SEGURIDAD INFORMÁTICA
En tiempos de pandemia, la plataforma Crea pasó de tener 100.000 usuarios a 680.000. Al incrementar su uso también crecieron las amenazas.
Este contenido es exclusivo para nuestros suscriptores.
El domingo pasado a la noche los grupos de WhatsApp de profesores de UTU y Secundaria empezaron a vibrar aturdidos por una catarata de mensajes. “Ojo, parece que hackearon el sitio del Ceibal!!”. “Cuidado si llegan a abrir un mensaje de una tal María José. Deriva a páginas porno y parece que hay profesores denunciados por abuso porque les llega a los alumnos como si lo enviaran los profesores”. “Hagan la denuncia a Ceibal. Los alumnos reciben mensajes como si fueran de nosotros”. “Subieron pornografía desde la cuenta de algunos profesores; los están investigando”.
La alerta era parcialmente cierta, pues aunque no ha habido, según los datos que maneja el Plan Ceibal y la Administración Nacional de Educación Pública (ANEP), profesores denunciados, la verdad es que sí se han incrementado los ataques, sí subieron pornografía desde cuentas de profesores y sí se está investigando quiénes fueron los culpables y cómo hacer para que esto no vuelva a suceder.
El Plan Ceibal detectó un aumento de los casos de usurpación de identidad, también llamado hackeo social, desde que el coronavirusaterrizó en Uruguay el pasado 13 de marzo. Los atacantes se adueñan de cuentas de docentes y suben a la plataforma pornografía, sobre todo links; y además suelen cambiar la fotografía con la que se presenta cada profesor por imágenes del mismo tono.
Y sí, una de las culpables de todo esto, otra vez, parece ser la pandemia, puesto que se multiplicó casi por siete la cantidad de personas que utilizan Crea, pasando de 100.000 usuarios activos a 680.000. Además, se incrementó fuertemente la intensidad de uso.
Mario Caballero, gerente de Tecnologías para le Educación del Plan Ceibal, explica que “no fueron ataques al sistema, sino robos a las personas”. Y que “esto es algo que viene sucediendo por el incremento de usuarios”. También porque estos no toman los recaudos necesarios para no ser hackeados.
¿Qué pasó?
Pasó que hay profesores que no cambiaron sus claves de ingreso, y que estas son muy fáciles de adivinar por parte de los atacantes.
“En este contexto de crisis detectamos la existencia de una vulnerabilidad, que si bien no es un hackeo, es lo que se conoce como hackeo social. Lo que sucede es que hay una gran cantidad de usuarios que no han cambiado la contraseña que se les ha asignado por defecto y lo que se da son suplantaciones de identidad”, dice Leonardo Folgar, presidente del Plan Ceibal. Y agrega que “a través de esa modalidad se han publicado en el muro de Crea contenidos inadecuados, que van desde textos inadecuados, a imágenes inadecuadas, hasta links inapropiados”.
En abril pasado El Observador informó sobre las presencia de imágenes pornográficas dentro de la plataforma, las que fueron puestas allí por los usurpadores de la identidad de los docentes. Según supo El País, los casos se han incrementado en el pasado fin de semana. Aunque aparentemente es una cifra menor, andan en el entorno de la treintena desde el 13 de marzo, Folgar advierte que es “un llamado de alerta que hay que tener en cuenta” y que “es necesario tomar medidas”.
Al ver el incremento de ataques en estos últimos días, el Plan Ceibal ha realizado un cambio en la plataforma por el cual los usuarios se ven forzados a cambiar la contraseña al entrar por primera vez. Sin embargo, los ataques siguen sucediendo puesto que hay profesores que nunca han ingresado, y es a ellos justamente a quienes es más sencillo usurparles las cuentas. Por eso se decidió tomar medidas más drásticas.
Bloqueados.
Lo primero que hizo el Plan Ceibal para tratar de frenar los hackeos fue alertar a los profesores sobre la situación. “A los usuarios que quedaron sin cambiar la contraseña que les llegó por defecto les enviamos un mensaje por SMS, exhortándolos a que por favor entren y cambien su contraseña, para evitar que esto siga pasando”, advierte Folgar.
La medida sirvió para que varios ingresaran y modificaran su clave. Sin embargo, quedó un remanente del 5% de los usuarios que hasta la semana pasada continuaban con su contraseña puesta por defecto. Ante esta realidad se dio un paso más.
“Los estamos bloqueando”, dice Caballero. “Es un proceso que empezamos y esperamos terminar la semana que viene, y es la forma que encontramos para frenar los ataques”.
Por otro lado, están testeando un software para que ciertos contenidos que se suban a la plataforma sean detectados de inmediato. Hoy por hoy, esto ya funciona así en caso de imágenes (cuando se sube algo inadecuado salta una alarma), pero con textos (lo que incluye la copia de links a páginas pornográficas), esto no ocurre, y se depende entonces de la denuncia de los usuarios para detectar el problema.
“Estamos trabajando el uso de algoritmos para detectar cierta actividad maliciosa. Estamos calibrando y entrenando estos algoritmos. Es un tema muy delicado, de ingeniería, pero es uno de los caminos más típicos para incrementar la seguridad: tener un sistema de alerta proactiva”, explica Caballero.
Denuncias.
El Plan Ceibal tiene un protocolo para cada vez que se vulnera la seguridad de su plataforma. Lo que se hace es bloquear las cuentas y notificar a sus verdaderos dueños de lo que está sucediendo. Luego el organismo lleva adelante una investigación interna.
“Nosotros recabamos todos los datos que podamos averiguar sobre el evento: la hora en que se hizo, el modelo del navegador desde el que se ingresó, el tipo de dispositivo que se usó. Es decir, todo lo que deja registro en el sistema. Una vez evaluado, se decide qué se hace”, advierte Caballero.
En caso de que haya una denuncia se manda todo el material a Delitos Informáticos, pero más allá de esto todos los episodios se envían al Centro Nacional de Respuestas a Incidentes de Seguridad Informática (Certuy), que releva todos los ataques contra sitios del Estado.
Delitos Informáticos del Ministerio del Interior intercede solo en casos para los que haya denuncias. Estas deben ser hechas directamente por los usuarios. “Nosotros alentamos a que las hagan, pero ellos son los que deciden”, señala Caballero.
Hoy por hoy, según señala Winston Rodríguez, el oficial principal a cargo de esa unidad, tienen solo tres casos notificados. Provienen de padres de usuarios o de profesores.
En cuanto a la procedencia de los ataques, ni las investigaciones del Plan Ceibal, ni las de Delitos Informáticos por las denuncias que recibieron, llegaron todavía a una conclusión. “Internet es un mundo enorme, pueden venir de Uruguay o de cualquier país”, señala Rodríguez.
Caballero, en tanto, advierte que “muchas veces lo que pasa es que usan IP dinámicas para que parezca que el ataque viene de otro país, pero lo hacen desde Uruguay”. Y agrega: “No se necesita ser un ingeniero para hacer esto; googleando ya encuentran como lo pueden hacer. Nuestra impresión es que son todos ataques locales”, añade. La IP (Internet Protocol) es un número que identifica de forma única la interfaz de una red, y en estos casos sirve para detectar de dónde es que viene el ataque.
Rodríguez, en tanto, señala que si bien no puede dar detalles de las investigaciones porque están en curso, “en general se trata de usuarios que ingresan a la plataforma, se meten en las clases virtuales, hacen comentarios y les cambian la foto a los usuarios”. En cuanto a si pueden ser adolescentes los que estén detrás de los ataques, nada se descarta, pero no hay pruebas de que esto así sea.
¿Cuáles son los ataques más comunes en Uruguay?
Usurpación de identidad o hackeo social: Es lo que pasó con el Plan Ceibal. Sucede cuando alguien logra entrar a la cuenta de otra persona debido a que esta no cambia la contraseña que tiene por defecto o elige una clave muy fácil de adivinar. Aunque hay ataques más sofisticados, este es uno de los más comunes. Los usurpadores suelen usar una IP dinámica, para no ser detectados y que parezca un ataque propinado desde otro país.
Phishing: La víctima recibe un correo electrónico de, por ejemplo, su banco. Le piden entrar a una web para confirmar su clave. El usuario entra a la página que es idéntica a la de la institución, y hace lo que le piden. Pero al poner la clave, esta le es robada. Es el ataque más común en Uruguay.
Malware: Consiste en el envío de un virus, con el objetivo de infiltrarse en la computadora de la víctima o generar un daño en el sistema. Se combaten a través de antivirus.
Defacement: Es cuando se desfigura un sitio en Internet, cambiando, por ejemplo, su contenido de portada o los perfiles de los usuarios.
Compromiso de sistemas: Sucede cuando alguna información que no debería hacerse pública es filtrada y aparece publicada en la web. Suele pasar por descuidos humanos o error de programación.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
de modo que se deslice hacia la izquierda.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
. Se pondrá en gris, lo que indica que ya no se bloquearán los anuncios de ese sitio web.
.