EL APE­TI­TO POR LA­TI­NOA­MÉ­RI­CA DE MR. kIM jONG UN Y OTROS CI­BER­CRI­MI­NA­LES

AmericaEconomia Internacional - - NEGOCIOS / CIBERSEGURIDAD - POR LINO SO­LÍS DE OVANDO, GWEN­DOLYN LED­GER Y CA­MI­LO OLAR­TE

La ban­ca la­ti­noa­me­ri­ca­na es­tá en la mi­ra de ave­za­dos gru­pos, al­gu­nos sub­ven­cio­na­dos por Es­ta­dos, aso­cia­cio­nes ilí­ci­tas que no es­ca­ti­man en re­cur­sos tec­no­ló­gi­cos pa­ra ana­li­zar, ata­car y ro­bar. Mien­tras la an­sia­da trans­for­ma­ción di­gi­tal les abre bre­chas de seguridad a los hac­kers, la in­dus­tria re­gio­nal ten­drá que adap­tar­se a un tra­ba­jo co­la­bo­ra­ti­vo cons­tan­te con los Es­ta­dos y su ci­ber­de­fen­sa. ¿Un mo­de­lo a re­pli­car? La re­si­lien­cia de la UE aso­ma co­mo ru­ta a se­guir e ha­bía pro­me­ti­do no vol­ver a las gran­des li­gas. Man­te­ner­se en cal­ma, en la co­mo­di­dad de al­gu­nos di­rec­to­rios en em­pre­sas chi­le­nas. Tran­qui­lo y a me­dia má­qui­na. Pe­ro la cul­pa es de su le­ga­do y fa­ma co­mo sub­se­cre­ta­rio de Te­le­co­mu­ni­ca­cio­nes (2010-2014), en es­pe­cial lo que hi­zo lue­go del 27 de fe­bre­ro de 2010, cuan­do un te­rre­mo­to mag­ni­tud 8,8 gra­dos Rich­ter azo­tó la cos­ta cen­tro-sur de Chi­le y hu­bo que le­van­tar el sis­te­ma de te­le­co­mu­ni­ca­cio­nes. Así es Jor­ge At­ton, el re­cién asu­mi­do ase­sor pre­si­den­cial en ma­te­ria de ci­ber­se­gu­ri­dad del pre­si­den­te Se­bas­tián Piñera, quien re­ci­be a Amé­ri­caE­co­no­mía con los ojos can­sa­dos y po­cas ho­ras de sue­ño en la sub­se­cre­ta­ría del In­te­rior. Le to­ca en­fren­tar otro te­rre­mo­to: ace­le­rar una ins­ti­tu­cio­na­li­dad in­su­fi­cien­te an­te la ame­na­za de los ci­be­ra­ta­ques con­tra la in­dus­tria ban­ca­ria.

El te­mor es jus­ti­fi­ca­do en Chi­le y en to­da Amé­ri­ca La­ti­na. Se­gún Kas­persky Lab, la com­pa­ñía de ci­ber­se­gu­ri­dad, se re­gis­tra­ron más de 746.000 ata­ques de malwa­re dia­rios en Amé­ri­ca La­ti­na, un pro­me­dio de nue­ve ata­ques de malwa­re por se­gun­do, y creciendo un 60% anual.

Em­pa­pa­do por es­te am­bien­te de ten­sión re­gio­nal y por las ame­na­zas que aque­jan al sec­tor ban­ca­rio lo­cal, At­ton con­si­de­ra “una ne­ce­si­dad ace­le­rar una po­lí­ti­ca de ci­ber­se­gu­ri­dad, lo que ya se dis­cu­tió en 2016-2017, pe­ro que mi­ra­ba el 2022; cla­ra­men­te, no se veía co­mo un pro­ble­ma en ese mo­men­to”, re­cuer­da At­ton, cons­cien­te ade­más que has­ta ha­ce muy po­co la po­si­bi­li­dad de ci­be­ra­ta­ques

era con­si­de­ra­da una ame­na­za de se­gun­do or­den pa­ra las in­dus­trias.

Pa­ra re­ver­tir esa de­sidia, el ase­sor pre­si­den­cial ya ha de­fi­ni­do una ru­ta pa­ra Chi­le: “va­mos a sa­car en muy cor­to pla­zo una ley de ci­ber­se­gu­ri­dad, si­guien­do ex­pe­rien­cias muy im­por­tan­tes co­mo la de Ho­lan­da, bas­tan­te sim­ple y en­ten­di­ble… La se­gun­da ta­rea ur­gen­te es te­ner un coor­di­na­dor con em­po­de­ra­mien­to pre­si­den­cial, pa­ra el que que­den muy cla­ras sus atri­bu­cio­nes, res­pon­sa­bi­li­da­des, es­tán­da­res mí­ni­mos de ci­ber­se­gu­ri­dad que pue­de exi­gir a las dis­tin­tas in­dus­trias, al mis­mo Es­ta­do, a to­das sus ins­ti­tu­cio­nes. Y la ter­ce­ra me­di­da tie­ne re­la­ción con la in­fra­es­truc­tu­ra crí­ti­ca -las co­mu­ni­ca­cio­nes, ener­gía, la ban­ca, el sec­tor fi­nan­cie­ro, las ins­ti­tu­cio­nes de sa­lud, el trans­por­te-, una se­rie de ser­vi­cios que son de pri­me­ra uti­li­dad y que pue­den ser vul­ne­ra­bles desde la seguridad in­for­má­ti­ca. Me re­fie­ro a la crea­ción de una se­rie de Com­pu­ter In­ci­dent Res­pon­se Teams (CIRT) por sec­to­res. Los pri­me­ros se­rán los de Fi­nan­zas y Te­le­co­mu­ni­ca­cio­nes”, pun­tua­li­za At­ton.

La ce­le­ri­dad de los anun­cios de At­ton cal­za con el cam­bio en la na­tu­ra­le­za de los res­pon­sa­bles de los ata­ques.

Has­ta ha­ce no mu­cho en el país sud­ame­ri­cano se es­cu­cha­ba en los me­dios lo­ca­les de fu­gas de da­tos de tar­je­tas ban­ca­rias, en su ma­yo­ría ac­tos rea­li­za­dos por ci­be­ra­ta­can­tes neó­fi­tos. Co­sa dis­tin­ta es lo que se pien­sa del ata­que al Ban­co de Chi­le, el pa­sa­do 24 de ma­yo, cuan­do es­pe­cia­li­za­dos ci­be­ra­ta­can­tes lo­gra­ron bur­lar el sis­te­ma in­for­má­ti­co de la en­ti­dad y ro­bar US$ 10 mi­llo­nes, un atra­co vir­tual que in­clu­yó el im­pac­tan­te co­lap­so de mi­les de compu­tado­ras que en sus pan­ta­llas ne­gras in­di­ca­ban un es­cue­to epi­ta­fio: Non-Sys­tem disk or disk error, re­pla­ce and stri­ke any key when ready. Pe­ro mien­tras es­te dis­trac­tor fun­cio­na­ba y los ope­ra­rios del área de in­for­má­ti­ca re­cu­rrían in­clu­so a la des­co­ne­xión de los compu­tado­res pa­ra que no se pro­pa­ga­ra un vi­rus, los ci­ber­cri­mi­na­les rea­li­za­ban va­rias transac­cio­nes me­dian­te el sis­te­ma in­ter­na­cio­nal de pa­gos SWIFT. Pe­se a los in­ten­tos de anu­lar es­tas ope­ra­cio­nes, cua­tro de esas transac­cio­nes lo­gra­ron bur­lar el cer­co in­for­má­ti­co del ban­co li­ga­do a Ci­ti­bank y el Gru­po Luk­sic.

Pe­ro las pér­di­das del Ban­co de Chi­le po­drían ser ma­yo­res. Si bien un es­tu­dio de IBM Se­cu­rity y el Po­ne­mon Ins­ti­tu­te con­tem­pla US$ 3,86 mi­llo­nes el cos­to pro­me­dio de una vio­la­ción de da­tos a ni­vel

En los úl­ti­mos do­ce me­ses, Kas­persky re­gis­tró más de 746 mil ata­ques de malwa­re dia­rios en Amé­ri­ca La­ti­na, lo que sig­ni­fi­ca un pro­me­dio de nue­ve ata­ques de malwa­re por se­gun­do

mun­dial, a jui­cio de Wen­di Whit­mo­re, lí­der mun­dial de IBM X-For­ce In­ci­dent Res­pon­se and In­te­lli­gen­ce Ser­vi­ces (IRIS), “la ver­dad es que hay mu­chos gas­tos ocul­tos que de­ben te­ner­se en cuen­ta, co­mo da­ños a la repu­tación, ro­ta­ción de clien­tes y cos­tos ope­ra­ti­vos”.

At­ton no opi­na­rá ca­si na­da de es­te asun­to. So­lo asien­te con la ca­be­za cuan­do Amé­ri­caE­co­no­mía le co­men­ta que, se­gún fuen­tes en off del sec­tor de la ci­ber­se­gu­ri­dad glo­bal a las que ha te­ni­do ac­ce­so, exis­ten fun­da­das sos­pe­chas de que de­trás del ata­que al Ban­co de Chi­le hay un gru­po sub­ven­cio­na­do por un Es­ta­do, el nor­co­reano, uti­li­zan­do el mis­mo mo­do de operación ex­hi­bi­do en su ata­que al Ban­co Na­cio­nal de Co­mer­cio Ex­te­rior de Mé­xi­co (Ban­co­mext), el 9 de enero de 2018; al Ban­co del Aus­tro de Ecua­dor, en ma­yo de 2016, cuan­do ro­ba­ron US$ 9 mi­llo­nes; y al Ban­co de Ban­gla­desh, el 4 y 5 de fe­bre­ro de 2016, operación a tra­vés de la cual sus­tra­je­ron US$ 81 mi­llo­nes. Me­dian­te el uso de un código ma­li­cio­so, ac­ce­die­ron al soft­wa­re de men­sa­je­ría uti­li­za­do por más de 11.000 ban­cos e ins­ti­tu­cio­nes fi­nan­cie­ras de más de 200 paí­ses, la mis­ma vía de ac­ce­so en el even­to del Ban­co de Chi­le: SWIFT Allian­ce Ac­cess. Con si­gi­lo, At­ton di­rá es­cue­to: “(el ata­que al Ban­co de Chi­le)… pue­de ser de un ni­vel muy su­pe­rior a los que exis­ten acá en La­ti­noa­mé­ri­ca; bueno, pe­ro es un te­ma que ha si­do tra­ta­do, esa ex­pe­rien­cia es­tá sien­do com­par­ti­da con el res­to de los ban­cos, por lo tan­to, yo lo de­ja­ría un po­co a un la­do…”.

Ci­ber­sol­da­dos

Aun­que At­ton no ahon­da en el ata­que, sus me­di­das ha­blan por él, al con­tem­plar den­tro de las reformas que el país rea­li­za­rá en ma­te­ria de ci­ber­se­gu­ri­dad, un es­pa­cio es­tra­té­gi­co y des­ta­ca­do a los asun­tos de la ci­ber­de­fen­sa (los

CIRT sec­to­ria­les es­ta­rán co­nec­ta­dos con el es­ta­men­to crea­do por el Co­man­do Con­jun­to de las Fuer­zas Ar­ma­das pa­ra es­te ti­po de ame­na­zas), nor­ma­dos en la Po­lí­ti­ca Na­cio­nal de Ci­ber­se­gu­ri­dad, apro­ba­da en no­viem­bre de 2017, que afir­ma que “el Es­ta­do de Chi­le con­si­de­ra que un ci­be­ra­ta­que pue­de lle­gar a ser tan da­ñino co­mo un ata­que ar­ma­do. Chi­le po­drá con­si­de­rar los ci­be­ra­ta­ques ma­si­vos so­bre su so­be­ra­nía, sus ha­bi­tan­tes, su in­fra­es­truc­tu­ra, o aque­llos que afec­ten gra­ve­men­te sus in­tere­ses, co­mo un ata­que ar­ma­do, y de acuer­do con el ar­tícu­lo

51 de la Car­ta de las Na­cio­nes Uni­das, po­drá ha­cer uso de los me­dios que es­ti­me apro­pia­dos, tan­to fí­si­cos co­mo di­gi­ta­les, en el ejer­ci­cio de su de­re­cho a la le­gí­ti­ma defensa”. Ya en abril de 2017 Chi­le fue el pri­mer país sud­ame­ri­cano en ad­he­rir al Con­ve­nio so­bre la Ci­ber­de­lin­cuen­cia del Con­se­jo de Eu­ro­pa, co­no­ci­do co­mo Con­ve­nio de Bu­da­pest, que en­tró en vi­gor en 2004. Es­te es el pri­mer tra­ta­do in­ter­na­cio­nal so­bre de­li­tos co­me­ti­dos a tra­vés de in­ter­net y otras re­des in­for­má­ti­cas, que tra­ta en par­ti­cu­lar el frau­de in­for­má­ti­co, la por­no­gra­fía in­fan­til, los de­li­tos de odio y las vio­la­cio­nes de seguridad de red. A la fe­cha ha si­do ra­ti­fi­ca­do por 53 Es­ta­dos.

Más có­mo­do que At­ton se mues­tra el se­na­dor in­de­pen­dien­te Ken­neth Pugh pa­ra ha­blar de ci­ber­de­fen­sa. In­ge­nie­ro na­val y ex di­rec­tor de In­te­li­gen­cia de la Ar­ma­da de Chi­le, es uno de los más ac­ti­vos par­la­men­ta­rios en te­mas re­la­cio­na­dos con los nue­vos ám­bi­tos de la seguridad. Pugh con­fir­ma a Amé­ri­caE­co­no­mía que hay un co­no­ci­mien­to, al más al­to ni­vel, de que el ata­que con­tra el Ban­co de Chi­le po­dría li­gar­se con Co­rea del Nor­te, un ré­gi­men que ne­ce­si­ta con ur­gen­cia cir­cu­lan­te que le per­mi­ta man­te­ner su plan de desa­rro­llo nu­clear, una ca­rre­ra que ya le ha sig­ni­fi­ca­do un blo­queo in­ter­na­cio­nal. “Sí es­tá sien­do con­si­de­ra­da (la va­ria­ble de gru­pos de ci­be­ra­ta­que sub­ven­cio­na­dos por Es­ta­dos) y es par­te de las po­lí­ti­cas que ya han si­do im­ple­men­ta­das. Pe­ro tam­bién te­ne­mos que en­ten­der que Chi­le en­tró bas­tan­te atra­sa­do en el te­ma de re­gu­la­ción y nor­ma­ti­vas en ci­ber­se­gu­ri­dad”. El par­la­men­ta­rio aña­de que in­clu­so es mo­men­to de que Chi­le co­mien­ce a pen­sar en ci­ber­sol­da­dos, pen­san­do en las nue­vas ame­na­zas.

Su co­le­ga, el se­na­dor Fe­li­pe Har­boe, es más cla­ro que Pugh res­pec­to de la tra­ma nor­co­rea­na de­trás del ci­be­ra­ta­que al Ban­co de Chi­le: “No hay un do­cu­men­to que acre­di­te es­pe­cí­fi­ca­men­te la par­ti­ci­pa­ción de Co­rea del Nor­te con el ata­que su­fri­do por el Ban­co Chi­le en ma­yo, pe­ro es cier­to que los re­cur­sos sus­traí­dos apa­ren­te­men­te ha­brían ter­mi­na­dos en cuen­tas li­ga­das a ese país”, afir­ma. Har­boe tam­bién se mues­tra par­ti­da­rio de con-

for­mar un con­tin­gen­te de ci­ber­sol­da­dos: “es ab­so­lu­ta­men­te ne­ce­sa­rio pa­ra nues­tro país. Pien­se que en EE.UU. ya se ha­bla ac­tual­men­te de una cuar­ta ra­ma de las FF.AA., es­cua­dro­nes de ci­be­ra­ta­ques pa­ra afron­tar si­tua­cio­nes de ci­ber­de­fen­sa”.

Las in­da­ga­cio­nes de Amé­ri­caE­co­no­mía coin­ci­den con las de­cla­ra­cio­nes del ase­sor en seguridad de la ad­mi­nis­tra­ción Trump, Tho­mas P. Bos­sert, pu­bli­ca­das en The Wall Street Jour­nal el pa­sa­do 6 de septiembre, quien afir­mó ofi­cial­men­te que Co­rea del Nor­te es el res­pon­sa­ble del gi­gan­tes­co ata­que Wan­nacry. “Co­rea del Nor­te ha ac­tua­do es­pe­cial­men­te mal, en gran me­di­da sin con­trol, du­ran­te más de una dé­ca­da, y su com­por­ta­mien­to ma­li­cio­so se es­tá vol­vien­do ca­da vez más atroz”, sen­ten­ció Bos­sert. Asi­mis­mo, el De­par­ta­men­to de Es­ta­do de ese país pre­sen­tó car­gos con­tra Park Jin Hyok, un ciu­da­dano nor­co­reano que pa­re­cía tra­ba­jar en la com­pa­ñía Ko­rean Ex­po Joint Ven­tu­re, que no se­ría más que una fa­cha­da de un gru­po de ci­ber­sol­da­dos nor­co­rea­nos que ata­có a Sony En­ter­tain­ment en 2014.

Los chi­cos de Mi­rim Co­lle­ge

El nue­vo ape­ti­to de Pion­yang por los ban­cos, pri­va­dos y es­ta­ta­les, qui­zás no ha­bría si­do des­cu­bier­to si no hu­bie­ra si­do por los ves­ti­gios que de­ja­ron sus cua­dros du­ran­te el in­ten­to de ro­bo a la ban­ca po­la­ca, a ini­cios de 2017, me­dian­te la in­fec­ción de su red ban­ca­ria, a tra­vés de un vi­rus ins­ta­la­do en un soft­wa­re des­car­ga­ble de la pá­gi­na de su re­gu­la­dor fi­nan­cie­ro. Ad­ver­ti­do y ais­la­do el vi­rus por los ser­vi­cios in­for­má­ti­cos, in­ves­ti­ga­do­res en ci­ber­se­gu­ri­dad de Sy­man­tec pu­die­ron a ac­ce­der a un lis­ta­do de cer­ca de 100 ins­ti­tu­cio­nes ba­jo la mi­ra del ejér­ci­to de jó­ve­nes ci­ber­sol­da­dos de Co­rea del Nor­te, nom­bres sor­pren­den­tes y preo­cu­pan­tes pa­ra la re­gión, a los que tu­vo ac­ce­so Amé­ri­caE­co­no­mía: en Ve­ne­zue­la, el Ban­co Cen­tral de Ve­ne­zue­la, el Ban­co Mer­can­til y Day­co Te­le­com; en Es­pa­ña, el Ban­co Bil­bao Viz­ca­ya Ar­gen­ta­ria (BBVA) y el Ban­co Sa­ba­dell; en Cu­ba, la Em­pre­sa de Te­le­co­mu­ni­ca­cio­nes de Cu­ba (Etec­sa); en Re­pú­bli­ca Do­mi­ni­ca­na, el Ban­co Po­pu­lar Do­mi­ni­cano; en El Sal­va­dor, el Ban­co Az­te­ca; en Co­lom­bia, el Ban­co In­dus­trial Co­lom­biano, el Ban­co Col­pa­tria, el Ban­co de Bo­go­tá y Ban­co­lom­bia; en Pe­rú, Ban­co Az­te­ca Pe­rú y Te­le­fó­ni­ca del Pe­rú; en Bra­sil, el Ban­co Cen­tral do Bra­sil (Ban­co Cen­tral), el Ban­co do Bra­sil, Ban­co Bra­des­co, BTG Pac­tual e Itau Uni­ban­co; en Mé­xi­co, el Ban­co de Mé­xi­co (hac­kea­do), el Ban­co In­ter­ac­cio­nes, Gru­po Fi­nan­cie­ro Ban­co­mer, Sco­tia­bank, HSBC, Ban­co Santander, Bur­sa­tec, Ban­ca Afir­me y Ban­co Mo­nex; y en Chi­le, el Ban­co Cen­tral de Chi­le, Tel­mex Chi­le In­ter­net, GTD In­ter­net, el Ban­co Hi­po­te­ca­rio de Fo­men­to Na­cio­nal… y el Ban­co de Chi­le (hac­kea­do).

Pe­ro ¿quié­nes son los ci­ber­sol­da­dos en­tre­na­dos por la RGB, la agencia de in­te­li­gen­cia nor­co­rea­na, que se cal­cu­lan en­tre 3.000 y 6.000, en su ma­yo­ría ope­ran­do desde Chi­na, pa­ra apro­ve­char las me­jo­res con­di­cio­nes de su in­ter­net? Se tra­ta­ría de jó­ve­nes sa­li­dos en su ma­yo­ría de la Mi­rim Co­lle­ge, de la que ca­da año egre­san cer­ca de 100 ex­per­tos en ela­bo­ra­ción y pro­pa­ga­ción de vi­rus in­for­má­ti­cos, has­ta sis­te­mas de orien­ta­ción de ar­mas. Par­te del ejér­ci­to di­gi­ta­li­za­do que le ha per­mi­ti­do al ré­gi­men nor­co­reano di­ver­si­fi­car sus in­gre­sos, por lar­gas dé­ca­das re­la­cio­na­dos a la pro­duc­ción de he­roí­na, la im­pre­sión de fac­tu­ras fal­sas y la fal­si­fi­ca­ción de ci­ga­rri­llos de mar­ca, y que hoy se agru­pan en en­ti­da­des de ci­ber­sol­da­dos ex­tre­ma­da­men­te acei­ta­das, co­no­ci­das en la deep web co­mo La­za­rus y su uni­dad fi­nan­cie­ra Blue­no­roff.

“En 2017, los hac­kers de Co­rea del Nor­te in­fec­ta­ron las compu­tado­ras de Mi­cro­soft en to­do el mun­do con un gu­sano co­no­ci­do co­mo Wan­nacry. Los dis­po­si­ti­vos se vol­vie­ron inú­ti­les a me­nos que el pro­pie­ta­rio pa­ga­ra un res­ca­te en Bit­coin pa­ra des­con­ge­lar la compu­tado­ra. Más de 200.000 compu­tado­ras en 150 paí­ses se vie­ron afec­ta­das. Y so­lo en los úl­ti­mos tres años, los hac­kers nor­co­rea­nos han apun­ta­do a los ban­cos y a los ex­chan­ges de crip­to­mo­ne­das en los si­guien­tes paí­ses: Co­rea del Sur, Tai­lan­dia, In­dia, Fi­li­pi­nas, Po­lo­nia, Pe­rú, Viet­nam, Ni­ge­ria, Aus­tra­lia, Mé­xi­co, Ja­pón y Sin­ga­pur. En to­tal, es­tos atracos han re­cau­da­do unos US$ 650 mi­llo­nes en unos po­cos años”, di­ce Pa­trick Winn, co­rres­pon­sal de Pu­blic Ra­dio In­ter­na­tio­nal (PRI) en Asia, en un re­por­ta­je re­la­cio­na­do.

Los in­te­gran­tes de otros gru­pos sub­ven­cio­na­dos por Es­ta­dos más fa­mo­sos y peligrosos, li­ga­dos a Ru­sia y Chi­na, na­ve­gan por otras aguas pro­fun­das…

Pa­ra co­no­cer más so­bre es­tos gru­pos ac­ce­de­mos a una fuen­te en off de una im­por­tan­te em­pre­sa de ci­ber­se­gu­ri­dad

At­ton so­lo asien­te con la ca­be­za cuan­do Amé­ri­caE­co­no­mía le co­men­ta que exis­ten fun­da­das sos­pe­chas de que de­trás del ata­que al Ban­co de Chi­le hay un gru­po sub­ven­cio­na­do por un Es­ta­do, el nor­co­reano

glo­bal, a quien lla­ma­re­mos El Ana­lis­ta. Ubi­ca­do en una ca­pi­tal su­da­me­ri­ca­na, se ha es­pe­cia­li­za­do en ad­ver­tir pre­dic­to­res que pue­dan ca­rac­te­ri­zar los ata­ques si­guien­tes. El Ana­lis­ta nos co­men­ta: “Chi­na no bus­ca di­ne­ro. Chi­na es una eco­no­mía sus­ten­ta­ble, pe­ro sí se dio cuen­ta de que su po­de­río en el ci­be­res­pa­cio tie­ne que apun­tar al ro­bo de pro­pie­dad in­te­lec­tual. En ju­lio de 2017, hu­bo un pro­ble­ma de hac­keo con­tra la Uni­ver­si­dad de Aus­tra­lia, en Can­be­rra, lo que ge­ne­ró el en­fria­mien­to de las re­la­cio­nes bi­la­te­ra­les. Ese cam­pus al­ber­ga­ba in­for­ma­ción muy im­por­tan­te so­bre avan­ces en defensa. La agencia de seguridad ci­ber­né­ti­ca de Aus­tra­lia tam­bién ha cul­pa­do pre­via­men­te a un ser­vi­cio de in­te­li­gen­cia ex­tran­je­ro, sin iden­ti­fi­car­lo, de un ata­que de malwa­re, en 2015, con­tra su agencia me­teo­ro­ló­gi­ca… Es­to es pa­ra no creer­lo, pe­ro por al­go uno ve en el es­ce­na­rio in­ter­na­cio­nal es­tas alian­zas de no agre­sión. Ar­gen­ti­na fir­mó una con Es­ta­dos Uni­dos; aho­ra Chi­le tam­bién y, fi­nal­men­te, Aus­tra­lia ter­mi­nó fir­man­do una con Chi­na”.

“Y la vi­sión de los gru­pos li­ga­dos a Ru­sia es to­tal­men­te ofen­si­va. Es la de­mos­tra­ción de su po­de­río en la nue­va di­men­sión de la gue­rra: el ci­be­res­pa­cio. Siem­pre a tra­vés de sus gru­pos li­ga­dos, co­mo APT28, APT29 o Fancy Bears. Lo que tra­tan de de­cir­te con sus ope­ra­cio­nes es que tie­ne un po­der de fue­go glo­bal, sin lí­mi­tes”, fi­na­li­za El Ana­lis­ta.

Y así lo de­mos­tra­ron los osos lu­jo­sos en 2017, cuan­do el malwa­re Not­Pet­ya se ex­ten­dió desde los ser­vi­do­res de una pe­que­ña em­pre­sa de soft­wa­re ucra­nia­na, a al­gu­nas de las em­pre­sas más gran­des del mun­do, pa­ra­li­zan­do en 45 se­gun­dos sus ope­ra­cio­nes. Es­te ata­que de ban­de­ra ru­sa cau­só per­jui­cios por US$ 10.000 mi­llo­nes, da­ñan­do las ope­ra­cio­nes de com­pa­ñías co­mo Merck (re­por­tó da­ños por US$870 mi­llo­nes), Fe­dEx (US$400 mi­llo­nes), la cons­truc­to­ra fran­ce­sa Saint-Go­bain (US$384 mi­llo­nes), Maersk (US$300 mi­llo­nes), Mon­de­lez (US$188 mi­llo­nes) y Rec­kitt Benc­ki­ser (US$129 mi­llo­nes).

Do­ble gol­pe en Mé­xi­co

La Uni­dad de In­te­li­gen­cia de Mnemo-CERT (Cen­tro de Res­pues­ta a In­ci­den­tes Ci­ber­né­ti­cos de la Po­li­cía Fe­de­ral) lo ha­bía anun­cia­do desde el 30 oc­tu­bre de 2017. Una cam­pa­ña de ci­be­ra­ta­ques, de una com­ple­ji­dad nun­ca vis­ta en Mé­xi­co, ame­na­za­ba a las ins­ti­tu­cio­nes fi­nan­cie­ras.

El in­for­me de Mnemo -uno de los dos CERT de ca­pi­tal pri­va­do en Mé­xi­co y el úni­co es­pe­cia­li­za­do en ins­ti­tu­cio­nes fi­nan­cie­ras­fue el úni­co avi­so de aler­ta que ad­ver­tía lo que ocu­rri­ría me­ses des­pués. En el co­mu­ni­ca­do de ape­nas dos ho­jas se des­cri­bía el in­trin­ca­do mo­dus ope­ran­di: los de­lin­cuen­tes usur­pa­ban iden­ti­da­des o fal­si­fi­ca­ban in­for­ma­ción pa­ra abrir cuen­tas ban­ca­rias, pos­te­rior­men­te ins­ta­la­ban puer­tas tra­se­ras en los sis­te­mas de in­fra­es­truc­tu­ra ex­plo­tan­do las vul­ne­ra­bi­li­da­des en­con­tra­das. Des­pués, es­pe­ra­ban me­ses has­ta de­fi­nir la ma­ne­ra de eva­dir los con­tro­les de au­ten­ti­ca­ción, a par­tir del aná­li­sis de las ope­ra­cio­nes en los sis­te­mas in­ter­nos de la ins­ti­tu­ción fi­nan­cie­ra. Fi­nal­men­te, se eje­cu­ta­ban trans­fe­ren­cias no re­co­no­ci­das de fon­dos a otras cuen­tas, que pos­te­rior­men­te las “mu­las” re­ti­ra­rían en efec­ti­vo.

No se sa­be cuán­to di­ne­ro se ro­ba­ron en esos úl­ti­mos me­ses de 2017, pe­ro no fue un gol­pe con­tun­den­te. Al­gu­nos ban­cos cre­ye­ron ha­ber ven­ci­do a los hac­kers, y tal vez por eso la co­la­bo­ra­ción en­tre las ins­ti­tu­cio­nes, los en­tes re­gu­la­do­res y los equi­pos de ci­ber­se­gu­ri­dad fue es­ca­sa. Si la in­for­ma­ción hu­bie­ra flui­do con ma­yor ge­ne­ro­si­dad en­tre las ins­ti­tu­cio­nes, di­ce Car­los Aya­la, In­ci­dent Res­pon­se Ma­na­ger

en la fir­ma de ci­ber­se­gu­ri­dad Man­diant, se po­dría ha­ber mi­ti­ga­do la con­tun­den­cia de los ata­ques pos­te­rio­res.

La gra­ve­dad de es­tos in­ci­den­tes no al­can­zó a ac­ti­var las alar­mas den­tro del sec­tor. Fue has­ta enero de 2018, des­pués del in­ten­to de ro­bo al Ban­co Na­cio­nal de Co­mer­cio Ex­te­rior de Mé­xi­co (Ban­co­mext), cuan­do las ins­ti­tu­cio­nes fi­nan­cie­ras se die­ron cuen­ta del al­can­ce que po­dían te­ner es­tos ata­ques. Si los ci­ber­de­lin­cuen­tes se hu­bie­ran sa­li­do con la su­ya, se ha­bría con­ver­ti­do en el ma­yor ro­bo (US$110 mi­llo­nes) en con­tra de una ins­ti­tu­ción fi­nan­cie­ra en el mun­do, a tra­vés de la vul­ne­ra­ción de un sis­te­ma de pa­gos in­ter­ban­ca­rios.

Los ata­can­tes pre­ten­dían apro­ve­char el lar­go pe­rio­do en­tre el 12 de di­ciem­bre -el día de la Vir­gen de Gua­da­lu­pe- y el 6 de enero -día de Re­yes-, en que dis­mi­nu­ye mu­cho la ac­ti­vi­dad en Mé­xi­co. Esa ma­ña­na del lu­nes 9, de reini­cio, la abu­lia pa­re­cía ha­ber con­ta­gia­do al sis­te­ma in­for­má­ti­co de Ban­co­mext: las pan­ta­llas de va­rias compu­tado­ras no en­cen­dían y la red co­rría a mar­chas for­za­das. Los tra­ba­ja­do­res en­car­ga­dos de ve­ri­fi­car las ór­de­nes de pa­go emi­ti­das por el sis­te­ma de trans­fe­ren­cias in­ter­na­cio­na­les SWIFT se die­ron cuen­ta de cier­ta ac­ti­vi­dad inusual. Las transac­cio­nes de la cuen­ta de Stan­dard Char­te­red, que Ban­co­mext uti­li­za pa­ra rea­li­zar trans­fe­ren­cias in­ter­na­cio­na­les, no coin­ci­dían con las ór­de­nes de pa­go. Un vi­rus de nue­va ge­ne­ra­ción ha­bía per­ma­ne­ci­do por quien sa­be cuán­to tiem­po en los ser­vi­do­res de Ban­co­mext, y des­per­ta­ba en un día par­ti­cu­lar­men­te di­fí­cil. La ins­ti­tu­ción crea­da pa­ra pro­mo­ver y fi­nan­ciar las ex­por­ta­cio­nes en Mé­xi­co al­can­zó a de­te­ner las trans­fe­ren­cias, sus­pen­dió por ho­ras sus ope­ra­cio­nes, se ce­rra­ron al­gu­nos ser­vi­do­res y mu­chos de los tra­ba­ja­do­res fue­ron en­via­dos de vuelta a sus ca­sas. Los de­lin­cuen­tes, hac­kers nor­co­rea­nos, se­gún va­rios ana­lis­tas con­sul­ta­dos por Amé­ri­caE­co­no­mía, no se pu­die­ron lle­var un pe­so es­ta vez.

La in­ver­sión en ci­ber­se­gu­ri­dad por par­te de las ins­ti­tu­cio­nes fi­nan­cie­ras au­men­tó drás­ti­ca­men­te des­pués de ese ata­que. Tan­to, que mu­chas em­pre­sas de ci­ber­se­gu­ri­dad co­men­za­ron de­ses­pe­ra­da­men­te a bus­car ca­pi­tal hu­mano pa­ra po­der sa­tis­fa­cer a las nue­vas ne­ce­si­da­des del sec­tor. Se­gún la Aso­cia­ción de Ban­cos de Mé­xi­co (ABM), en 2018 la in­ver­sión en ci­ber­se­gu­ri­dad de las ins­ti­tu­cio­nes fi­nan­cie­ras au­men­ta­rá más de un 100%. En 2017, al­can­zó US$ 150 mi­llo­nes.

Me­ses des­pués, exac­ta­men­te el 26 de abril, se de­tec­ta­ron nue­vos ata­ques, una cam­pa­ña si­mi­lar a la de 2017, y con un mo­do de ope­rar que guar­da cier­tas coin­ci­den­cias con el ata­que a Ban­co­mext. “Arre­me­te con­tra las mis­mas vul­ne­ra­bi­li­da­des”, di­ce Ru­bén Aquino, di­rec­tor del CERT de Mnemo, “pe­ro es im­po­si­ble ase­gu­rar en es­te mo­men­to que se tra­te de los mis­mos ata­can­tes”.

Los de­lin­cuen­tes apun­ta­ron es­ta vez al sis­te­ma de pa­gos elec­tró­ni­cos in­ter­ban­ca­rios (SPEI) ope­ra­do por el Ban­co de Mé­xi­co (Ban­xi­co). Un sis­te­ma ro­bus­to y so­fis­ti­ca­do a ni­vel mun­dial, por me­dio del cual se rea­li­za­ron el año pa­sa­do 480 mi­llo­nes de pa­gos en­tre per­so­nas fí­si­cas y mo­ra­les, por un va­lor de US$ 14.000.000 mi­llo­nes.

“Lo­gra­ron hac­kear al­gún ti­po de soft­wa­re uti­li­za­do por al­gu­nos de los ban­cos. En es­tos me­tie­ron mu­chí­si­mas ope­ra­cio­nes adi­cio­na­les”, ex­pli­ca Mar­co Mar­tí­nez Ga­vi­ca, pre­si­den­te de la Aso­cia­ción de Ban­cos de Mé­xi­co (ABM). “Es una ban­da, unos se­ño­res que hac­kean, se meten al sis­te­ma, lo adul­te­ran y le sa­can más re­cur­sos. Y lue­go abren cuen­tas en otros ban­cos y hay gen­te que va y retira en

efec­ti­vo el de­pó­si­to que aca­ba de lle­gar”.

Un día des­pués, Ban­xi­co emi­tió un es­cue­to co­mu­ni­ca­do de pren­sa en el que men­cio­na­ba los “in­ci­den­tes”. Se­gún un al­to ejecutivo de una ins­ti­tu­ción fi­nan­cie­ra, nun­ca se le dio la jus­ta di­men­sión a lo que real­men­te es­ta­ba pa­san­do: un ata­que ci­ber­né­ti­co de al­ta com­ple­ji­dad. Pa­sa­ron días an­tes de que Ban­xi­co pi­die­ra a los ban­cos cam­biar a una co­ne­xión al­ter­na. A me­dia­dos de ma­yo, ya eran cin­co las ins­ti­tu­cio­nes fi­nan­cie­ras afec­ta­das. Los hac­kers se fue­ron es­ta vez con unos US$ 15 mi­llo­nes, has­ta don­de se sa­be, ya que la opa­ci­dad y la fal­ta de co­la­bo­ra­ción en cuan­to al flu­jo de la in­for­ma­ción es un lu­gar co­mún en es­te sec­tor. “El prin­ci­pal bien que ma­ne­ja una ins­ti­tu­ción fi­nan­cie­ra es la con­fian­za y la repu­tación”, sen­ten­cia Ma­rio Is­la, di­rec­tor de Ne­go­cios de Mnemo. “Cual­quier ti­po de re­co­no­ci­mien­to de que al­go pue­de es­tar ocu­rrien­do pue­de ser muy per­ju­di­cial pa­ra el ne­go­cio. Por eso es muy co­mún que se cai­ga en ese se­cre­tis­mo que so­lo be­ne­fi­cia a los de­lin­cuen­tes”, re­cal­ca.

Los ata­ques de abril han mo­vi­li­za­do al sec­tor fi­nan­cie­ro me­xi­cano en con­tra de la ci­ber­de­lin­cuen­cia co­mo nun­ca lo ha­bía he­cho. Tan so­lo unas se­ma­nas des­pués de los even­tos la Se­cre­ta­ría de Ha­cien­da, el Ban­co de Mé­xi­co y la Co­mi­sión Na­cio­nal Ban­ca­ria y de Va­lo­res (CNBV), y las prin­ci­pa­les ins­ti­tu­cio­nes fi­nan­cie­ras del país, fir­ma­ron un con­ve­nio de seguridad y se de­fi­nió un pro­to­co­lo de ci­ber­se­gu­ri­dad adi­cio­nal a la Es­tra­te­gia Na­cio­nal de Ci­ber­se­gu­ri­dad, pu­bli­ca­da ape­nas a fi­na­les de 2017 (un com­por­ta­mien­to reac­ti­vo si­mi­lar al que ocu­rre en Chi­le).

La coope­ra­ción pa­re­ce es­tar flu­yen­do de una ma­ne­ra más efi­cien­te. En una reunión re­cien­te de la Aso­cia­ción de Ban­cos de Mé­xi­co (ABM), se anun­ció que un gru­po de 18 ban­cos es­tá tra­ba­jan­do pa­ra for­ta­le­cer la co­la­bo­ra­ción en­tre los ban­cos y es­pe­cial­men­te al SPEI. “Nue­vos có­di­gos y pro­to­co­los de com­por­ta­mien­to fren­te a cual­quier aler­ta per­mi­ten una co­mu­ni­ca­ción en tiem­po real en­tre los ope­ra­do­res de los ban­cos y Ban­xi­co”, di­ce Mar­tí­nez Ga­vi­ca. “Cuan­do al­gún ban­co de­tec­ta al­gu­na ano­ma­lía o pro­ba­bi­li­dad de even­to, lo co­mu­ni­ca in­me­dia­ta­men­te a sus co­le­gas; es­tá fun­cio­nan­do (esa co­mu­ni­ca­ción)”, des­ta­ca.

Pe­ro la in­mi­nen­cia de un nue­vo ata­que es cues­tión de tiem­po, ad­vier­te Car­los Aya­la, In­ci­dent Res­pon­se Ma­na­ger en Man­diant. “Las so­lu­cio­nes, en la ma­yo­ría de los ca­sos, son muy tec­no­ló­gi­cas y po­co es­tra­té­gi­cas. Son es­fuer­zos ais­la­dos. Va a lle­gar el mo­men­to en que pa­se al­go crí­ti­co, al­go im­por­tan­te co­mo pa­só en los úl­ti­mos me­ses, y no es­ta­mos pre­pa­ra­dos. Se tra­ba­ja en par­ches… pe­ro no se in­vier­te ca­si en la es­tra­te­gia, co­mo se de­be­ría”, enu­me­ra.

Re­me­diar más que pre­ve­nir

Un re­por­te de World Eco­no­mic Fo­rum (WEF) des­ta­ca que los ci­be­ra­ta­ques son la ma­yor ame­na­za hu­ma­na que en­fren­ta la eco­no­mía glo­bal. “Ya no es un atra­co a mano ar­ma­da, es ca­si un cri­men per­fec­to y muy ba­ra­to”, di­ce a Amé­ri­caE­co­no­mía Da­niel Dobry­gows­ki, ge­ren­te de Go­ber­nan­za y Po­lí­ti­cas del Cen­tro pa­ra Ci­ber­se­gu­ri­dad (C4C) del WEF. “(Con es­te pro­ce­di­mien­to, las ma­fias) ob­tie­nen mu­cho di­ne­ro, sin vio­len­cia ni pe­li­gros aso­cia­dos y la ma­yor par­te del tiem­po no se pue­den cap­tu­rar, por­que se mue­ven y trans­fie­ren cons­tan­te­men­te los fon­dos ro­ba­dos”, re­su­me.

Y por su­pues­to, el di­ne­ro ja­más se re­cu­pe­ra.

El pro­ble­ma es que ya no se tra­ta so­lo de “to­mar el di­ne­ro y huir con él”. Co­mo el mis­mo Dobry­gows­ki des­ta­ca,

la pe­li­gro­sa ten­den­cia de­tec­ta­da por ana­lis­tas de seguridad y el mis­mo WEF es que las ban­das “es­tán ro­ban­do in­for­ma­ción ban­ca­ria y fi­nan­cie­ra so­bre có­mo fun­cio­na el sis­te­ma de pa­gos y trans­fe­ren­cias: li­te­ral­men­te ro­ban los ma­nua­les in­ter­nos (de ban­cos), apren­dien­do có­mo ex­plo­tar a su fa­vor la for­ma en que se mue­ven las trans­fe­ren­cias de di­ne­ro desde EE.UU. a paí­ses de La­ti­noa­mé­ri­ca”. Al pa­re­cer, aven­tu­ra, es­tos gru­pos con­si­de­ran me­nos pro­te­gi­do el sis­te­ma ban­ca­rio sud­ame­ri­cano que el es­ta­dou­ni­den­se.

Por eso tan­to en ENISA, la Agencia Eu­ro­pea de Seguridad de las Re­des y la In­for­ma­ción, co­mo en el WEF des­ta­can la re­le­van­cia que pue­den ju­gar los ter­mi­na­les de la red de va­li­da­ción SWIFT, com­pa­ñía que no res­pon­dió a las con­sul­tas de Amé­ri­caE­co­no­mía pa­ra es­te re­por­ta­je. Sin em­bar­go, es ma­ni­fies­ta la cri­ti­ca de la in­dus­tria de ci­ber­se­gu­ri­dad con­tra los es­fuer­zos lá­bi­les de SWIFT por apor­tar a la seguridad, po­nien­do el acen­to en la ra­pi­dez de su ser­vi­cio de transac­cio­nes. No bas­ta ya con que la com­pa­ñía re­sal­te que su sis­te­ma no ha si­do vul­ne­ra­do y que se ha tra­ta­do so­lo de “fa­llas hu­ma­nas” de quie­nes lo usan.

De acuer­do con un re­cien­te re­por­te de Bos­ton Con­sul­ting Group (BCG) y QuoS­cient, la ban­ca, ba­jo el cons­tan­te ata­que de ci­ber­cri­mi­na­les, no con­ta­ría con las ca­pa­ci­da­des ope­ra­cio­na­les y la re­si­lien­cia pa­ra una ade­cua­da pro­tec­ción. El sec­tor tie­ne un li­mi­ta­do en­ten­di­mien­to de sus for­ta­le­zas cla­ve y po­ca com­pren­sión res­pec­to de las ame­na­zas que es­tá en­fren­tan­do. To­do es­to se ve em­peo­ra­do por la es­ca­sez de ta­len­to.

Se­gún el aná­li­sis, se de­be­ría par­tir por re­co­no­cer el pro­ble­ma co­mo un ries­go del sec­tor y no co­mo un tó­pi­co ex­clu­si­vo del equipo TI. Con ese en­fo­que, cual­quier res­pues­ta de­be ser es­tra­té­gi­ca y ope­ra­cio­nal, avan­zan­do ha­cia in­cor­po­rar la ci­ber-re­si­lien­cia den­tro del mo­de­lo ope­ra­cio­nal.

El es­tu­dio ex­pli­ca que el fo­co de­be­rá cam­biar­se, desde el tra­ba­jo pa­ra evi­tar ci­be­ra­ta­ques ha­cia la con­ten­ción y rá­pi­da su­pera­ción de es­tos. Po­dría so­nar cí­ni­co y has­ta de­rro­tis­ta, pe­ro tal co­mo di­jo el ex di­rec­tor del FBI, Ro­bert Mue­ller, las ins­ti­tu­cio­nes se di­vi­den en­tre aque­llas que han si­do hac­kea­das y aque­llas que to­da­vía no sa­ben que han si­do hac­kea­das.

Una má­xi­ma ba­jo la que se ri­ge la em­pre­sa de seguridad in­for­má­ti­ca For­ce­point. Con pre­sen­cia en Amé­ri­ca La­ti­na y EE.UU., com­bi­na dis­tin­tos soft­wa­res de de­tec­ción con un tra­ba­jo de pro­fi­ling en ca­da em­pre­sa, ya que otra de sus má­xi­mas es que usual­men­te el fac­tor hu­mano es el que po­si­bi­li­ta los ci­be­ra­ta­ques. “He­mos desa­rro­lla­do tec­no­lo­gía pa­ra ma­ne­jar te­mas de fil­tra­ción de da­tos, usua­rios ma­li­cio­sos, usua­rios com­pro­me­ti­dos por ter­ce­ras par­tes, con­duc­tas ilí­ci­tas y con­duc­tas ne­ga­ti­vas”, ex­pli­ca Lu­kas Alar­cón, For­ce­point Con­sul­ting En­gi­neer. En la fir­ma son en­fá­ti­cos en se­ña­lar que los gran­des ro­bos ge­ne­ral­men­te son con ayu­da o com­pli­ci­dad in­ter­na, has­ta en un 80%. No so­lo eso. Tam­bién afir­man que a ni­vel de la ban­ca re­gio­nal se han co­no­ci­do ca­sos don­de se tra­ba­ja con he­rra­mien­tas ob­so­le­tas, desde len­gua­je de pro­gra­ma­ción Co­bol (crea­do en 1959) a Win­dows XP (sis­te­ma ope­ra­ti­vo de Mi­cro­soft lan­za­do al mer­ca­do en 2001), y que su defensa se ba­sa en con­tar con sis­te­mas de an­ti­vi­rus.

Las bre­chas que se abrie­ron

Pe­ro tam­bién es cier­to que la an­sia­da trans­for­ma­ción di­gi­tal ha abier­to ren­di­jas por don­de los ci­be­ra­ta­can­tes se cue­lan pa­ra ro­bar. Atri­bu­tos trans­ver­sa­les a la ban­ca la­ti­noa­me­ri­ca­na y am­plia­men­te po­ten­cia­dos por el mar­ke­ting pa­ra atraer clien­tes, co­mo ho­me ban­king, el desa­rro­llo de apps pa­ra clien­tes; o pro­ce­sos ad­mi­nis­tra­ti­vos, fi­nan­cie­ros y con­ta­bles de los ban­cos en am­bien­te cloud, la abun­dan­te ter­ce­ri­za­ción de sus pro­ce­sos o el tra­ba­jo re­mo­to, son al­gu­nos de esos avan­ces que con­tie­nen al mis­mo tiem­po in­gen­tes

Las in­da­ga­cio­nes de Amé­ri­caE­co­no­mía coin­ci­den con las de­cla­ra­cio­nes del ase­sor en seguridad de la ad­mi­nis­tra­ción Trump, Tho­mas P. Bos­sert, el pa­sa­do 6 de septiembre, quien afir­mó ofi­cial­men­te que Co­rea del Nor­te es el res­pon­sa­ble del gi­gan­tes­co ata­que Wan­nacry

ries­gos pa­ra la ci­ber­se­gu­ri­dad.

A jui­cio de An­drés Pé­rez, di­rec­tor re­gio­nal de ven­tas en For­ti­net pa­ra Chi­le, Pe­rú y Ecua­dor, “la mo­vi­li­dad y la trans­for­ma­ción di­gi­tal cam­bia­ron el jue­go. Aho­ra las per­so­nas se co­nec­tan desde cual­quier par­te y en cual­quier mo­men­to”. Un pun­to con el que con­cuer­da Eric Her­son, con­sul­tor prin­ci­pal en prác­ti­cas inteligentes de seguridad glo­bal en SAS: “La eco­no­mía di­gi­tal, que es par­te de la re­vo­lu­ción mó­vil, ha si­do un gran dis­rup­tor y nos ha obli­ga­do a ver to­do de una nue­va ma­ne­ra”, reconoce.

El di­rec­ti­vo en For­ti­net acla­ra que la in­ver­sión en TI de los ban­cos es muy al­ta, pe­ro gran par­te es­tá en­fo­ca­da en la usa­bi­li­dad y ex­pe­rien­cia de usua­rio (mo­vi­li­dad, ac­ce­so, por­ta­bi­li­dad), no en la seguridad.

En el ca­so de Chi­le, por ejem­plo, se­gún re­ve­ló el su­per­in­ten­den­te de Ban­cos e Ins­ti­tu­cio­nes Fi­nan­cie­ras del país, Ma­rio Fa­rren, en 2017 la ban­ca in­vir­tió en ci­ber­se­gu­ri­dad unos US$ 60 mi­llo­nes, un 0,5% de los re­sul­ta­dos ope­ra­cio­na­les bru­tos del sis­te­ma, ci­fra que au­men­ta­ría a unos US$ 89 mi­llo­nes es­te año. Sin em­bar­go, el mon­to no es al­to con­si­de­ran­do la in­ver­sión to­tal en Tec­no­lo­gías de la In­for­ma­ción de la ban­ca chi­le­na, unos US$ 929 mi­llo­nes en 2017.

De es­ta for­ma, las nue­vas he­rra­mien­tas tec­no­ló­gi­cas -que su­po­nen una me­jor ex­pe­rien­cia de ser­vi­cio pa­ra los clien­te­sa­brie­ron a su vez una bre­cha de seguridad preo­cu­pan­te. Ten­den­cias co­mo bring your own de­vi­ce, que in­vi­tan a los em­plea­dos a tra­ba­jar con un dis­po­si­ti­vo pro­pio, son un ejem­plo de es­to. “El desafío es po­der lle­var la seguridad lo más cer­ca­na al pun­to de co­ne­xión del usua­rio, por­que ya no vas a po­der con­tro­lar ca­da uno de los dis­po­si­ti­vos que las per­so­nas uti­li­zan. En­ton­ces, lo que hay que po­ner son po­lí­ti­cas de seguridad y pro­tec­ción”, ad­vier­te Pé­rez, de For­ti­net.

Ni­co­lás Co­rra­do, So­cio Risk Ad­vi­sory en De­loit­te, apor­ta con una es­ce­na co­ti­dia­na que gra­fi­ca el ries­go cons­tan­te de es­tos avan­ces: “Cuan­do ha­blo con los di­rec­to­rios, las preguntas que a ve­ces les ha­go son: ¿us­te­des tie­nen un iPad o una ta­blet?¿Ta­blet o ce­lu­lar? ¿Tie­nen los emails ahí, tra­ba­jan y leen so­bre eso? Cuan­do su hi­jo o su nie­to le pi­de al­go pa­ra ju­gar, ¿qué le da? ¿El ce­lu­lar o la ta­blet? En­ton­ces, ahí la ba­rre­ra se rom­pió, por­que el hi­jo o el nie­to conoce mu­cho y em­pie­za a ba­jar jue­gos, y hay mu­chos jue­gos que tie­nen vi­rus o co­sas o malwa­re aden­tro… ese es el gran pro­ble­ma, por ejem­plo, con An­droid, y que a ve­ces tam­bién lo su­fre Ap­ple, que le meten un soft­wa­re no va­li­da­do muy bien, y tie­nen unas vul­ne­ra­bi­li­da­des, un ca­ba­lli­to de Tro­ya pa­ra des­truir”.

An­drés Pé­rez aña­de otro ca­bo suel­to: el ex­ce­so de pro­vee­do­res de ci­ber­se­gu­ri­dad pa­ra la ban­ca. “La seguridad cre­ció de ma­ne­ra inor­gá­ni­ca; cre­cía a me­di­da que apa­re­cía una vul­ne­ra­bi­li­dad. En­ton­ces, dá­ba­mos seguridad a equis sis­te­ma y apa­re­cía un ata­que nue­vo que no lo po­días de­te­ner con lo ad­qui­ri­do an­tes.”. Aña­de que hoy en día es muy co­mún que cual­quier em­pre­sa ten­ga por lo me­nos 16 dis­po­si­ti­vos de seguridad, ca­da uno con sus res­pec­ti­vas con­so­las de ad­mi­nis­tra­ción y, alar­man­te­men­te, pro­vis­ta por di­fe­ren­tes com­pa­ñías, ya que los pro­yec­tos se li­ci­tan in­di­vi­dual­men­te.

Ju­lián Da­na, di­rec­tor de Man­diant pa­ra La­ti­noa­mé­ri­ca en Fi­reE­ye, apun­ta tam­bién que an­te lo com­ple­jo que se ha vuel­to es­te nue­vo en­torno, don­de ca­si to­do se di­gi­ta­li­za, los pro­vee­do­res de dis­tin­tos ser­vi­cios del ban­co pue­den ser una puer­ta de en­tra­da pa­ra los ata­can­tes. “He­mos vis­to a mu­chas em­pre­sas ata­ca­das por sus re­des o co­ne­xio­nes de ter­ce­ros”, re­ve­la. Un es­tu­dio del pro­fe­sor Zac Ro­gers, de la Uni­ver­si­dad de Co­lo­ra­do, y Tho­mas Y. Choi, de CAPS Re­search, y pu­bli­ca­do en Har­vard Business Re­view, re­ve­la que más del 60% de los ata­ques rea­li­za­dos en EE.UU., en 2017, fue­ron he­chos desde sis­te­mas de TI de pro­vee­do­res y con­tra­tis­tas, por­cen­ta­je que va en al­za.

El fac­tor in­terno, hu­mano, sue­le ser ori­gen de va­rios do­lo­res de ca­be­za. Tony Ans­com­be, con­fe­ren­cis­ta glo­bal de la em­pre­sa de an­ti­vi­rus ESET, cuen­ta que las fa­llas e in­fec­cio­nes tí­pi­cas em­pie­zan por los em­plea­dos, a los que se les ata­ca con fór­mu­las pre­ci­sas. “Así, ya no es al­go

de in­fec­tar tres mi­llo­nes de má­qui­nas en al­gún lu­gar, sino que en in­fec­tar diez má­qui­nas en una or­ga­ni­za­ción que me pue­da ge­ne­rar al­gu­na ga­nan­cia eco­nó­mi­ca. Hay una gran di­fe­ren­cia en el por qué o la for­ma en que la gen­te es ata­ca­da”, cuen­ta.

Por otro la­do, los clien­tes tam­bién de­ben ser in­for­ma­dos so­bre los pe­li­gros de es­te ti­po de ata­ques. “El es­la­bón más dé­bil son los pro­pios cuen­ta­co­rren­tis­tas que no ne­ce­sa­ria­men­te tie­nen con­cien­cia del au­to­cui­da­do di­gi­tal y que pue­den en­tre­gar sus con­tra­se­ñas y/o in­for­ma­ción per­so­nal sin dar­se cuen­ta de que son víc­ti­mas de una cam­pa­ña de phis­hing di­ri­gi­do o de in­ge­nie­ría so­cial”, co­men­ta Pa­tri­cio Vi­lla­cu­ra, Sa­les Spe­cia­list de Sy­man­tec Chi­le.

Es por es­to que, abor­dar es­tas ame­na­zas, apos­tan­do to­do en una so­la car­ta, co­mo la tec­no­ló­gi­ca, no es la so­lu­ción. La edu­ca­ción in­ter­na y una vi­sión ad­mi­nis­tra­ti­va y de ne­go­cio con­for­man un mix que pa­re­ce ne­ce­sa­rio, pues to­do in­di­ca que los ata­ques se­gui­rán.

Ha­cia la re­si­lien­cia de la UE

Quien lle­va le­guas de ven­ta­ja en la es­tra­te­gia de pro­tec­ción es el Vie­jo Con­ti­nen­te. Eu­ro­pa no es­tá a sal­vo del ci­ber­cri­men. Por el con­tra­rio, el ca­so de Es­to­nia -ver re­cua­dro- y los es­pec­ta­cu­la­res ata­ques Not­Pet­ya -di­ri­gi­do a des­es­ta­bi­li­zar a Ucra­nia, pe­ro que ter­mi­nó in­fec­tan­do a me­dio con­ti­nen­te- y Wan­nacry, y el me­nos sen­sa­cio­nal ata­que de Bad Rab­bit, a prin­ci­pios de oc­tu­bre de 2017, de­ja­ron a va­rias em­pre­sas afec­ta­das… y a los usua­rios un po­co pa­ra­noi­cos. Pe­ro ese te­mor cons­tan­te ha da­do pa­so a una re­si­lien­cia de la que de­be­ría apren­der Amé­ri­ca La­ti­na.

“Lo úni­co se­gu­ro es que se­gui­rán ocu­rrien­do más ata­ques de es­te ti­po y ca­da vez más so­fis­ti­ca­dos, por­que hay or­ga­ni­za­cio­nes cri­mi­na­les de­trás de es­to que tie­nen el mis­mo ni­vel de desa­rro­llo de soft­wa­re que la in­dus­tria más avan­za­da, y su ob­je­ti­vo pri­mor­dial es el di­ne­ro”. Así de des­car­na­do lo plan­tea Ste­ve

Pur­ser, je­fe de Ope­ra­cio­nes Prin­ci­pa­les en ENISA, la agencia de la Unión Eu­ro­pea pa­ra la seguridad e in­for­ma­ción en red, al ha­blar con Amé­ri­caE­co­no­mía. Desde esa agencia, con se­de en Gre­cia, es que se han im­pul­sa­do las prin­ci­pa­les re­gu­la­cio­nes y ac­cio­nes so­bre ci­ber­se­gu­ri­dad pa­ra

el conglomerado de na­cio­nes eu­ro­peas. Gra­cias a eso, hoy la UE tie­ne en cier­to sen­ti­do la de­lan­te­ra le­gal: una di­rec­ti­va pa­ra ci­ber­se­gu­ri­dad de­no­mi­na­da NIS, desde 2016, y otra es­pe­cí­fi­ca pa­ra la seguridad de las transac­cio­nes elec­tró­ni­cas de di­ne­ro, lla­ma­da PSD2, desde enero de es­te año (y que re­em­pla­zó a la PSD1, de 2009). A ellas se une la re­cien­te Ley de Pro­tec­ción Ge­ne­ral de Da­tos (GDPR por sus si­glas en in­glés), que to­mó cua­tro años de dis­cu­sio­nes y otros dos en im­ple­men­tar­se, desde su pro­mul­ga­ción en 2016. Es­te 25 de ma­yo em­pe­zó a re­gir y, aun­que ha ge­ne­ra­do más in­quie­tu­des que cer­te­zas, de­bi­do a que abar­ca to­do el es­pec­tro de em­pre­sas que ma­ne­jan da­tos -ex­cep­to los le­ga­les, mi­li­ta­res, cien­tí­fi­cos y de me­no­res de edad- y que con­tem­pla mul­tas al­tí­si­mas si se de­tec­tan fa­llas de seguridad, se mi­ra co­mo el es­tán­dar al cual otras na­cio­nes y blo­ques de­be­rían as­pi­rar en tér­mi­nos de pro­tec­ción ciudadana de da­tos y pri­va­ci­dad.

“La GDPR ha te­ni­do un enor­me im­pac­to en to­dos los sec­to­res de la so­cie­dad (eu­ro­pea)”, di­ce Sa­muel Mar­tí­nez, abo­ga­do de la fir­ma le­gal es­pa­ño­la Os­bor­ne-Clar­ke. “Al­gu­nos ala­ban con acier­to las nue­vas ga­ran­tías que ofre­ce a las per­so­nas fí­si­cas res­pec­to al con­trol de sus da­tos y el uso que pue­den ha­cer de ellos las en­ti­da­des con las que es­ta­ble­cen re­la­cio­nes (…) pe­ro no siem­pre el cum­pli­mien­to de las nue­vas obli­ga­cio­nes por par­te de las em­pre­sas se ha efec­tua­do de ma­ne­ra or­de­na­da y ade­cua­da”, ma­ti­za.

Da­do que es una re­gu­la­ción que se apli­ca a to­das las em­pre­sas, sin dis­tin­ción de sec­to­res, y con ba­se en la tra­di­ción an­glo­sa­jo­na, la GDPR “en lu­gar de de­li­mi­tar los me­dios es­pe­cí­fi­cos pa­ra cum­plir con las obli­ga­cio­nes im­pues­tas, es­ta­ble­ce un prin­ci­pio de ac­coun­ta­blity por el que los su­je­tos obli­ga­dos de­ben au­to­eva­luar de ma­ne­ra re­gu­lar su ade­cua­ción y cum­pli­mien­to”, pre­ci­sa el tam­bién abo­ga­do Rafael Gar­cía del Po­yo. En ese sen­ti­do, se ale­ja de le­yes de ci­ber­se­gu­ri­dad y pro­tec­ción de da­tos co­mo la que se dis­cu­te en Es­pa­ña, por ejem­plo, que es más ex­ten­sa y es­pe­cí­fi­ca, con dis­po­si­cio­nes más con­cre­tas so­bre ni­ve­les de seguridad in­for­má­ti­ca y de re­des, fun­cio­nes del re­gu­la­dor y sis­te­mas de res­pues­ta an­te in­ci­den­tes, ex­pli­can desde el es­tu­dio de abo­ga­dos.

Co­la­bo­ra­ción en­tre ac­to­res

Las di­rec­ti­vas, le­yes e ins­ti­tu­cio­nes que exis­ten o se es­tu­dian en la UE en el ám­bi­to de ci­ber­se­gu­ri­dad y pro­tec­ción de da­tos res­pon­den al plan de con­tar con el de­no­mi­na­do Mer­ca­do Úni­co Di­gi­tal pa­ra el blo­que ha­cia 2020. Un ca­mino que pre­ten­de me­jo­rar la com­pe­ti­ti­vi­dad fu­tu­ra de la Unión Eu­ro­pea, y que tie­ne a la ya men­cio­na­da ENISA co­mo uno de los en­tes ar­ti­cu­la­do­res.

ENISA se au­to­de­fi­ne co­mo un hub de in­for­ma­ción en la ma­te­ria, a pe­sar de que no cuen­ta con más de 60 in­te­gran­tes fi­jos y tie­ne un pre­su­pues­to más bien mo­des­to, de 11 mi­llo­nes de eu­ros anua­les. Su rol por aho­ra ha si­do más de coor­di­na­ción que de eje­cu­ción, ex­pli­ca Ste­ve Pur­ser, de ENISA, quien des­ta­ca or­gu­llo­so la que ha si­do su ma­yor ta­rea has­ta el mo­men­to: la or­ga­ni­za­ción de los ejer­ci­cios de ci­ber­se­gu­ri­dad de la UE. “Po­si­ble­men­te es el ma­yor ejer­ci­cio del mun­do en su ti­po, don­de con­flu­yen 20 paí­ses, en­tre go­bierno, sec­tor pri­va­do y aca­dé­mi­co, pa­ra ju­gar en un mon­ta­je bas­tan­te ela­bo­ra­do, don­de se de­ben re­sol­ver pro­ble­mas de ci­ber­se­gu­ri­dad ba­jo un am­bien­te de pre­sión, tal co­mo se­ría en un ci­be­ra­ta­que real”, des­cri­be. “Aun­que no pue­do en­trar en de­ta­lles, sí pue­do de­cir que es­tos si­mu­la­cros nos sir­vie­ron pa­ra en­fren­tar me­jor los ata­ques de Not­Pet­ya y Wan­nacry”, se­ña­la.

Por­que pa­ra Pur­ser la cla­ve de es­te éxi­to ha si­do la co­la­bo­ra­ción en­tre ac­to­res, desde la In­ter­pol y las po­li­cías na­cio­na­les, has­ta los or­ga­nis­mos es­pe­cia­li­za­dos “To­dos es­tos or­ga­nis­mos, en dis­tin­tos gra­dos y tiem­pos, to­man ac­cio­nes y dic­tan po­lí­ti­cas en torno al mis­mo te­ma, y con nues­tra ayu­da se com­par­te la in­for­ma­ción de mo­do que lo que tie­ne una ins­ti­tu­ción lo ten­drá otra, y que el apren­di­za­je al que lle­ga un Es­ta­do miem­bro lle­gue en el me­nor tiem­po po­si­ble a los otros 19”, re­cal­ca Pur­ser.

El plan es am­bi­cio­so, abar­can­do desde la ca­pa­ci­dad de res­pues­ta an­te ci­be­ra­ta­ques, la crea­ción de le­yes cri­mi­na­les y ca­pa­ci­da­des de ac­ción de po­li­cías y, en úl­ti­ma ins­tan­cia, en la crea­ción de una “ci­ber­ca­pa­ci­dad glo­bal”, que in­vo­lu­cra­ría asis­ten­cia eu­ro­pea a na­cio­nes en desa­rro­llo y la coope­ra­ción en tó­pi­cos de ci­ber­de­fen­sa con la OTAN.

Un plan am­bi­cio­so que ya es­tá en co­no­ci­mien­to de Jor­ge At­ton, el pa­la­dín de la pre­si­den­cia chi­le­na con ojos de sue­ño, y de otros lí­de­res la­ti­noa­me­ri­ca­nos que ten­drán que acos­tum­brar­se a los nue­vos tiem­pos de la ci­ber­se­gu­ri­dad y la ci­ber­de­fen­sa, esos en que un lí­der tan le­jano, pe­ro tan me­diá­ti­co co­mo Kim Jong Un, po­dría ser el res­pon­sa­ble de que una tro­pa de ci­ber­sol­da­dos vul­ne­re la seguridad del lap­top de la ofi­ci­na que es­ta se­ma­na se te ocu­rrió lle­var a ca­sa. *Las ins­ti­tu­cio­nes que fue­ron con­sul­ta­das por Amé­ri­caE­co­no­mía pa­ra es­te re­por­ta­je y que de­cli­na­ron par­ti­ci­par son: Aso­cia­ción de Ban­cos e Ins­ti­tu­cio­nes Fi­nan­cie­ras de Chi­le, Ban­co de Chi­le, Sco­tia­bank, Ban­co Itaú, Ban­co BCI, Cá­ma­ra de Co­mer­cio de San­tia­go, Es­ta­do Ma­yor Con­jun­to de Chi­le, Ban­co del Aus­tro (Ecua­dor). **Es­te re­por­ta­je con­tó con la par­ti­ci­pa­ción de los pe­rio­dis­tas Da­nie­la Zá­ra­te, Héc­tor Can­cino, Cris­tian Arán­guiz, Gas­tón Me­za, Na­ta­lia Ve­ra y Lau­ra Vi­llaher­mo­sa.

Arri­ba, de iz­quier­da a de­re­cha, Jor­ge At­ton, ase­sor pre­si­den­cial en ma­te­ria de ci­ber­se­gu­ri­dad del pre­si­den­te Se­bas­tián Piñera, y el se­na­dor Ken­neth Pugh. Aba­jo, el se­na­dor Fe­li­pe Har­boe

Newspapers in Spanish

Newspapers from Chile

© PressReader. All rights reserved.