De acuerdo a estadísticas recientes, las empresas argentinas están cada vez más expuestas a las acciones de los ciberdelincuentes. El especialista de la UNTREF Roberto Langdon detalló cuáles son los tipos de ataque más habituales y aportó algunos consejos para neutralizarlos.
En diálogo con el CIDEM, el experto en ciberseguridad y docente de la carrera Ingeniería en Computación de la Universidad Nacional de Tres de Febrero, Roberto Langdon, alertó sobre el incrementó de los ciberataques en Argentina y cómo las empresas están cada vez más en la mira de los delincuentes informáticos. Durante la entrevista se refirió a los tipos de ataque que se vienen perpetrando últimamente y a las maneras de contenerlos, pero también abordó la ambivalente posición de muchas organizaciones en relación a este tema.
“Los ciberataques están creciendo en todas partes del mundo, más en Latinoamérica y dentro de Latinoamérica en países que tienen trascendencia desde el punto de vista de las tecnologías y las comunicaciones, como es el caso de Argentina”, ponderó
Langdon aclaró que las únicas estadísticas disponibles sobre ciberataques provienen de los mismos fabricantes de soluciones de protección como Kaspersky, Check Point y Fortinet, que procesan datos de lo que ocurre en sus bases instaladas. De acuerdo al último informe de Check Point, en el primer trimestre de 2023 Argentina lideró el ranking regional con un promedio de 2.052 ciberataques semanales, que para nuestro país representa un 22 % más respecto al mismo período del año anterior.
“El cuadro es ese y lo que pasa con varias empresas es que como ellas no se enteraron que hayan tenido algún problema consideran que no están todavía en el ojo de la tormenta, y posiblemente ya estén teniendo ataques o hayan tenido ataques pero como no tienen ninguna herramienta de monitoreo activo no se dan por aludidas. Es como las personas que les da un ACV, no saben que tienen problemas de presión o de circulación hasta que realmente tienen el accidente”, comparó.
¿Cuáles son los principales ciberataques?
De acuerdo al experto, hay una amplia variedad de acciones que pueden llevar adelante los piratas informáticos, pero una de las más habituales es la que se conoce como phishing.
“Hoy está muy en boga y consiste en que vos recibas correos electrónicos, mensajes SMS o de Whatsapp que simulan ser del banco con el cual operás, o de alguna empresa que te quiere enviar alguna propuesta que vos no pediste. Y entrás muy inocentemente: abrís los archivos adjuntos y terminás descargando contenido malicioso. La consecuencia es el robo de información”, explicó.
Según Langdon, una vez que el delincuente accede a esa información sensible hay dos caminos. “Podés caer en lo que se llama robo de identidad, es decir que alguien empiece a usar tus credenciales para hacer operaciones como compras en Internet y de golpe debes todo eso en el resumen de tu tarjeta de crédito. La otra posibilidad son los fraudes económicos, por ejemplo gente que te dice que te hizo una transferencia, que se equivocó y puso en el valor un cero de más y te reclaman el excedente. Te mienten con que se está acreditando la transacción y, mientras, te mandan la foto de un comprobante dibujado. Este tipo de engaños está a la orden del día”.
Dentro de los contenidos maliciosos que se pueden descargar en las campañas de phishing, el entrevistado aseguró que uno de los más frecuentes es el virus ransomware.
“Lo que hace este virus es encriptar los archivos, después piden rescate para mandarte la clave de descifrado, y si no pagás y no hiciste un backup, la información se pierde. Al principio lo que pedían eran 500 dólares, después empezaron a pedir 500 bitcoins, era mucho más. Ahora empiezan a pedir valores de rescate evaluando cuáles son las consecuencias que la perdida de esa información puede acarrearle a la empresa”.
Otra de las variantes sobre las que llamó la atención es la de los sitios apócrifos de bancos y entidades financieras. “En esta modalidad las direcciones URL difieren solamente en una letra o un número sobre el final del nombre como puede ser Santander1.com.ar. Yo estoy ingresando a un sitio falso que tiene la misma apariencia oficial del banco y cuando pongo los datos de usuario y contraseña para entrar al home banking, ya obtuvieron mis credenciales de acceso para robarme desde el sitio legítimo”, ejemplificó.
Asimismo, señaló que son bastante frecuentes los ataques que se dan a través de páginas web con mucho tráfico. “Sitios de vicios, ocios y servicios son los candidatos número uno para este tipo de situación. Les agregan código malicioso que uno descarga sin darse cuenta. Cuando ese código malicioso se instala en la máquina del visitante, lo que hace es pasarle las coordenadas al delincuente que lo programó para que en forma remota tome control del equipo y ver qué tipo de información puede sustraer de ahí o sumarlo a una red zombie para otra acción delictiva”
También contó que pululan bastante los programas espía (spyware). “Los spyware no te van a destruir información como sí hacen los virus, lo que hacen es robarla. Van a tomar una copia de lo que encontraron y se lo van a enviar por correo electrónico al ciberdelincuente. Puede ser información de usuarios y contraseñas que usaste en los sitios de home banking o en los portales donde ingresaste recientemente, información de proyectos especiales o proyectos que todavía no fueron lanzados. Ven si esa información tiene valor y la ofrecen en el mercado clandestino”.
Pero si algo faltaba en toda esta trama de vulnerabilidades es ir sobre los procesos productivos, por eso de acuerdo a él se le está dando cada vez más importancia a lo que se conoce como seguridad en OT (Operational Technology). “Acá estamos hablando de líneas de producción, por caso las automotrices donde tenés una línea de montaje con 15 o 20 autos que los van terminando de armar en cada una de las etapas para después enviarlos a los distribuidores y concesionarias, o exportarlos a otros países. Que a la empresa le paren la producción por cuatro horas le puede generar una pérdida de dinero muy grande y los delincuentes piden el equivalente o más”, indicó.
En relación a este tipo de ataques, Langdon detalló que el gran problema es la actualización tecnológica. “En muchas líneas de producción actuales encontrás sistemas Scada para el control de los procesos. Cuando vos vas a ver cuál es el sistema operativo para ese sistema Scada te encontrás con Windows XP, peor todavía, Windows 95 porque suele haber una resistencia a invertir en el reemplazo de todo. Entonces lo que tenés son plataformas tecnológicas fácilmente atacables”, agregó.
En esas plantas más modernas que van hacia la automatización, otra puerta de acceso para los ciberdelincuentes son los sensores inteligentes, aquellos que tienen capacidad de conectarse a Internet para hacer monitoreos o mediciones con el objetivo de adoptar acciones correctivas o preventivas. “Al tener accesibles una dirección IP eso ya los convierte en cualquier tipo de equipo o servidor que está disponible en Internet, y las posibilidades de recibir ataques son altas”, remarcó.
Contraseñas vulnerables
En otra parte de la charla, Langdon destacó que otro eslabón débil en el control de accesos a los sistemas y las aplicaciones son las contraseñas. “La gente quiere tener claves cortas y medio triviales así las puede recordar con facilidad, pero así también las detectan muy rápido los delincuentes. Hoy hay herramientas gratuitas que se bajan de Internet y te permiten hackear una contraseña, descifrando posición por posición hasta que lográs tener la contraseña completa”, advirtió.
Su recomendación es que las contraseñas tengan, como mínimo, entre 10 y 12 posiciones con distintas combinaciones como números, letras en minúscula y mayúscula y caracteres especiales, y también sugirió cambiarlas todos los meses.
La concientización del personal
De acuerdo al especialista, son las personas las que con su imprudencia facilitan el ingreso de los malwares, por eso es fundamental que se las concientice acerca de esta problemática. “La gente tiene que estar capacitada pero no desde el punto de vista técnico sino desde el sentido común. Tiene que haber un cambio actitudinal. Si a mí me llegó a mi bandeja de entrada algo que no pedí, tengo que descartarlo inmediatamente. En estas cuestiones es central que el personal sea protagonista, que participe en charlas sobre el tema y que haya una divulgación dentro de la empresa”, enfatizó.
Además, el docente de Ingeniería en Computación dijo que es un error confiar ciegamente en las soluciones tecnológicas. “Es importante prever qué pasa si la solución tecnológica falla o si una nueva técnica de ataque logra traspasar la protección que pensaba me iba a cubrir las espaldas por completo. Tengo que tener un plan B, distintas capas de protección, para que en el peor de los casos si logran ingresar, no se encuentren con las cosas servidas”.
Es que ni siquiera los mismos fabricantes pueden decir que sus soluciones son inexpugnables. “Algunas llegan al 95 % de protección, otras más sofisticadas al 98 o 99 %, pero ninguna es 100 % efectiva, y eso lo dicen en sus manuales”, precisó.
Para el ingeniero, la clave es que la gente tenga una mirada más integral del asunto. “El principal problema es que se están afectando los activos de información de la compañía. Supongamos que se fuga un documento que hablaba de que están queriendo hacer un due diligence de una empresa competidora con el fin de comprarla o querer habilitar una nueva línea de negocios. Como eso tomó estado público, puede haber otro que diga ‘están queriendo comprar esta empresa, le voy a hacer una oferta agresiva a ver si cierran el trato conmigo’, y esa fuga de información termina haciendo que el proyecto original aborte. Como se ve, esto no solo impacta en el empleado que cometió el descuido de dejar circular esa información sino en toda la compañía. Todos deberían sentir que son los responsables de cumplir y hacer cumplir las cosas”, ilustró.
Soluciones tecnológicas confiables
Consultado por los aliados tecnológicos en este campo de batalla, Langdon comentó que lo primero es cambiar algunos preconceptos sobre los antivirus.
“Son muchos los casos de empresas que toda la vida usaron una marca de antivirus y se preguntan por qué ahora deberían usar otra. Lo más probable es que esa marca que siempre usaron hoy no sea la que tiene el mejor desempeño. No hay que tenerle miedo al cambio”, propuso.
El referente de UNTREF aclaró que existen dos tipos de antivirus: los de primera generación y los más recientes de segunda generación, también identificados con las siglas EDR (Endpoint, Detection and Response) o XDR (Extended, Detection and Response).
“Estos últimos antivirus lo que tienen es que contemplan una parte de control de procesos. Cuando en esa parte detectan que se está invocando una rutina de cifrado o encriptación, ya te están avisando que entró un correo con un virus ransomware. Hoy te dan un muy buen nivel de control y pueden llegar a neutralizar estos ataques que los antivirus de vieja generación no pueden”, subrayó.
Aunque para un mayor blindaje lo mejor es tener una “suite de seguridad” que, además del antivirus, incluya firewall para controlar los accesos autorizados en la red y otras herramientas como la de control de aplicaciones o de prevención de intrusos. “Son soluciones que analizan las aplicaciones que están queriendo tomar acción, pero las revisan en una memoria auxiliar que se llama sand box. Ahí ven el comportamiento y se dan cuenta si finalmente quieren ingresar con algún objetivo ilícito”, especificó sobre estas últimas.
Como compartió, las "suites” también pueden traer la herramienta Data Lost Prevention (DLP) que detecta los movimientos que apuntan al robo de información, así como otras soluciones antiphishing, antispam o de filtrado de URL. “Con estos diferentes niveles de protección se logra mucha más robustez. Y no solamente se trata de elegir la marca que me ofrece el paquete más completo, también tengo que asegurarme que esa marca brinde el mejor soporte y acompañamiento en el país. Si yo sufro un ataque, lo que voy a necesitar es una intervención rápida”, recomendó el entrevistado.