Los grupos que ejecutan ataques de ransomware en Uruguay están conformados por estructuras complejas que pueden incluir hasta 70 integrantes, según la OEA
Imagen creada con inteligencia artificial (ChatGPT).
El especialista en ciberseguridad de la Organización de Estados Americanos (OEA), Diego Subero, visitó Uruguay para brindar mentorías a organismos estatales.
Subero lidera la llamada Red CSIRTAmericas, una red de equipos de respuesta a incidentes, la cual opera con canales de comunicación activos las 24 horas, los siete días de la semana, y brinda capacitación permanente en temas de ciberseguridad al personal de los CSIRT (equipos de respuesta a incidentes de seguridad informática). Actualmente, la red está integrada por 52 CSIRT pertenecientes a 22 Estados miembros de la Organización de los Estados Americanos (OEA), entre ellos Uruguay.
Con una trayectoria extensa en la región en la prevención de ciberataques y gestión de crisis cuando suceden, Subero explicó cómo ha evolucionado la cooperación con Uruguay, analizó el reciente aumento de estos delitos, y compartió su visión sobre los desafíos actuales para los Estados, incluidos los efectos de la inteligencia artificial, la escasez de personal calificado y el debate global sobre el pago de rescates en casos de ransomware.
En su visita a Uruguay, conversó con El Observador sobre todos estos temas:
—¿Cómo estás viendo el panorama de la ciberseguridad en Uruguay?
—En las últimas semanas han aparecido algunos ciberataques que han llamado muchísimo la atención por la sencillez con la que fueron hechos. Ningún país está exento de esto. Es mentira quien diga que un sistema es 100% seguro. Creo que es un concepto que es imposible de tener: 100% de la seguridad. Lo importante es cómo se responde, cómo se gestiona la crisis y finalmente cómo se fortalecen los sistemas. Es un poco el enfoque que está tomando Uruguay.
—¿Desde la OEA, qué tipo de apoyo concreto están brindando al país?
—Estamos apoyando a Uruguay en el desarrollo de su estrategia de ciberseguridad para los próximos años. Más o menos dicta cuál debe ser el rol de cada institución, cómo orientar la ciberseguridad a los objetivos de países como Uruguay. También, desde la Red de América, brindamos información 7x24 a Uruguay. En este caso, con Agesic, donde brindamos alertas y amenazas sobre posibles infraestructuras que pudieran estar afectadas. Esa información nosotros la brindamos a Agesic y Agesic, obviamente, hace toda la gestión de reportar a las entidades. Los mecanismos funcionan. Tenemos una buena relación con Agesic.
—¿Qué lugar ocupa la prevención en la estrategia regional?
—La prevención es clave. Creo que el rol de nosotros en la OEA, no solo con Uruguay sino con todos los países, es tratar de dar alertas tempranas sobre posibles vulnerabilidades o posibles ataques que pudieran afectar a instituciones de gobierno, privadas o incluso académicas. Un poco eso es lo que nosotros buscamos: anticiparnos a los ataques. En tema de prevención también tenemos todo el tema de capacitaciones, formación de personal.
—Mencionás la formación, pero ¿qué pasa con la retención de personal capacitado?
—Hay otra realidad, y aquí lo hablo de manera regional: la rotación de personal en temas de ciberseguridad. No hay personal suficiente. En realidad, también hay una alta rotación entre el sector público y el sector privado. Muchas veces eso retrasa lo que es la preparación de los países. Es un tema que también se debe abordar.
—Los profesionales de esta área prefieren el sector privado respecto al sector público porque justamente los Estados no ofrecen buenos sueldos. ¿Qué mirada tenés sobre el tema?
—Es una realidad. Sobre todo en Latinoamérica, sí hay un desfase entre sueldos del sector público y del sector privado. Y cuando hablamos de temas de ciberseguridad, es un tema muy especializado, que necesita alta preparación. Sobre todo en la parte de gestión de incidentes. Responder a un incidente necesita personal con alta capacidad técnica y con altos niveles de preparación, que obviamente se vuelve atractivo para cualquier sector privado, incluso para otros países. Los famosos trabajos remotos: continúan en el país pero siguen trabajando para una empresa del exterior. Eso sí es una realidad que es común en la mayoría de los países de la región. Y sí es algo que afecta. Se afecta sobre todo la continuidad de los servicios, fortalecimientos. Es algo que debe ser tratado por los países.
—¿Qué tipo de ataques se están observando últimamente en la región?
—El problema de las filtraciones es algo que cada vez se está especializando más. Hace unos años la tendencia era el ataque a ransomware.
—¿De dónde provienen los ataques a Estados como Uruguay? ¿Se puede saber quiénes son los atacantes?
—Hacer la atribución es muy complejo. Sería muy irresponsable de mi parte mencionar algún país en específico. Hoy en día, estos grandes grupos que operan son mixtos. Sabemos su naturaleza. Son equipos estructurados, de 60 hasta 70 personas, detrás de un ransomware as a service. Se estructuran con desarrolladores, con recursos humanos. Tenemos otros que están cazando perfiles todos los días. Hay casos en países donde analizan un hospital o una clínica durante dos o tres semanas, y ven cuáles son los días más críticos, donde hay operaciones continuas. Y ahí es donde hacen los ataques de ransomware.
—¿Qué pasa con el phishing?
—El phishing viene muy anclado por dos temas. Los cazadores, los que se llaman los buscadores de credenciales, se dedican a esto. Cuando se lanzan campañas de phishing, simplemente es para obtener contraseñas rápidamente y colocarlas en venta en el mercado negro. Incluso ya hasta tienen categorías en precios. Si hablamos de contraseñas de instituciones de gobierno, te puede salir desde 25 hasta 100 dólares. Si hablamos de acceso a infraestructuras críticas, puede ir de 100 hasta los 1.000 dólares. Así va dependiendo cada tipo de entidad. Entonces el phishing sigue siendo ese vector de ataque de entrada que permite pivotear dentro de la red y finalmente obtener lo que ellos quieren: llegar hasta la base de datos y hacer filtraciones o pedir la recompensa.
—¿Se observa un cambio en las modalidades de ataque?
—Ha habido como dos tendencias. Hay unos grupos que solamente se dedican a todo el tema de robo de credenciales, básicamente alimentado por fuga de credenciales en la dark web, correo electrónico, datos personales. Esos equipos se dedican totalmente a la compra y venta de estas credenciales, lo que hace realmente difícil combatirlos, ya que a diario están a la caza de contraseñas de instituciones de gobierno, instituciones privadas. Esto luego facilita la venta hacia estos grupos de ransomware.
—¿Qué medidas se recomiendan para reducir ese riesgo?
—El fortalecimiento de la autenticación en correos electrónicos, en infraestructuras críticas. El doble factor de autenticación es una de las tendencias que se está manejando hoy en día. Sobre todo para esto: para evitar que, si hay una fuga de contraseña, con una sola contraseña no puedan ingresar tan fácilmente a un sistema crítico. Es más o menos una de las tendencias que estamos viendo.
—En Uruguay hubo un ataque de ransomware a la Intendencia de Paysandú. El intendente dijo que no negociaba con delincuentes y que no pagaría. ¿Cuál es tu mirada sobre este tipo de decisiones?
—Es una pregunta interesante. Cada país maneja sus incidentes como lo considera. Se respeta la soberanía. Nuestro rol es más de apoyo y cooperación. El tema de si se paga o no se paga es un debate que se da a nivel mundial. Incluso hay países como Inglaterra que hace poco sacó una resolución donde el sector público no hace más pago de ransom, una recompensa. Simplemente por el hecho de que al final estás apoyando una actividad ilegal. Estás pagando a un grupo ilegal si lo vemos en normativas.
—¿En qué sentido eso puede generar conflictos legales?
—Hay países donde si tú, como gerente de una entidad, haces un pago a un grupo ilegal, te puede acarrear consecuencias legales por el uso de fondos públicos. Entonces cada país tiene su propia realidad, su legislación. Es complicado. Me podés preguntar: ¿qué pasa si tengo ransom en un hospital y hay una operación en vivo? ¿Qué hago ahí? Entonces es un debate mundial, si se paga o no, y sobre todo si se debe regular si la entidad o el gerente que está siendo afectado paga o no paga. Es un tema que está en desarrollo.
—¿Existe un consenso o recomendación global sobre este tema?
—Es muy complicado llegar a un consenso global. Hay países que tienen un marco legal mucho más fuerte para combatir estos temas; otros son un poquito más flexibles. Hay países que han adoptado la postura de no pagar, como el Reino Unido. Y eso hace que en el mediano plazo el atacante ya no vea tan atractivo atacar al sector gobierno para pedir recompensa. Lo que estamos viendo es que atacan al sector gobierno simplemente para afectar su imagen: divulgando información de ciudadanos, información confidencial, cédulas, credenciales, contraseñas. Pero ya no va a ser un nicho rentable. Igual lo veo como un tema a nivel nacional.
—¿Existen redes o grupos internacionales trabajando en este tema?
—Sí. Hay grupos de combate al ransomware. Está el Anti-Ransomware Task Force, un grupo creado y liderado por Estados Unidos, por el CISA, en el cual hay varios países de Latinoamérica. Lo que estamos buscando es empezar a hablar de un punto común sobre la lucha contra el abuso. Esto es igual que en el crimen común: el ladrón siempre está un paso por delante. Comete el robo y luego investigamos. Lo mismo pasa en el mundo de la ciberseguridad. La diferencia es que ellos no tienen ley, no tienen fronteras. Atacan, se comunican con personas en el exterior. En cambio, los gobiernos sí tienen leyes, constitución, normas que cumplir. Eso muchas veces retrasa la competencia entre ellos y nosotros.
—¿La inteligencia artificial aumentará la cantidad de ciberataques?
—Totalmente, tanto para lo bueno como para lo malo. Igual lo combinaría con las tecnologías cuánticas y este gran salto que va a pasar en unos cinco o diez años, cuidado si no menos, por la velocidad que estamos viendo en los desarrollos. Esto, obviamente, va a impactar en la ciberseguridad.
—¿Cómo se está utilizando hoy la inteligencia artificial en los ataques?
—La inteligencia artificial hoy en día se está usando un poco más para optimizar y automatizar ciertos tipos de ataques, haciéndolos más creíbles. Todo lo que es el tema de phishing, si por muchos años ya nos estaba afectando y hacíamos campañas de concienciación, y todos los empleados seguían cayendo en la trampa, hoy en día va a ser peor. Porque la inteligencia artificial te da la personalización de esos correos, la personalización de los ataques, que hace que sean mucho más reales.
—¿En qué sentido se vuelven más realistas esos ataques?
—Antes era un simple correo. Hoy en día te mandan un mensaje de voz con la voz de tu papá, tu mamá, tus tíos. O te hacen un video, una extorsión desde la cárcel pidiéndote información, diciendo que tienen secuestrado a un familiar. Y esto hace mucho más creíble los ataques. Entonces lo que se viene es un incremento y una sofisticación de los ataques que estamos viendo hoy en día.
—¿Qué problemas enfrentan los países cuando ocurre un ataque de gran escala? ¿Qué deberían hacer?
—Es un reto que estamos abordando ahora desde el programa de ciberseguridad y desde la Red CSIRTAmericas. Estamos desarrollando un protocolo que se va a llamar Cyber Defenders. Es un protocolo de asistencia inmediata. Lo que busca es esto: si hay un país donde ocurre un incidente masivo de gran escala que logre superar las capacidades nacionales, o que tenga un impacto regional, la idea es que ese país pueda convocar esa asistencia a través de la OEA. La OEA organiza un grupo de expertos internacionales para apoyar a ese país en esa urgencia.
—¿Ese protocolo es solo para cuando ya ocurrió un ataque o también puede usarse antes?
—No solamente cuando pasa el incidente. También de manera preventiva. Imaginemos que tenemos un evento grande. Por ejemplo, viene ahora la Copa del Mundo, que se hace entre Estados Unidos, México y Canadá. Es un ejemplo donde se puede activar este tipo de protocolo.
—Además del apoyo técnico, ¿qué otros desafíos se observan durante una crisis?
—Falta de dinero o presupuesto para movilizar personal en temas de crisis. También estamos viendo problemas en comunicación: cómo manejar la comunicación, en qué momento informar, qué informar. Creo que falta mucha cultura a nivel de ciudadanía sobre lo que es la ciberseguridad. Muchas veces se confunde con cibercrimen. Es algo que nos toca a todos: gobiernos, privados, ustedes periodistas también. Hay que empezar a crear ese tipo de conciencia en la ciudadanía.
—¿Qué recomendaciones concretas hacés a los gobiernos para mejorar su respuesta ante ciberataques?
—Capacitación continua. Y lo digo en todos los niveles. No solamente formar a los equipos expertos, sino también desde las universidades empezar a colocar el tema de la ciberseguridad. Ya no es una carrera opcional. Es una carrera que debe ser desarrollada como tal. Así como una ingeniería de sistemas o electrónica, debería haber ya campos específicos para la ciberseguridad.