A principios de mayo, un ataque informático contra la empresa Bizland, responsable de Red Bus y de Farmalink, dejó a los ciudadanos sin poder recargar sus tarjetas para viajar en el transporte urbano y sin poder validar los descuentos para medicamentos de la obra social provincial de Córdoba, Apross.
Casi al mismo tiempo, un hackeo en la página del Inta obligó a apagar el sistema completo para reestructurarlo. Durante varios días, no se pudo brindar el servicio de alertas meteorológicos a corto plazo.
En agosto de 2022, un ciberataque al Poder Judicial de Córdoba paralizó los servicios informáticos.
En 2020, el gran hackeo a Migraciones llevó a preguntarse en un momento por cuántas horas se podía paralizar la entrada y la salida de personas en un país.
El 11 de marzo de 2023, el grupo Vice Society infectó el sistema informático del Senado de la Nación y publicó datos personales de varios agentes públicos, incluyendo firmas a mano alzada.
Algo parecido sucedió en el Renaper, en 2021.
Con la digitalización cada vez más extendida en nuestra vida cotidiana, este tipo de eventos no sólo crece en cantidad, sino en capacidad de daño. Son una consecuencia no deseada de extender la tecnología y las plataformas para casi todas las actividades.
“Hoy el mundo está digitalizado, estamos globalizados. Y nuestra identidad digital dice mucho más que nuestra identidad física. Lo que puedo saber de una persona en cinco minutos googleándola seguramente no lo sepa hablando físicamente con ella. Nuestra identidad digital es mucho más fuerte. Nos comunicamos, nos relacionamos, compramos, vendemos. Hacemos incluso amistades, relaciones, todo a través de plataformas. Somos en internet. A esos datos que circulan hay que protegerlos, hay que darles confidencialidad, privacidad, integridad. Entonces, hablar de seguridad dejó de ser algo posible o deseable, sino que también es imperioso, mandatorio”, dice Antonella De Caro, integrante del Córdoba HackerSpace.
En ese contexto, aparece una regla ineludible: tarde o temprano, el ataque informático llega.
El especialista Javier Smaldone lo resume así: “Todos los que trabajamos en cuestiones relacionadas con la seguridad informática tenemos que asumir que es algo que eventualmente nos va a tocar. Los ataques de ransomware son ya algo común desde hace años. Se han incorporado como una variable más por considerar en cualquier empresa u organización de mediana para arriba. Incluso usuarios particulares también muchas veces son afectados por este tipo de virus informáticos”.
¿Se invierte lo suficiente en ciberseguridad?
“Las organizaciones no gastan mucho en seguridad informática, porque son organizaciones primitivas que fueron evolucionando desde los ‘80 o los ‘90, siempre parchando cosas. En los ‘80 no había problemas de seguridad informática. Y ese modelo siguió. Hubo posibilidad de ir adaptando los sistemas y todo eso tuvo en cuenta la funcionalidad, pero no la seguridad”, afirma Nicolás Wolovick, licenciado en Computación, docente e investigador de Famaf (UNC).
Andrés Vázquez, de OpenDataCórdoba, también aporta: “En general, cualquier empresa –trabaje o no para el Estado– desarrolla aplicaciones que involucran datos personales de los ciudadanos que son críticos, aunque no sean sistemas públicos como el de RedBus o el de las farmacias. Y no tenemos legislación que las obligue a someterse a auditorías de seguridad. Un poco se entiende, porque las auditorías de verdad cuestan una fortuna, son difíciles de hacer. Y cuando pasa algo, la empresa oculta todo y el Estado, cuando esto está vinculado a servicios críticos, tampoco exige nada. No creo que sepamos realmente qué pasó, sino sólo a través de los efectos que tiene”.
Algo similar plantea Florencia Gordillo, periodista con formación en género y tecnología: “La posibilidad del hackeo siempre está. Si partimos de esa base, lo que se puede hacer desde las instituciones es adelantarse y prevenirlos. Se pueden hacer reportes de vulnerabilidades, testeos y previsión de escenarios de ataque, así se toman medidas preventivas antes de que los hackeos ocurran. En gran parte, pueden ser evitables, dependiendo del nivel de inversión, conocimiento y dedicación a la seguridad informática de cada institución. Si no elevamos el nivel de seguridad, los hackeos van a ser más recurrentes y pueden ser más nocivos”.
Ileana Barrionuevo, ingeniera en Sistemas de Información y docente de la UTN, explica: “El ransomware infecta fácilmente los sistemas de las compañías, habitualmente ingresando a través de spam, mediante correo electrónico, ingeniería social o publicidad maliciosa: mientras los usuarios navegan por sitios incluso legítimos, pueden ser conducidos a servidores delictivos sin necesidad de hacer clic en anuncios. Estos servidores clasifican los detalles de las computadoras de las víctimas y sus ubicaciones, y luego seleccionan el malware más adecuado para enviarlo. Los atacantes cifran la información mediante el ransomware y luego piden rescate”.
“Esto implica desde las medidas más básicas, que son usar distintos sistemas antivirus y de detección de intrusiones, hasta seguir una serie de prácticas de seguridad informática. Y mantener actualizado el software de todos los servidores y de todos los puestos de trabajo”, dice Smaldone.
Si bien Barrionuevo cree que algunos ataques se pueden evitar según las soluciones de seguridad informática que incorpore una empresa, “incluso teniendo las herramientas adecuadas, cualquier ente puede sufrir un ciberataque. La diferencia está en cómo se actúa frente a los incidentes, qué acciones de prevención se tomaron previamente para cuando llegue este evento y cuál es el plan de recuperación”.
De Caro recuerda también que “existe el modelado de riesgos para prevenir y remediar ataques”.
Plan B para el día después
A esta altura, está claro que, además de invertir en ciberseguridad, las organizaciones necesitan elaborar planes de contingencia: qué hacer cuando esto suceda. Porque sucederá.
“Hay dos cosas que debieran estar ya definidas en cada organización. Una es una política de recuperación: cómo hago para salir de esta situación. Si se cayeron todos los servidores porque un ransomware encripta todos los archivos, cómo me recupero de eso. Ahí aparecen las copias de respaldo, por ejemplo. Segundo, un plan de continuidad. ¿Cómo sigo funcionando? Cómo sigo dando mis servicios, cómo sigo operando mientras implemento el plan de recuperación. Lo que se nota en la mayoría de estos ataques, lo que desnudan, es que muchas organizaciones, tanto del sector público como del privado, no tienen estos procedimientos debidamente definidos y testeados”, señala Javier Smaldone.
En el mismo sentido, Wolovick cree que “las organizaciones pasaron a esquemas digitales, pero sin prepararse para eso. Lo del Poder Judicial mostró esa fragilidad. Estuvieron un mes y medio para volver a levantar todo. Era muy básico lo que sabían. El ramsomware es inevitable, se trabaja es en planes de contingencia. Sabés que te van a atacar y a encriptar los datos. El tema es cuánto tardo en recuperarme. A Google se le rompen cosas, pero siempre funciona”.
“Siempre tiene que existir un plan B por si algún eslabón de la cadena falla y hace que el resto del proceso digital no funcione ante un incidente o falla informática”, dice Ileana Barrionuevo. Y agrega: “Si eso implica volver al papel, se tendrá que hacer momentáneamente para no frenar el negocio, pero lo ideal sería contar previamente con microsegmentación; es decir, se divide la red en segmentos más pequeños limitando el acceso a los recursos y sistemas críticos sólo a aquellos usuarios o dispositivos que realmente necesitan acceder a ellos. Si la red se viese comprometida en algún tramo, los atacantes deberán sortear múltiples barreras de seguridad para acceder a los sistemas críticos”, ejemplifica.
Según Antonella De Caro, “en el caso de RedBus u otros, lo que hay que ver en primer lugar es qué se hacía por la seguridad de esos servicios. O sea, si se auditaban, si se trabajaban, si tenían un equipo, si había integración al momento de desarrollar la aplicación. Si la aplicación fue desarrollada por terceros… ¿Se pudo ver que los factores de ataques fueran totalmente prevenibles? A simple vista, eran vectores de ataques que hoy en día en el sector privado podemos decir que están más controlados…”.
Contexto y recursos
Wolovick describe un factor importante que influye a la hora de tomar estas previsiones, como el contexto económico del país. “Se pagan salarios muy bajos. Los profesionales trabajan para afuera. Es muy difícil reclutar gente y mantenerla. Hay una deformación total en ese sentido. Los profesores saben que todos sus alumnos ganan más que ellos. Y por ahora no se ve salida. Además, muchas empresas exigen presencialidad, es un error. Otro tema: es muy difícil, con lo que se paga, conseguir para la universidad especialistas que den la materia de seguridad informática”.
“Los equipos de seguridad están formados por varios roles. Eso, obviamente, lleva un presupuesto, implica dinero. También hay escasez de perfiles de ciberseguridad. Por eso también a nivel provincial y municipal se está incentivando el tema de la ciberseguridad. Estamos viendo un crecimiento masivo en el mundo digital versus la cantidad de personas capacitadas para poder proteger o generar esa protección contra ciberdelincuentes”, sintetiza De Caro.
Vázquez es más drástico aún: “El rubro de tecnología se ha vuelto muy caro y esto hace que las empresas locales no puedan acceder fácilmente a programadores en cantidad y en calidad. La calidad del software que tenemos en Argentina es en general mediano o bajo. Estamos en el peor de los mundos. Lo que me gustaría es tratar de exigirle al Estado que nos cuide, y que los servicios críticos y los que tengan información de las personas cuenten con alguna especie de control o de auditoría”.
Cuando los hackers son necesarios
En relación con los recientes ataques informáticos al Poder Judicial de Córdoba o a la empresa que maneja RedBus o la venta de medicamentos en farmacias, el especialista Javier Smaldone prefiere no hablar de “hackeo”. “Trato de no usar ese término para este tipo de eventos. Por hackeo se entiende que detrás de esa maniobra hay alguien, un hacker o un grupo de hackers violando la seguridad de un sistema. Hay una asociación que ya de entrada está mal, que es usar hacker como sinónimo de delincuente. La mayoría de los hackers no son delincuentes. La mayoría de ellos violan y penetran en la seguridad de sistemas, pero para encontrar fallas, no para cometer delitos, para enriquecerse o para hacer daño. Estos casos mencionados, son ataques masivos, como diríamos vulgarmente, al voleo”.
Antonella De Caro, del Córdoba HackerSpace, piensa lo mismo: “El hacker es una necesidad. Controlar que las cosas se hagan bien es parte de lo que hace el hacker, para elevar los estándares de calidad. Buscan entender y mejorar la tecnología para que las personas se sientan seguras utilizándola”.
“Siempre se lo toman mal”
“Fui a hacer un estudio médico, me dieron un link para verlo y me di cuenta de que con ese link, haciendo unos pequeños cambios –para los que no hace falta ser un hacker especialista–, podía ver los estudios médicos de todos los pacientes del centro de salud”, cuenta Andrés Vázquez, de OpenDataCórdoba.
“Se los notifiqué por privado, por e-mail. No me respondieron. Esperé una semana, llené un formulario del Estado nacional para denunciar estas cosas, y nunca me respondieron desde el Estado, por supuesto. Le dije al centro de salud que los había denunciado para ayudarlos a que hagan algo. Ahora no me puedo atender más ahí, no me contestan el teléfono”, continúa el especialista en datos abiertos.
Agrega que él lo hizo “con buen trato, buena voluntad y tratando de que ellos arreglaran el problema. Lo terminaron arreglando, pero no se comunicaron conmigo. La gente que denuncia estas cosas termina siendo muchas veces acusada como una persona que malintencionadamente hackeó un sistema, cuando no es así. Quienes queremos colaborar desde afuera y encontramos fallas de seguridad graves las denunciamos, y dependemos de la buena voluntad de la empresa para que las arregle. En general, se lo toman muy mal. No hay forma amable de comunicarlo. Hay gente que ha sido allanada por denunciar cosas como estas”.
A Nicolás Wolovick, docente e investigador de Famaf (UNC) le ocurrió algo similar: “Hace tres años mi pareja se tuvo que hacer una resonancia magnética. Y en un minuto pude ver todos los informes médicos de toda la historia clínica. Estuve dos años diciéndoles que eso era grave. Los datos de salud son valiosísimos. Incluso más que los datos bancarios. Es algo muy privado. Y lamentablemente nadie hace nada”.
Las consecuencias de no prestar atención a esas advertencias son, además de quedar más expuestos a los ciberataques, un golpe a la confianza: “Cuando una empresa recibe algún tipo de ataque, se desestima la imagen, la gente desconfía de la aplicación y por ende genera pérdidas económicas porque van a dejar de utilizar su plataforma”, dice Antonella De Caro.
Ciberataques, ciberseguridad, control, auditorías, planes de contingencia: son todos conceptos que serán parte cada vez más habitual de nuestro vocabulario.
