Tecnología > CIBERSEGURIDAD
El trabajo del hacker de sombrero blanco que reveló filtraciones del Estado uruguayo
Un grupo de ciberdelincuentes libera 64 GB de información del Ministerio de Transporte y Obras Públicas. Otros revelan tarjetas de crédito de usuarios uruguayos en un foro. Un usuario vende pasaportes falsos para mascotas. Estas son algunas de las revelaciones que ha realizado en el último año Mauro Eldritch, un hacker argentino-uruguayo de 32 años, que reveló problemas de ciberseguridad en varios organismos del Estado.
En esta entrevista con Cromo, muestra cómo accede a estos resultados y qué recaudos deben tener los usuarios para no caer en la trampa de los ciberdelincuentes.
¿Sos hacker?
Sí, me considero un hacker. Como siempre, vale la aclaración de que un hacker no es un cibercriminal, son dos cosas distintas.
¿Qué tipo de hacker sos?
Ninguna parte de mi trabajo está orientada a causar daños a un tercero, sino a concientizar un poco sobre este mundo, así que podríamos decir White Hat (sombrero blanco).
¿Dónde estudiaste?
Autodidacta.
¿Cómo nació tu vínculo con la ciberseguridad?
Empecé como la mayoría, de chico desarmando cosas para ver cómo funcionaban.
Después de un tiempo mientras estaba en secundaria me enfoqué en algo más fino: desarmar software (programas). Armaba hacks/parches para romperlos o para cambiar su funcionamiento. Me llevaba bien con eso, y unos años después lo convertí en mi carrera profesional.
Lo que amo de esto es el cambio constante (y acelerado): en los últimos diez años (desde mis 20) trabajé como contratista de seguridad para varios organismos de Gobierno, varias compañías privadas y di conferencias en varios países. Es un campo que nunca deja de darme (buenas) sorpresas.
¿Cómo lográs concientizar? ¿En qué buscás especializarte?
Me especializo en Threat Intelligence (inteligencia de amenazas). Básicamente es entender "en qué anda" la escena del cibercrimen, "qué están tramando": cómo están atacando (qué herramientas están usando o vendiendo, qué vulnerabilidades están explotando) y a quién (qué tipo de empresas o qué países están en la mira). La inteligencia de amenazas te permite trazar una estrategia de ciberseguridad/ciberdefensa para minimizar las posibilidades de ser la siguiente víctima.
Mi forma de concientizar es compartiendo todos los días un vistazo de esa escena en mis cuentas sociales, con un lenguaje amigable y sencillo para que la gente de otras áreas pueda verlo y entender lo que está pasando.
¿Cada vez es más peligroso lo que "están tramando" los ciberdelincuentes? ¿Cuál es la mayor amenaza hoy para los usuarios?
Si, tenés que considerar que del 'otro lado' siempre van a subir la apuesta. El mercado negro evolucionó a modelos como el MaaS o RaaS (Malware como Servicio / Ransomware como Servicio) donde cualquiera con conocimientos básicos puede convertirse en ciberdelincuente uniéndose a un programa de afiliados de algún grupo organizado. Este grupo te provee de todo para comenzar, y dividen las ganancias con el afiliado. Es normal ver afiliados que trabajan incluso para múltiples grupos.
Para las empresas el mayor riesgo hoy es claramente el ransomware (software malicioso que encripta tus archivos y solicita un rescate para devolvértelos y no publicarlos). No sólo por las pérdidas monetarias sino también por la pérdida reputacional.
Para el usuario común, la mayor amenaza además del ransomware hoy en día son los stealers (software malicioso que se encarga de robar credenciales y datos financieros en forma silenciosa). Es realmente notable la cantidad de cuentas (de distintos servicios como Netflix, Spotify o Rappi) y tarjetas de crédito (de todo tipo incluyendo corporativas/black) a la venta en foros especializados. La mayoría proviene de infecciones con stealers, y es normal en el caso de las tarjetas que vayan acompañadas por los datos de login del homebanking, para aumentar las posibilidades de éxito del delincuente.
Netlifx y Spotify son empresas que están valuadas en miles de millones de dólares. ¿Cómo puede ser que se vulneren las credenciales de cuentas de usuarios a empresas que tienen tanto dinero para invertir en seguridad informática? ¿O es una desatención o ignorancia de los usuarios que entregan datos a delincuentes sin darse cuenta?
La segunda. La mayoría de las cuentas (o lotes de cuentas) a la venta provienen de campañas de phishing (donde los usuarios mediante un engaño entregan las credenciales) o de una infección de stealers (donde se filtran las credenciales del usuario infectado).
Cuando hay detrás actores organizados (como en el caso de los stealers), es común que estos lotes se retengan durante un tiempo y se clasifiquen para darles valor agregado. No es lo mismo vender los datos de una persona (un juego de credenciales, una cuenta de Spotify, o una tarjeta) que un lote de tarjetas de una determinada empresa (o asociadas a un determinado servicio), o un lote de credenciales de usuarios uruguayos, por ejemplo.
¿Cómo te enterás de los hackeos a sitios web uruguayos?
Usamos un sistema de monitoreo que es parte de Tero, nuestro motor de búsqueda de filtraciones (el que usamos en el sitio "MeFiltraron").
El sistema monitorea canales dedicados al cibercrimen (foros, canales de chat, sitios de alojamiento de archivos) y recolecta inteligencia que pueda ser de nuestro interés (particularmente sobre actores o filtraciones que afecten a Argentina, Uruguay o a clientes).
¿Qué bases de datos vinculados a organismos o empresas uruguayas encontraste?
El ataque de ransomware del grupo PLAY al Ministerio de Transporte y Obras Públicas (informé tanto de las dos publicaciones de información que hicieron durante la extorsión, como también cuando el grupo "eliminó" al organismo de su sitio web posiblemente debido al pago del rescate), el ataque de ransomware de Avos Locker a la empresa Schandy (especializada en inspecciones de carga), la filtración de 210 mil registros (históricos y actuales) del INAU, la brecha de datos de la plataforma de posgrados de la UDELAR y la filtración total de los servicios de Montevideo Portal (que aparenta ser al día de hoy la filtración más grave del ámbito privado uruguayo).
Otros eventos menores que informé fueron la venta de una base de datos de tarjetas de crédito sustraídas a hoteles (que afectaba a varias víctimas uruguayas muchas con tarjetas con límites altos o corporativas) y la venta de accesos (VPNs) a empresas uruguayas.
¿Quiénes fueron sus atacantes? ¿Hay posibilidades de que la Policía uruguaya los capture?
Play y Avos Locker son actores avanzados, organizados e internacionales, conocidos por victimizar organismos y compañías grandes como ArSat (compañía satelital pública argentina).
Salvo el caso del INAU, donde el atacante tiene un largo historial de filtraciones en Latinoamérica y un alto expertise técnico, los demás parecen actores ocasionales sin prontuarios notables.
Desconozco la formación en cibercrimen de la policía local, pero teniendo en cuenta que existen esfuerzos internacionales conjuntos, que abarcan fuerzas y agencias de todo tipo y no suelen dar grandes resultados, tengo mis dudas. Sin ofender.
¿O sea, que seguirán apareciendo nuevas filtraciones? ¿Qué debemos esperar?
Las filtraciones siempre estuvieron, pero nadie las comunicaba. En MeFiltraron tenemos filtraciones uruguayas que datan de 2012, que nadie cubrió ni comunicó pero siguen en línea.
A futuro, tenemos que pensar que las filtraciones van a continuar: Mientras haya una computadora (u otro dispositivo), habrá riesgo de ciberincidentes. Sumado a eso, varios analistas también notaron la "desaparición" del post de Play sobre el MTOP, que sienta un precedente peligroso y da un mensaje claro en el mundo del ransomware: "En este país pagan rescates" (no vamos a ser tan inocentes de pensar que un grupo criminal transnacional hizo caridad con esos datos y decidió bajarlos en un ataque de ética).
Lo que nos queda a los usuarios es tomar más conciencia de que nuestros datos están cada vez más desprotegidos. ¿Qué les sugerís?
Seguir las normas básicas de seguridad: utilizar una clave única para cada sitio o plataforma (si se filtra, no podrán reutilizarla en otro lugar); siempre agregar un segundo factor de autenticación como Google Authenticator (es similar al token de nuestro banco, genera un código de acceso a nuestras cuentas además de nuestra contraseña), usar gestores de contraseñas, no confiar en *nada* que llegue por email o por anuncios de búsqueda (sobre todo en Google, para sorpresa de muchos). Verificar siempre con quién o qué estamos tratando.
Fuera de eso, mi consejo más relevante es que piensen siempre dos veces qué datos darle a una plataforma. Háganse la pregunta ¿Esta plataforma sabrá proteger este dato que me está pidiendo? ¿Cuáles serían las consecuencias de que se filtre? Una clave filtrada se puede cambiar, una huella dactilar no. Una foto de nuestro pasaporte o una selfie con nuestra cédula (muy usadas en plataformas de tarjetas y nuevos bancos como método de validación) pueden ser reutilizadas infinitas veces sin nuestro consentimiento, generándonos perjuicios económicos y legales inimaginables.
¿Hay algo particular en todas las filtraciones que descubriste sobre Uruguay? ¿Algún patrón se repite?
Vienen de actores y entornos distintos, por lo que es un poco difícil trazar una similitud entre todas.
Sin embargo, un aspecto común a la mayoría es la mala comunicación: en los casos de ransomware Schandy (víctima de Avos Locker) no parece haber emitido ningún comunicado al respecto (hasta donde sé); Close-Up (víctima de Lockbit) tampoco se pronunció sobre su respectivo ataque; y el MTOP (víctima de PLAY) se limitó a desmentir primero y luego minimizar el caso.
En cuanto a las filtraciones, la única entidad que asumió y comunicó el incidente fue el INAU y, a medias, la Udelar (citando que se enteraron "por publicaciones en redes sociales", sin dar crédito a nuestra investigación y sin publicar un postmortem del incidente indicando "qué" y "cómo" sucedió - esta es la clase de conducta que lleva a otros investigadores a no reportarte incidentes a futuro).
Otro aspecto interesante es que la mayoría de las filtraciones fueron publicadas gratuitamente y aún continúan en línea.
¿Alguna empresa u organismo público uruguayo te ha contactado?
No.
¿Creés que los organismos del Estado no te escuchan? ¿O no te leen tus revelaciones?
No lo sé.
¿Considerás que hay una falta de formación en temas de seguridad informática en organismos del Estado uruguayo?
Desconozco la formación que tienen a ciencia cierta, pero es evidente que es insuficiente sólo con ver los casos recientes: MTOP (Play), INAU, DNIC (Leriwey), Udelar (TomaHawkEye), ANTEL (a manos de CoomingProject).
Esto es más preocupante si tenemos en cuenta que Vera (proveedor de identidad de ANTEL) lidera el ranking de dominios afectados en MeFiltraron (y le siguen debajo otros organismos públicos).
Si bien en este último caso no responde a una vulneración directa de su plataforma sino de sus usuarios, estaría bueno entender que medidas de concientizacion o acompañamiento al usuario se toman institucionalmente. Tomemos como ejemplo reciente el caso BROU, donde muchísimos usuarios se vieron afectados y no tienen una respuesta satisfactoria.
