Ciberdelito: “La seguridad absoluta es un hito imposible”
Así lo aseguró Bruno Alejandro Roberti Ferri, especialista en la materia y profesor de la UNCUYO. Reflexionó a partir del ataque a los sitios de INTA. La política pública, los delitos que se impusieron y la pata débil del sistema.
Roberti Ferri es titular de la cátedra de Seguridad Informática de la Licenciatura en Ciencias de la Computación de la Facultad de Ingeniería de la UNCUYO. Foto: Unidiversidad
La ciberseguridad absoluta es un hito imposible. Así lo planteó Bruno Alejandro Roberti Ferri, especialista en la materia y profesor de la UNCUYO. Dio las múltiples razones: desde errores en los códigos, pasando por diseño de medidas para detectarlos y corregirlos, que no son infalibles, hasta el factor humano, porque incluso una persona capacitada puede cometer una equivocación en un momento de estrés o distracción que abrirá la puerta a un posible ataque.
Roberti Ferri, titular de la cátedra de Seguridad Informática de la Licenciatura en Ciencias de la Computación de la Facultad de Ingeniería de la UNCUYO, aceptó la invitación de Unidiversidad para hablar sobre la realidad de su especialidad en el país a partir del ataque que sufrió el Instituto Nacional de Tecnología Agropecuaria (INTA), que dejó inactivos a su sitio web y a muchos de los servicios que ofrece al sector productivo.
“La seguridad absoluta es un hito imposible, lo que se hace es poner distintas capas y uno trata de que sea cada vez más difícil, entonces quizás busquen un blanco más fácil. Puede haber errores en el software, puede haber errores en el hardware, pueden tener errores las personas; todos son vectores de ataque y no todo está visualizado o expuesto, entonces no podés protegerte de eso que no conocés. No sabés todo lo que está mal, es como un iceberg del que ves la punta. Tratás de protegerte, buscás patrones, conductas, pero la seguridad absoluta no existe”, fueron sus palabras.
El profesional planteó otros dos aspectos sustanciales por los cuales la seguridad absoluta no existe. El primero es que, así como existen personas que intentan evitar los errores y buscar soluciones alternativas para subsanarlos, otras buscan las vulnerabilidades para cometer un delito. El segundo, que la industria ofrece cada año muchos productos o versiones actualizadas de los existentes, pero que pueden implicar nuevos errores que se pueden transformar en vulnerabilidades.
El profesor explicó que el concepto de ciberseguridad es difuso, que primero se habló de seguridad informática, referida a los equipos y la parte técnica, y que luego se pasó a la idea más amplia de seguridad de la información, que incluyó a las personas y procesos. Actualmente –comentó– se refiere a la seguridad dentro de los entornos que están en la nube, es decir, todos los servicios que se brindan a través de internet, donde puede haber otras redes, por lo que se refiere a un universo amplio y variado.
El profesor explicó que el concepto de ciberseguridad es amplio y que hoy se refiere a todo lo que está dentro de la nube. Foto: Unidiversidad
El ataque al INTA
Aún cumpliendo con las medidas de seguridad dispuestas, el profesor dijo que no existe un sistema infalible. En este sentido, el ingeniero explicó que, de acuerdo a la información general que tiene, el INTA sufrió un ataque que se conoce como ransomware (conjunción de “ransom” –rescate– y software), una “familia” de programas maliciosos que busca ocasionar un inconveniente y pedir un rescate. Esos programas pueden ser de dos tipos: uno que bloquea el equipo y, salvo que se pague el rescate, hay que instalar todo nuevamente, y otro, más actual, que encripta la información a distintos niveles (archivos, sistema operativo, servidores), por lo que no es posible acceder a los datos. Dijo que este último corresponde a una descripción general de lo que sucedió en el organismo.
Este tipo de ataques –contó el profesor– comienza con una etapa de infección, por ejemplo, a través de lo que se conoce como robo de identidad o phishing (en alusión a la palabra "fishing" que significa "pescar"), por lo que alguien coloca sus claves donde no debe, baja un archivo infectado o, a través de distintas vulnerabilidades en los servicios web, ingresa al sistema y “escala” en los privilegios que tiene dentro del mismo hasta dejarlo inactivo.
El profesor dijo que el INTA sufrió un ataque conocido como ransomware, que creció mucho recientemente. Foto: captura de imagen
Política pública y estándares de calidad
¿Existe una política pública de ciberseguridad que intenta evitar el ciberdelito en Argentina y reducir el riesgo de que suceda lo que pasó con el INTA? El profesor respondió que el país cuenta con distintos dispositivos: el Equipo de Respuesta ante Emergencias (CERT, por sus siglas en inglés), un organismo que se replica en varios países, que coordina las estrategias de defensa y recaba información sobre los ataques; la Dirección Nacional de Ciberseguridad, que depende de la Jefatura de Gabinete y coordina las políticas para los entes nacionales y de aplicación de las normas, y la Sindicatura General de la Nación (Sigen), que se encarga de auditar los procesos.
En cuanto a las normas existentes, el ingeniero explicó que la Dirección de Ciberseguridad diseñó en 2004 una política de seguridad modelo, siguiendo el estándar internacional ISO 27000, que debían cumplir todos los organismos nacionales, incluidos los descentralizados. Teniendo en cuenta su difícil cumplimiento para los entes medianos y pequeños, en 2021 publicó una nueva resolución (641/2021), que flexibilizó la primera y marcó requisitos mínimos en la seguridad de la información, que son directrices para que lleguen a distintos niveles de cumplimiento de las ISO, pero adecuadas al tamaño y las posibilidades de cada ente.
Ese piso mínimo de seguridad, comentó el profesor, lo deben cumplir todos los organismos nacionales, sean centralizados, descentralizados, entidades autárquicas, incluidas las universidades. Para que eso se haga efectivo, se realizan seguimientos y auditorías.
En cuanto a la realidad de Mendoza, el especialista comentó que, de acuerdo a la información con que cuenta, nunca tuvo una política propia de ciberseguridad, aunque puede adherir a la nacional. Explicó que, si bien los ataques son más frecuentes a nivel país, también se producen en las provincias, como algunos incidentes que se registraron con el sitio web del Poder Judicial local.
Respecto de los privados (bancos o empresas), el profesor aclaró que, si bien la normativa nacional no los incluye, contratan profesionales para elevar sus estándares de seguridad, y luego a una persona para auditar y certificar las normas de calidad, siendo la más elevada la ISO 27001. El ingeniero subrayó una diferencia importante entre el sector público y privado que afecta en forma directa el nivel de seguridad: el personal especializado. Dijo que en el Estado contratar profesionales es difícil no solo por los sueldos, sino también porque –debido a un cambio cultural– quienes son más jóvenes no se ven atraídos por la estabilidad que ofrece, mientras que las empresas duplican o triplican las ofertas monetarias, por lo que resultan más atractivas.
El negocio de la ciberdelincuencia
Entre la persona que busca cometer un delito y la que busca evitarlo, ¿hay una especie de guerra de inteligencias, por llamarla de alguna manera?
Sí, de hecho hay gente que se dedica a esto, aunque "dedica" no es la palabra adecuada. Probablemente, una persona con mucho conocimiento –que es en la que vos estás pensando– todavía realice actividades, pero en empresas u organismos puntuales donde hay mucho interés o puede haber un lucro. De todas formas, la ciberdelincuencia se ha vuelto un negocio amplio, muchos ciberdelincuentes crean plataformas que alquilan a gente con muy bajos conocimientos técnicos, los mínimos y necesarios para poder ejecutar la acción, que no es ni cercano al conocimiento que tiene el que hizo la plataforma. Entonces se ha vuelto un negocio muy mafioso.
¿El objetivo siempre es obtener ganancias?
No siempre. Vos podés querer atacar la reputación de una empresa, porque, si pasa en el Estado, por ahí ya nadie se asombra, pero si un banco está tres días sin sistemas, ¿pondrías la plata en ese banco? Los ataques a la reputación son importantes. Muchas veces se roba información, después encriptan para ver si cobran un rescate y esa información se la venden a otro. Todo el mundo va a coincidir con que la información es el mejor activo que tiene una empresa: tus clientes, tus productos, tus procesos, y en el Estado también. Entonces, muchas veces, el objetivo es económico, mientras que otros pueden ir atrás de perjudicar a una empresa, y a veces se mezclan los intereses. Por ejemplo, un empleado que está descontento por algo, cuyo único objetivo es hacerle daño a la empresa y le facilita a otro lo que necesita, que tiene un objetivo distinto, que puede ser económico, de información, aunque la información también es económica. Es muy variado.
¿Cuáles son los ciberdelitos más comunes?
El ataque de ransomware y la infección por virus son los más importante a nivel empresas. También denegación de servicios, que es cuando tratás de bajar una página para que no pueda brindar sus servicios debido a peticiones que se construyen para que las satures. Contra las personas, no es mi especialidad, pero entiendo que han subido mucho el grooming, la sextorsión, todo lo que tiene que ver con redes sociales, con menores, y crecieron mucho las estafas en línea.
¿Cuál es el papel de la persona usuaria?
En una organización, en un ambiente laboral, vos tenés más responsabilidad, recibiste capacitación específica, herramientas, existen acuerdos de uso del software. El deber del usuario es seguir todos esas pautas. ¿Puede ocurrir algo? Sí, verdaderamente se ha vuelto el punto más flaco, sobre todo en los ataques de ransomware, una gran cantidad entran por problemas de phishing, de usuarios descargando lo que no deben. Hay que capacitar mucho al usuario.
Roberti Ferri dijo que, de acuerdo a la información que conoce, ningún país está libre de ciberdelincuencia. Foto: Unidiversidad
¿Técnicamente, siempre se puede llegar al atacante?
Va a depender de la capacidad técnica de los dos lados. Hubo casos muy famosos en que se ha llegado a quien cometió el delito, pero también hay muchísimos en los que no se ha llegado a quien lo cometió y simplemente mitigaste los efectos, bloqueaste, pero no pudiste llegar más. Depende de la capacidad de los dos: si los dos son muy buenos, va a ser una batalla; si hay uno que es mucho mejor que el otro, este es el que va a lograr su objetivo de ocultarse o descubrirlo. Lo que podés llegar a saber es de dónde vino, es decir, esta comunicación viene de este servidor, pero tal vez ese servidor está infectado, son estructuras armadas en países con legislaciones débiles.
¿Hay algún país libre de ciberdelincuencia?
No que yo sepa. De algunos tenés menos información, como China, Corea del Norte. De Rusia hay más información. Quizás puede ser en estos micropaíses que hay cerca de Australia y nueva Zelanda, pero son 50 personas, entonces no es representativo.
Formación contra la ciberdelincuencia
¿Cómo se forma a una persona en ciberseguridad?
Hay tres ramas u orientaciones dentro de la seguridad: la gente que programa, para que programe seguro, la que se encarga de gestionar que los procedimientos y los procesos sean adecuados y la que se encarga de la parte técnica y las configuraciones, tanto del hardware como software para que no contengan errores. La formación en general en Argentina es de grado, no es en ciberseguridad, pero hay carreras de grado en la UTN y acá está la Licenciatura en Ciencias de la Computación, que no es lo mismo que Ingeniería en Computación, que está más asociado al hardware y las redes, en tanto que Ciencias de la Computación está más asociado al código, a los algoritmos, a la inteligencia artificial y a la gestión de los sistemas, pero también se entremezclan, son como hermanos. Después hay formaciones de posgrado, una maestría para perfeccionarte. En este tema también hay mucho autodidacta, la informática tiene mucha gente que no ha terminado sus estudios o que no ha hecho estudios formales de grado, y es gente muy valiosa. Es más, hay grandes genios, los primeros hackers eran autodidactas.
Ustedes deben actualizarse siempre, no pueden quedarse quietos...
No, porque te pasa por arriba. Inclusive yo estoy más especializado en el área de gestión, pero no en el área de desarrollo, no es lo mío. Entonces, en algunas áreas vas leyendo, tratás de estar actualizado, pero te vas quedando, es como un médico que trabaja con especialidades. Con lo que estudié y me recibí, ya casi todo es obsoleto. Obvio que los cimientos sirven, pero la segunda capa cambió una barbaridad. El que recién se inicia tiene una ventaja competitiva porque está estudiando lo último, y siempre digo que uno es muy afín a la primera tecnología que aprende.
Si me permite una pregunta personal, ¿la gente que lo conoce le pregunta todo el tiempo aspectos relacionados con la seguridad?
Sí, uno ya está acostumbrado en sistemas. En seguridad trabajo hace diez años, pero, en sistemas, uno está acostumbrado a que te pregunten todo, al principio hasta me preguntaban cómo se configuraba el DirecTV, porque se suponía que tenía que saber sobre cualquier cosa que parecía una computadora. Por lo demás, no tengo las respuestas a todo, conozco una parte y hay muchas partes que no conozco, pero, en cuanto a los usuarios, son los mismos consejos básicos, no te voy a enseñar nada nuevo: bajá las actualizaciones de tu sistema operativo, no entres a sitios sospechosos, mejor tipeá vos la direcciones web a las que querés ir, tené un antivirus actualizado, no descargues archivos ni correos sospechosos de gente que no conocés y que de cuya procedencia no estás seguro, y aprendé a manejar las distintas plataformas para no confundirte.
* Esta nota fue publicada originalmente en Unidiversidad el 16 de mayo de 2023.
ciberseguridad, delito, internet, nube,
Para la nueva jueza de la Suprema Corte, la paridad tiene que existir en las actividades pública y privada
En el sistema judicial local las mujeres son mayoría, pero los puestos de mayor jerarquía siguen ...
23 DE DICIEMBRE DE 2024
Último programa de "Apuntes": recorrido por sus tres años
Recorremos notas, artistas, "backstage" y momentos divertidos del programa de Señal U que fue un ...
20 DE DICIEMBRE DE 2024
Se vienen tres días de Flor de Feria en Planta Uno
El paseo de compras se instalará en el multiespacio de Godoy Cruz y ofrecerá muchas posibilidades ...
20 DE DICIEMBRE DE 2024