingeniero explicó que la Dirección de Ciberseguridad diseñó en 2004 una política de seguridad modelo, siguiendo el estándar internacional ISO 27000, que debían cumplir todos los organismos nacionales, incluidos los descentralizados. Teniendo en cuenta su difícil cumplimiento para los entes medianos y pequeños, en 2021 publicó una nueva resolución (641/2021), que flexibilizó la primera y marcó requisitos mínimos en la seguridad de la información, que son directrices para que lleguen a distintos niveles de cumplimiento de las ISO, pero adecuadas al tamaño y las posibilidades de cada ente.

Ese piso mínimo de seguridad, comentó el profesor, lo deben cumplir todos los organismos nacionales, sean centralizados, descentralizados, entidades autárquicas, incluidas las universidades. Y dijo que para que eso se haga efectivo, se realizan seguimientos y auditorías.

En cuanto a la realidad de Mendoza, el especialista comentó que, de acuerdo a la información con que cuenta, nunca tuvo una política propia en ciberseguridad, aunque puede adherir a la nacional. Explicó que, si bien los ataques son más frecuentes a nivel país, también se producen en las provincias, como algunos incidentes que se registraron con el sitio web del Poder Judicial local.

Respecto de los privados (bancos o empresas) el profesor explicó que si bien la normativa nacional no los incluye, contratan profesionales para elevar sus estándares de seguridad y luego a una persona para auditar y certificar las normas de calidad, siendo la más elevada la ISO 27001.

El ingeniero subrayó una diferencia importante entre el sector público y privado que afecta en forma directa el nivel de seguridad: el personal especializado. Dijo que en el Estado contratar profesionales es difícil no solo por los sueldos, sino también porque —debido a un cambio cultural— quienes son más jóvenes no se ven atraídos por la estabilidad que ofrece, mientras que las empresas duplican o triplican las ofertas monetarias, por lo que resultan más atractivas.

El negocio de la ciberdelincuencia

¿Entre la persona que busca cometer un delito y la que busca evitarlo hay una especie de guerra de inteligencias, por llamarlo de alguna manera?

Sí, de hecho hay gente que se dedica a esto, aunque dedica no es la palabra adecuada. Probablemente, una persona con mucho conocimiento —que es en la que vos estás pensando— todavía realice actividades, pero en empresas u organismos puntuales donde hay mucho interés o puede haber un lucro. De todas formas, la ciberdelincuencia se ha vuelto un negocio amplio, muchos ciberdelincuentes crean plataformas que alquilan a gente con muy bajos conocimientos técnicos, los mínimos y necesario para poder ejecutar la acción, que no es ni cercano al conocimiento que tiene el que hizo la plataforma, entonces se ha vuelto un negocio muy mafioso.

¿El objetivo siempre es obtener ganancias?

No siempre, vos podés querer atacar la reputación de una empresa, porque si pasa en el Estado por ahí ya nadie se asombra, pero si un banco está tres días sin sistemas ¿pondrías la plata en ese banco? Los ataques a la reputación son importantes, muchas veces se roba información, después encriptan para ver si cobran un rescate y esa información se la venden a otro. Todo el mundo va a coincidir con que el robo de la información es el mejor activo que tiene una empresa, tus clientes, tus productos, tus procesos, y en el Estado también. Entonces, muchas veces, el objetivo es económico, mientras que otros pueden ir atrás de perjudicar a una empresa y a veces se mezclan los intereses. Por ejemplo, un empleado que está descontento por algo y que su único objetivo es hacerle daño a la empresa y le facilita a otro lo que necesita, que tiene un objetivo distinto, que puede ser económico, de información, aunque la información también es económica. Es muy variado.

¿Cuáles son los ciberdelitos más comunes?

El ataque de ransomware y la infección por virus son los más importante a nivel empresas, también denegación de servicios, que es cuando tratas de bajar una página para que no pueda brindar sus servicios debido a peticiones que se construyen para que las satures. Contra las personas, no es mi especialidad, pero entiendo que ha subido mucho el grooming, la sextorsión, todo lo que tiene que ver con redes sociales, con menores y crecieron mucho las estafas en línea.

¿Cuál es el papel de la persona usuaria?

En una organización, en un ambiente laboral vos tenés más responsabilidad, recibiste capacitación específica, herramientas, existen acuerdos de uso del software , el deber del usuario es seguir todos esas pautas. ¿Puede ocurrir algo?, sí, verdaderamente se ha vuelto el punto más flaco, sobre todo en los ataques de ransomware, una gran cantidad entran por problemas de phishing, de usuarios descargando lo que no deben, hay que capacitar mucho al usuario.

Roberti Ferri dijo que, de acuerdo a la información que conoce, ningún país esta libre de ciberdelincuencia. Foto: Unidiversidad.

¿Técnicamente, siempre se puede llegar al atacante?

Va a depender de la capacidad técnica de los dos lados. Hubo casos muy famosos en que se ha llegado a quien cometió el delito, pero también hay muchísimos al que no se ha llegado a quien lo cometió y simplemente mitigaste los efectos, bloqueaste, pero no pudiste llegar más. Depende de la capacidad de los dos, si los dos son muy buenos, va a ser una batalla, si hay uno que es mucho mejor que el otro, este es el que va a lograr su objetivo de ocultarse o descubrirlo. Lo que podés llegar a saber es de dónde vino, es decir esta comunicación viene de este servidor, pero después tal vez ese servidor está infectado, son estructuras armadas en países con legislaciones débiles.

¿Hay algún país libre de ciberdelincuencia?

No que yo sepa. De algunos tenés menos información como China, Corea del Norte, de Rusia hay más información. Quizás puede ser en estos micro países que hay cerca de Australia y nueva Zelanda, pero son 50 personas, entonces no es representativo.

Formación contra la ciberdelincuencia

¿Cómo se forma a una persona en ciberseguridad?

Hay tres ramas u orientaciones dentro de la seguridad: la gente que programa, para que programe seguro, la que se encarga de gestionar que los procedimientos y los procesos sean adecuados y la que se encarga de la parte técnica y las configuraciones, tanto del hardware como software para que no contengan errores. La formación en general en Argentina es de grado, no es en ciberseguridad, pero hay carreras de grado en la UTN y acá está la Licenciatura en Ciencias de la Computación, que no es lo mismo que Ingeniería en Computación, que está más asociado al hardware y las redes, en tanto ciencias de la computación está más asociado al código, a los algoritmos, a la inteligencia artificial y a la gestión de los sistemas, pero también se entremezclan, son como hermanos. Después hay formaciones de posgrado, una maestría para perfeccionarte. En este tema también hay mucho autodidacta, la informática tiene mucha gente que no ha terminado sus estudios o que no ha hecho estudios formales de grado y es gente muy valiosa, es más, hay grandes genios, los primeros hackers eran autodidactas.

Ustedes deben actualizarse siempre, no pueden quedarse quietos...

No, porque te pasa por arriba, inclusive yo estoy más especializado en el área de gestión, pero no en el área de desarrollo, no es lo mío. Entonces en algunas áreas vas leyendo, tratás de estar actualizado, pero te vas quedando, es como un médico que trabaja con especialidades. Con lo que estudié y me recibí ya casi todo es obsoleto, obvio que los cimientos sirven, pero la segunda capa cambió una barbaridad. El que recién se inicia tiene una ventaja competitiva porque está estudiando lo último, y siempre digo que uno es muy afín a la primera tecnología que aprende.

Si me permite una pregunta personal, ¿la gente que lo conoce le pregunta todo el tiempo aspectos relacionados con la seguridad?

Sí, uno ya está acostumbrado en sistemas, en seguridad trabajo hace diez años, pero en sistemas uno está acostumbrado a que te pregunten todo, al principio hasta me preguntaban cómo se configuraba el DirecTV, porque se suponía que tenía que saber sobre cualquier cosa que parecía una computadora. Por lo demás, no tengo las respuestas a todo, conozco una parte y hay muchas partes que no conozco, pero en cuanto a los usuarios son los mismos consejos básicos, no te voy a enseñar nada nuevo: bajá las actualizaciones de tu sistema operativo, no entrés a sitios sospechosos, mejor tipeá vos la direcciones web a las que querés ir, tené un anti virus actualizado, no descargues archivos ni correos sospechosos de gente que no conocés y que no estés seguro de su procedencia y aprendé a manejar las distintas plataformas para no confundirte.

ciberseguridad, delito, internet, nube,