Nota-CiberseguridadPor Marcelo Hernández

Día a día asistimos al enorme crecimiento de todo lo cibernético, y más precisamente nosotros los usuarios vemos y somos protagonistas de lo que sucede con Internet, las redes sociales, correos electrónicos, y la consecuencia directa es que compramos cada vez más dispositivos que nos posibilitan entrar y navegar en este mundo virtual en cualquier lugar y a cualquier hora.

En ese contexto es que la Agencia de Gobierno Electrónico y Sociedad de la Información (Agesic), creada por el gobierno en diciembre de 2005, lleva adelante las políticas gubernamentales en la materia, y con el objetivo de articular, gestionar y promover seguridad y confianza de los usuarios en nuestro país con relación a lo virtuales es que creó en 2008 el CERTuy, que es la infraestructura y el marco habilitante necesario para que la ciudadanía tenga seguridad y confianza en el uso de las Tecnología de la Información (TIC).

El ingeniero en Telecomunicaciones especializado en Seguridad Informática, Santiago Paz es el titular del CERTuy, quien comanda los “bomberos” del Estado en materia de ciberseguridad, al ser entrevistado por LA REPÚBLICA contó cómo está nuestro país en esta temática.

¿Qué es CERTuy?

El CERTuy es el Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay y su principal foco de atención es su comunidad objetivo.

Protege los activos de información críticos del Estado y promueve el conocimiento en seguridad de la información de manera de prevenir y responder a incidentes de seguridad.

Es como decir vamos a impulsar esto, pero vamos a gestionarlo, para evitar que sea un disparo en el pie.

¿Qué hace?

Somos los bomberos. Un CERT si hay un incidente tiene que responder, como si hay un incendio los bomberos tienen que atenderlo y apagarlo. Pero también hacemos capacitaciones, análisis de diseño, monitoreo, pruebas de seguridad, detección preactiva. Un montón de actividades para evitar que ocurra un incidente.

¿Con qué situación se encontraron cuando fueron creados, ya que el mundo Internet ya existía?

Un CERT como concepto se inventa a fines de los 80 en una Universidad en EE.UU. a raíz de un virus. Saltó a la luz cunado hay un problema de ciberseguridad de este tipo hay públicos, privados, empresas, países afectados, y existe la necesidad que haya un equipo de expertos que se ocupen del tema y alinear todos los esfuerzos para contener este problema.

Luego fueron surgieron distintos CERT y en 2004 surgió una iniciativa en la OEA que buscaba crear una red de países de la OEA que cuenten con equipos de respuesta a incidentes nacional. En 2008 cuando se creó el nuestro, había cuatro; Brasil, Argentina, EE.UU. y Canadá, y al mismo tiempo que nosotros se sumó Venezuela. Hoy hay más de 20 en las Américas. Nosotros comenzamos con un concepto nuevo, que no tenía experiencias a nivel regional, por lo que tuvimos tropezones y liderar ese proceso.

Es por esto que hemos apoyado una cantidad de países como Ecuador, Colombia, Panamá, entre otros, en crear sus CERT.

Uruguay funciona de manera muy adecuada, ya que nos conocemos todos, pocas universidades, y eso nos permite movernos de manera mucho más ágil que Brasil, por ejemplo. Podemos decir que Uruguay está muy bien a nivel mundial en ciberseguridad.

¿Cómo está Uruguay hoy? ¿Se puede decir que a nivel de ciberseguridad estamos seguros? ¿Qué falta corregir? ¿Estamos muy expuestos? ¿Estamos mejor que la región y cómo estamos en comparación con el contexto mundial?

El tema de ciberseguridad para por el nivel de riesgo en el que se está. Nunca se va a poder decir que estomas 100% seguros en la materia. Hay un balance que se tiene que hacer entre el nivel de amenaza, el nivel de exposición que tenemos.

En términos generales en Uruguay hay de todo, mismo dentro del Estado hay algunas instituciones muy evolucionadas, otras que no, y lo que buscamos es romper con esas asimetrías.

Un ejemplo, en este año vamos a poner en funciones, en un par de mes, un Centro de Operaciones de Ciberseguridad, donde se monitoreará en tiempo real posibles ciberataques durante las 24 horas todos los días del año.

Hoy, el CERT trabaja en tiempo de respuesta de horas luego de que pasó el incidente, pero en estos tenemos que responder en minutos para contener y que el impacto sea lo menos posible.

Con esto le vamos a dar cobertura a organizaciones que no tienen cobertura 24×7. Eso es lo que significa romper asimetrías.

Buscamos compensar que un viernes a las 10 de la noche pasa algo y hay alguien viéndolo.

Pero no podemos abarcar todo el ecosistema, por ese debemos tener socios públicos o privados, y otros equipos de respuesta que pueden atender los problemas, y que también puedan recibir un aviso a las 22 horas y darle andamiaje a la contención.

¿Qué pasó finalmente con el mega cibertaque del Wana Cry ocurridos hace algunas semanas?

Es un virus más como ha existido tantos en computadoras. La diferencia es que fue extremadamente agresivo. Tuvo un fuerte impacto en Asia y Europa.

Wana Cry necesitaba que al menos una persona por empresa hiciera un clic y empezaba la debacle. Pero la comunidad mundial respondió muy rápidamente, y cuando amaneció en Latinoamérica las contramedidas ya estaban tomadas y por eso el impacto fue bajo.

Pero esto sirvió para generar un nivel de conciencia, tanto de la comunidad técnica como en la no técnica. Mucha gente dijo que si esto le pasó a Telefónica, a la Renault, me podía pasar a mí. ¿Qué podría haber hecho para evitarlo o para que el daño fuera menor? Ahí a nivel empresa o usuario se empezaron a rever medidas de ciberseguridad muy básicas y baratas, como tener el antivirus o tener un back up, que con esas pocas cosas podés dormir tranquilo. Wana Cry no robaba información, sólo que no podía acceder más a ella. El daño era el mismo que se cayera al piso la computadora y se te rompiera.

Desde que se creó Agesic, nuestro plan de ruta está marcado por las agendas digitales. La última, que va hasta 2020, tiene un hito que dice que promover y mejorarlos niveles de ciberseguridad del sector privado, porque como estas cosas pueden pasas, tenemos que estar preparado.

Hoy tenemos que trabajar para amenazas que van a pasar dentro de dos años.

El Internet de las cosas, donde todo se conecta a Internet, canaleras, cámaras de video vigilancia. El año pasado, en octubre, en este marco, se efectuó el ataque más grande de la historia. Cuando se empezó a conectar todo a Internet no se percibió esta amenaza.

Y al pasar, quedamos todos con los ojos abiertos, ya que hay cientos de miles de dispositivos conectados a Internet que no tienen medidas de ciberseguridad.

¿Este centro que está por arrancar trabajará tanto para públicos como para privados?

Agesic va a monitorear y proteger ataques, y otra es mixta –público, privada y academia- donde vamos a colaborar para detectar un problema. Por ejemplo, el incidente fue en el cliente A y pasó esto. Es un espacio de relacionamiento que busca optimizar el tiempo de respuesta. Nuestro foco es responder en minutos y a la hora que sea.

¿Cómo va a ser esa relación?

No es un modelo comercial. Si la empresa quiere participar no tiene costo, pero debe cumplir algunos requisitos. Un almacén quiere esto, no, sino debe ser una empresa que atienda a 50 almacenes, por ejemplo. Los cometidos nuestros son sobre sistema críticos que son masivos. Los reportamos al instante y la respuesta debe ser de la misma forma.

Hoy trabajamos ya todos los días con todos los bancos del sistema financiero. También con los servicios de Internet (Claro, Movistar, Dedicado, etc.).

¿Lo cierto es que más allá de todo lo que se pueda hacer antes, estas cosas van a pasar?

Esto pasa, y hay que estar lo mejor preparados. En 2016 tuvimos cercan de 800 incidentes y este años vamos a tener bastante más de 1000. Cada vez que pasa uno, hay alguien que se ve perjudicado, afectado y muchos lloran sobre esa leche derramada. Hay un montón de gente que trabajamos para minimizar las consecuencias. Las medidas que tome hoy, voy a ver su resultado en un año. Esta bien empezarlas lo antes posible.

Y quiero reafirmar que toda la información que manejamos es en extrema confianza con el afectado y no damos a conocer sus datos nunca. Entre los incidentes, el 40% son phishing.

¿Qué es el phising?

Es un tipo de ataque que busca robar credenciales, números de tarjeta de crédito y cualquier otra información sobre el usuario atacado.

Descubre si te han pirateado tu perfil

Facebook y Twitter se han transformado en un objetivo “tentador” para los atacantes. Más allá de las recomendaciones respecto a la utilización de claves fuertes para proteger el perfil esto no es suficiente para evitar el robo de credenciales.

Algunas medidas posibles son el uso de contraseñas seguras, habilitar el uso de autenticación en dos pasos, no abrir la cuenta desde dispositivos “no seguros” (por ejemplo en PCs de aeropuertos), chequear antes de acceder a la cuenta que la url sea segura y cuente con el certificado ssl correspondiente, entre otras. Por más info, ingresar a www.cert.uy

¿Cómo prevenir el robo de contraseñas?

Como primera medida se deben utilizar contraseñas fuertes, es decir, contraseñas de más de 8 caracteres, que contengan números y caracteres especiales. La contraseña se debe cambiar periódicamente, de forma que si es robada por un atacante, no tenga acceso indefinido a los datos del usuario.

Asimismo, se debe tener conocimiento de que otros usuarios utilizan el dispositivo en el que se está logueando, por ejemplo, no es recomendable realizar transacciones bancarias desde un PC del aeropuerto. Por último, no se recomienda usar la misma contraseña para varios servicios, de ser así, teniendo acceso, por ejemplo, a la cuenta de Facebook de un usuario, podría también acceder a su correo electrónico.

Consejos para proteger los dispositivos móviles

Bloquear el terminal: Además del pin de desbloqueo de la tarjeta SIM, es recomendable habilitar una clave de bloqueo, ya sea con patrón de puntos o con una clave numérica. Con esto se evita que se acceda al dispositivo en caso de pérdida o hurto.

Bluetooth: Esta funcionalidad resulta muy útil, sin embargo es recomendable mantenerla apagada a menos que se esté utilizando.

Copias de seguridad: Es recomendable tener una política de backup, esto significa respaldar la información del móvil periódicamente. De esta forma en caso de perder o romper el dispositivo se puede recuperar la información básica del mismo.

Aplicaciones: Existen infinidad de aplicaciones maliciosas desarrolladas para los dispositivos móviles. Es por esto que se recomienda descargar solo de la tienda oficial. Esto no es una garantía de que la aplicación sea legítima, sin embargo reduce la posibilidad de que se trate de un software malicioso.

Encriptar el dispositivo: dificulta al atacante el acceso a los datos almacenados en el mismo.

Antivirus: No todos los sistemas operativos los requieren, sin embargo en caso de existir la posibilidad, es recomendable instalar algún software de antivirus. Existen varias opciones: Avast!, AVG, McAfee, sophos, entre otras.

WiFi públicas: En estas redes no se sabe quién está conectado, por lo cual se recomienda evitarlas, a menos que sea imprescindible el uso de las mismas.

Mayo-junio 2017