Marcelo Erlich es el presidente de ITC, la consultora de Antel que asesora a empresas a prepararse mejor para enfrentar ataques informáticos, y Eduardo Carozo es el Gerente de Comercialización.

Para los especialistas es necesario que el Estado, los privados y las familias se preparen mejor, que se actualice el marco legal y que se entienda que la afectación de sistemas cada vez más interconectados puede tener consecuencias catastróficas.

—El reciente ataque informático que afectó a decenas de países no tuvo tantas repercusiones en Uruguay. ¿Por qué fue así ?

—Marcelo Erlich: Las redes más densas están siempre en el norte, lo que hace que este tipo de ataques que utilizan necesariamente muchos nodos se propaguen más rápido allí. De todas formas, es extraño el caso de Uruguay porque dentro de lo que es América Latina es uno de los que está más desarrollado en lo que es tecnología de la información.

—Le sorprendió....

—M.E: Si uno mira la historia de los ataques cibernéticos de los últimos años los países que son los originadores de la mayor cantidad de ataques son los del norte, fundamentalmente Estados Unidos. Y en general los destinos de los ataques son Europa, Asia y Estados Unidos. América del Sur, en general, no sufre los ataques en la misma proporción. Un poco por la historia uno puede prever que esas cosas si bien impactan, no nos impactan mayormente aún.

—¿Qué tan importante fue el ataque de este mes?

—Eduardo Carozo: Es el ataque de mayor impacto en la historia moderna de Internet. La novedad que tiene es que es un gusano. Es la primera vez que utilizan como vector de propagación un gusano y atrás viene el "ransom" que es el pedido de rescate de los archivos encriptados. En Uruguay Agesic y el Centro de Respuesta a Incidentes en Seguridad Informática en Uruguay ya bloquearon muchos ataques en estos años. La incidencia de estos ataques recientes se dio en algunas empresas privadas que no tenían "parcheados" sus servidores con la última edición. Este ataque utilizó una vulnerabilidad que se llama "Eternal Blue", que es una herramienta que estaba desarrollada para determinadas agencias de inteligencia. Por enero de este año el centro de respuesta de Estados Unidos emitió una alerta que no venía vinculada al "ransom" sino a otro tipo de ataques. La herramienta fue filtrada en foros de "hackers" por el mes de abril y la primera gran infección conocida es la de "wannacry". Había una anterior que era mucho más persistente y que no explotaba de manera pública.

—M.E: Es importante decir que el tipo de ataque "ransom" existe hace muchos años. Es diferente a los ataques a los que estábamos acostumbrados. El virus infectaba la máquina, se propagaba y generaba problemas de funcionamiento. O tiraba abajo el sistema u otros generaban denegación de servicios. Este ataque específico lo que hace es generar datos para después efectuar una extorsión. Te los encripta, no te los deja ver, para cobrar un rescate.

Algunas de las herramientas para poder generar los ataques se están haciendo públicas. Entonces al hacerse públicas mucha gente tiene acceso y las puede utilizar. Obviamente dependiendo del grado de manejo que tengan del malaware, es la potencia que puede tener el ataque.

—Entonces es una actividad delictiva rentable.

—E.C: "Wannacry" en particular te pide US$ 300 rápido. Y después US$ 600 o si no después te borra. Los pide a través de una moneda que se llama bitcoin. No tuvo demasiado impacto porque creo que al día de hoy están en US$ 36.000 acumulados. Por una infección de 300 máquinas es como ridículo. El ataque es más político que económico, por muchas causas. La primera es que eligieron una moneda de pago que es poco difundida en quienes tienen un Windows desactualizado. Los bitcoins los tiene una elite de gente que está en alta tecnología. No tienen manera de pagarlo. Parece contradictorio. Usan el bitcoin porque es una moneda que permite el anonimato. Permite la trazabilidad de las transacciones pero en forma anónima. Se utilizan servidores que estén en versiones viejas. Windows sacó el parche en abril antes de que apareciera la vulnerabilidad pero todos aquellos que tenían servidores no actualizados, que estaban en XP o en versiones 8 de Windows no tenían el parche.

—M.E: Lo importante conceptualmente es que si bien hay agentes externos buscando vulnerabilidades y nuevas formas de ataque con distintos fines económicos, políticos, o lo que sea, el problema más grande radica adentro de la organización. Eso pasa cuando uno no tiene software licenciado o debidamente actualizado, cuando uno no tiene políticas de seguridad adecuadas y las personas utilizan las máquinas para conductas inapropiadas.

—¿Se detectó quiénes estuvieron detrás del ataque?

—E.C: El mundo es mucho más complejo de lo que creemos. Por lo tanto no puedo afirmar ni desmentir nada. Hoy por hoy, hay un montón de gente buscándolos y no se sabe quiénes son. Algunas agencias tienen la política de usar lo que se llama "Zero Day Exploit" que es una vulnerabilidad no conocida por la comunidad. Algunas agencias lo tenían como arma y se filtró. Hoy hay muchos grupos de "hackers" que están creando "wannacry". Esto está muy dinámico, en todo el mundo se están creando herramientas.

Acá Windows es víctima porque tiene una difusión enorme de software desde hace muchos años y hay miles de millones de máquinas por todos lados. Pero todos los sistemas operativos tienen vulnerabilidades porque son piezas de código complejas que si uno las usa para algo diferente de aquello para lo que fueron creadas se convierten en vectores de ataque.

—M.E: No hace falta atacar a 100 millones de máquinas. Se ataca a algunos millones y eso termina transformándose en ataque a cien millones. En este ataque afectaron a Telefónica de España que es como Antel y a un montón de sanatorios en el Reino Unido donde colapsaron los sistemas del servicio de ambulancias. Seguramente eso puso en riesgo la vida de muchas personas.

Para Marcelo Erlich hay dos mundos. "Está el mundo que permite toda la conectividad y la tecnología para resolver y facilitar la vida, pero está el mundo con vulnerabilidades que siempre van a existir porque la inadecuada protección puede hacer que ocurra todo lo contrario: quedarse sin energía eléctrica, sin semaforización", dice. "Imagínese escenarios caóticos que se pueden suscitar cuando está todo automatizado y conectado. Se puede afectar la seguridad y la salud públicas, el tránsito, la energía, los sistemas de control automático como los de Botnia (...) Es muy importante que haya política de Estado en cuanto a seguridad cibernética y que a su vez cada una de las organizaciones estatales tenga su propia política, que las privadas también la tengan y que cada uno en su familia tenga su política de seguridad".

Un "hacker" no es un delincuente, dice Eduardo Carozo. "Hay una deformación popular de que el "hacker" es un delincuente. El "hacker" simplemente tiene una habilidad de "hackear", de encontrar las vulnerabilidades. El "hacker" ético hace el "hackeo" con el consentimiento del cliente. En la terminología, el que es más agresivo y se podría meter en problemas con la ley, es el "cracker" que es el tipo que entra en la red y hace cosas incorrectas", explica.

Carozo y Erlich entienden que Uruguay requiere una ley de delitos informáticos donde se asigne a cada conducta inapropiada una pena. Hoy si se está juzgando un supuesto delito informático se lo asimila a una apropiación indebida, calculando el valor de lo que se ha robado. "Nos está faltando la figura específica. Tiene que avanzar la legislación", opina Carozo.

—¿ Qué medidas se deben tomar para protegerse de eventuales ataques?

—M.E: Lo mejor que podemos hacer es entrenar a la gente. Para que tenga buenas prácticas, para que sepan las consecuencias de un accionar incorrecto, para que manejen políticas de seguridad, que tengan equipos para responder las necesidades.

—E.C: Todos los servidores que conozco y he tenido varios ataques en Uruguay en los últimos meses, caen capturados por "ransomware" los viernes a las 6 de la tarde. Se utilizan todas las debilidades que tienen las empresas, que no tienen gente, que no van a encontrar a nadie en el Estado para que les responda. Tiene que haber lugares donde reportar el incidente. Hay más usuarios conectados y eso hace que el mecanismo de protección sea más complejo. Esto no depende solo de toda la tecnología que uno tenga porque a medida que haya más dispositivos conectados hay más complejidad.

—M.E: Viene una empresa china. Inventa un dispositivo electrónico ultramoderno que tenga determinadas funciones, muy novedoso y no está estandarizado. Quiere salir al mercado y hacer plata rápidamente. Lo pone muy barato, lo vende, tiene una vulnerabilidad, alguien la encuentra y se armó el despatarro.

—E.C: Le hacemos "hacking" ético a las organizaciones. Atacamos a la organización como si fuéramos alguien de afuera con las herramientas que están disponibles en Internet para ver qué tan firme es el sistema de seguridad. Otra de las cosas es meternos adentro como si fuera una casa y probamos a ver si el techo y las paredes están firmes y si resisten ataques razonables. En el segundo nivel es como que entramos a la casa y nos fijamos si tienen sala de pánico, si las cámaras vigilan. Hay toda una parte de estandarización en la que ayudamos a mejorar las conductas. Nos vamos a resfriar todos aunque andemos con mascarillas. En algún momento alguien va a cometer un error y nos vamos a resfriar. Primero tengo que saber que estoy resfriado. Tengo que saber darme cuenta de qué hacer, a quién llamar.

E. BARRENECHE / J. P. CORREA

LA ENTREVISTA DEL DOMINGOE. BARRENECHE / J. P. CORREA