El hackeo masivo al Estado Mayor Conjunto (EMCO) del Ejército de Chile, perpetrado por la agrupación internacional Guacamaya, levantó las alertas. La entidad no es la única que ha sufrido este tipo de vulneraciones -de hecho, Carabineros de Chile debe defenderse ante unos 15 millones de ataques mensuales a su sitio web-, pero sí pone en tela de juicio cuán preparadas están las instituciones y los mismos gobiernos. El ciberataque expuso cerca de 400 mil correos electrónicos y distintas comunicaciones. En la historia son cientos los países, instituciones y personalidades políticas que han tenido vulneraciones de este tipo.

El de Julian Assange y WikiLeaks es uno de los casos más importantes de los últimos veinte años, y sigue dando de qué hablar. En 2010, a través de su página de filtraciones, el editor y hacker australiano dio a conocer junto a un grupo de activistas unos 400 mil informes sobre la guerra en Irak, 90 mil sobre la situación en Afganistán, cerca de mil sobre la prisión de Guantánamo y 300 mil comunicaciones diplomáticas, hechas en distintas partes del globo, entre distintos organismos. La mayor filtración de datos hecha, dicen algunos, por grupos de activistas digitales. Eso, al menos, hasta ahora.

Hay otros casos emblemáticos que hacen referencia a cómo las autoridades cometen los errores y dejan en exposición material sensible. A mediados del 2015, en plena campaña presidencial en Estados Unidos con Hillary Clinton debatiéndose por el puesto en la Casa Blanca, la exsecretaria de Estado recibió el primer golpe. El supuesto grupo de hackers rusos The Duke se hizo con miles de correos electrónicos suyos, porque utilizaba una cuenta de correo privada para realizar sus comunicaciones. Más allá del revés, investigaciones posteriores a los mensajes -y que algunos atribuyen como los grandes gatillantes de su caía en la carrera al poder- revelaron que algunos de ellos tenían información que debiese ser considerada clasificada; otras, “secretas” y algunas “muy secretas”.

Lo sucedido recientemente con el hackeo al Estado Mayor Conjunto es una situación similar. Según Fernando Lagos, director de Nivel4 CyberSecurity, los gobiernos tienen las mismas vulnerabilidades que las empresas privadas, pero la motivación de atacar a una entidad pública es distinta a la de vulnerar, por ejemplo, a un banco. “Generalmente, existe una motivación ‘hacktivista’, pero hemos visto muchos casos en los últimos meses, donde también existe lo lucrativo, como el caso del secuestro de información para después tener una solicitud de recompensa a cambio de ‘devolver’ la información mediante ransomware”, describe el especialista.

Algunas de las vulnerabilidades o problemas de seguridad más frecuentes, dice, son dos: el uso de “sistemas legados” -softwares obsoletos, sin soporte del fabricante o sin personas capaces que los puedan mantener- y, por otro lado, las mismas personas que no son capaces de identificar una amenaza y no saben cómo actuar. Esto último se conoce como “concientización de seguridad”. “Si tienes un sistema muy robusto, pero una persona cae en un ‘phishing’ y entrega sus credenciales, no resta mucho por hacer”, plantea.

Las áreas con mayor frecuencia de ataque serán variables y dependerán de la motivación del “hacktivista”. “El ataque a SERNAC y al Poder Judicial tuvieron motivación económica, y así como ellos cayeron, cualquier otra institución puede ser víctima, por más irrelevante que sea. El ataque al EMCO fue hacktivista y probablemente también podrían haber secuestrado información y pedido criptomonedas en su rescate”, argumenta.

“Muchas veces se detectan vulnerabilidades a nivel tecnológico, como se presume fue el caso con la EMCO, pero es muy común que hoy día estas se encuentren a nivel de las personas, que son el principal vector de ataque usado por los cibercriminales”, explica, desde España, Gabriel Bergel, cofundador de 8.8 Computer Security Conference, organización especialista en la capacitación a usuarios de distintas áreas en ciberseguridad. Gran parte de los incidentes, dice el hacker e informático, tienen su punto de origen en la falta de entrenamiento, educación y capacitación de la ciudadanía, considerando que, además, la mayoría de los ataques hoy se basan en ingeniería social; es decir, el engaño a las personas de la organización.

Bergel explica que hoy en día, a pesar de que este sigue siendo uno de los principales motores de ataque, existe un amplio abanico criminal. Primero están aquellos -en su mayoría jóvenes millennial- que tratan de ganar dinero fácilmente y utilizan herramientas masivas. Luego están otros grupos criminales establecidos en “las grandes ligas”, como las mafias, que están más preparados y estudian a sus víctimas. A esta lista se suman los hacktivistas, que no buscan dinero, sino el reconocimiento del propio grupo o de sus causas. En el último escalón se encuentran los países que, con sus propios servicios de inteligencia, vulneran a otras naciones. Por último, en el extremo están otras asociaciones que hacen acciones ofensivas en favor de su país.

Por ejemplo, el Lazarus Group, formado por un número desconocido de ciberdelincuentes pertenecientes al gobierno de Corea del Norte y al que se le conocen un sinnúmero de ataques en Asia, roba dinero digitalmente para poder financiar la carrera armamentista en su país. Incluso, en algún momento, tuvo vínculos con ataques realizados a instituciones locales. En 2015, recuerda Bergel, tuvo en su conferencia hacker a un analista de Corea del Sur que les explicó cómo la asociación criminal se hacía con dinero. “Pensamos que nunca pasaría nada con ellos en Chile, y tres años después lo hicieron”, recuerda.

El especialista menciona también a los The Shadow Brokers, que en hackeos a gobiernos es quizá el más emblemático. En 2016, la agrupación, que forma parte del gobierno ruso, logró robar herramientas de la Agencia Nacional de Seguridad de Estados Unidos (NSA). Tuvo también su nexo con el territorio nacional.

Los desafíos en el ámbito de la ciberseguridad, dice Marco Zúñiga, TECH Sales Representative, PS Fld Prime de Oracle Chile, son cada vez mayores. Algunas recomendaciones para el sector público es contratar servicios en donde un proveedor externo especializado les entregue más garantías. El uso de la tecnología cloud permite, por ejemplo, que las instituciones obtengan de inmediato sus sistemas de seguridad, como encriptación de datos, gestión de identidad y accesos, IA y Machine Learning.

La nube es capaz de brindar mayor automatización, puede evitar errores y mantener actualizados los parches sin deshabilitar los sistemas críticos, asegura. “Esto ayuda a prevenir la principal causa de las brechas de seguridad, que es la negligencia humana; existe un desafío común para evitar los errores de configuración, utilización de un software antiguo y sin parches, junto con la ignorancia de la política de seguridad”, argumenta. Dentro de las medidas que recomienda para que adopten los gobiernos, tiene la autenticación multifactor en todo los dispositivos para prevenir estos ataques.

“Es muy importante que la seguridad se incorpore y no se refuerce, que se construya la arquitectura de la organización con una mirada de ‘confianza cero’ y se apliquen estas medidas en los gobiernos, porque si una base de datos está bien configurada, el hacker no debe poder llegar al dato del cliente, o en este caso a los de sus ciudadanos”, asegura Zúñiga.

La seguridad total no existe, insisten los especialistas. Los gobiernos deben velar por acercarse al 100%, eso sí. “El EMCO podría haber tomado todas las medidas, pero eso solo hubiese demorado al atacante y, quizá, lo hubiese logrado, aunque en más tiempo: el problema no está en ‘qué hacer para que no pase’, sino en detectar a tiempo y disminuir el impacto”, dice Fernando Lagos, de Nivel 4, argumentando que “quizá podrían haber accedido a diez correos y no a miles”. Lo que más falta, dice, es la capacidad de detección temprana, saber responder al incidente y cómo comunicarlo.

“Debe ser un tema de Estado y no del gobierno de turno, e igual que las empresas privadas, cuando cambian de directorio o de gerente, tiene que tener continuidad: hace falta que se vea así y no por separado”, plantea. Sobre lo sucedido con los correos electrónicos del Partido Demócrata en 2015 y de Hillary Clinton, dice que el email puede ser un canal formal para este tipo de comunicaciones. “Sin embargo, debe existir un protocolo en el que se envíe cierto tipo de información a ciertos destinatarios, pero de forma cifrada y segura: mientras más receptores existan, habrá más probabilidades de que se filtre la información”, aclara Lagos.

De hecho, en este mismo caso, el método fue “a la antigua”, sin ninguna táctica sofisticada. El phishing fue “el mejor aliado” para los supuestos cibercriminales rusos. Durante las elecciones primarias del Partido Demócrata, John Podesta y otros miembros del partido recibieron el tan tradicional correo tipo “alguien tiene tu contraseña, haz click acá para cambiarla”. Como el mensaje parecía legítimo y utilizaban su cuenta Gmail, un error llevó a lo otro. Fue una oleada de correos a los miembros del colectivo y la filtración por facilitación de las credenciales fue masiva.

“Los ataques no son cada vez más sofisticados. Lo que hemos visto es que aumentan debido a problemas de gestión, de administración de plataformas, negligencias, falta de actualización o falta de monitoreo”, dice Lagos, quien añade que un ataque altamente sofisticado no se sabe hasta mucho tiempo después, si es que realmente se sabe. Muchas veces no se logra encontrar “por dónde” entraron, y mucho menos “qué hicieron”. Tampoco los sistemas de inteligencia logran detectar quién fue.

Se presume que lo sucedido en el EMCO fue por un error tecnológico. La no actualización del sistema en alguno de sus niveles pudo facilitar una “ventana de vulneración”. Más allá de eso, es necesario que cada unidad, en cada ministerio u órgano público esté en constante formación y especialización con respecto al tema. “Hay que crear grupos de personas que sean especialistas en la materia y que estén en constante proceso de formación”, dice Gabriel Bergel, de 8.8. Toma como ejemplo el caso de España, que tiene el Instituto Nacional de Ciberseguridad (INCIBE).

Básicamente, describe el especialista, es un grupo público-privado que se preocupa de esta temática. “Son muchas personas tratando de abordar las distintas fases: primero hay que anticiparse, proteger, resistir y, si ocurre un incidente, recuperarse”, dice Bergel. Realizar iniciativas de este tipo significa “tener a muchos especialistas que están constantemente haciendo análisis de riesgo, auditorías, capacitando a personas y entrenándolas, pero tiene que ser un grupo grande, con trabajo colaborativo, y las Fuerzas Armadas deben estar en este grupo”.

Un elemento a considerar, dice Marco Zúñiga, de Oracle Chile, es que la ciberseguridad no se resuelve exclusivamente con la contratación o adquisición de tecnología. “Requiere de una adecuada combinación de elementos tecnológicos, capacitación y formación de las personas, y de la definición de procesos y procedimientos adecuados para cada organización: balancear las inversiones y los recursos en personas, procesos y tecnología es condición fundamental para una estrategia adecuada”, dice el ejecutivo. “Los gobiernos tienen un gran rol a la hora de hacer conciencia entre los ciudadanos sobre la importancia de la ciberseguridad y la protección de datos, así como priorizar la actualización y creación de leyes que se adapten a los nuevos delitos en este ámbito”, plantea.