Gajus - stock.adobe.com

Instituciones públicas en la mira de los ciberdelincuentes

La vulnerabilidad que muestran muchos organismos públicos ha conseguido que estos se vuelvan blancos para los cibercriminales por su facilidad de impacto. Expertos chilenos ofrecen sus recomendaciones.

Un gran impacto causó el hackeo y filtración de una infinidad de correos electrónicos que sufrió el Estado Mayor Conjunto de Chile. En este incidente, el grupo de hacktivismo Guacamaya filtró alrededor de 400 mil correos electrónicos del organismo que asesora de manera permanente al Ministerio de Defensa del país.

“Filtramos sistemas militares y policiales de México, Perú, Salvador, Chile, Colombia y entregamos esto a quienes legítimamente hagan lo que puedan con estas informaciones”, declaró el grupo a través de un comunicado.

La operación se habría llevado a cabo explotando una vulnerabilidad activa denominada ProxyShell, que afecta a los servidores de correo Exchange de Microsoft (en sus versiones 2013, 2016 y 2019), la cual permitiría ejecutar un código remoto y falsificar las solicitudes de acceso por el lado del servidor.

“Esta vulnerabilidad era conocida desde el año 2021 y fue parchada por Microsoft en abril y mayo del mismo año. En esa ocasión, además, la empresa emitió un comunicado a las instituciones invitándolas a realizar un inventario de sus activos y ejecutar el parche de seguridad de las plataformas que pudieran verse afectadas por esta vulnerabilidad”, explica Oscar Bravo, ingeniero de seguridad de la empresa Arkavia Networks.

Este caso deja en evidencia, entonces, cómo las entidades públicas se enfrentan al complejo mundo de los ciberataques. Anteriormente, los ciberdelincuentes habían dirigido sus esfuerzos hacia compañías con alta representación financiera, pero hoy han cambiado sus prioridades para centrarlas en organizaciones fáciles de impactar a través de escenarios oportunistas y que les representen mayor beneficio monetario.

Emanuel Figueroa, IDC Latin America.

Emanuel Figueroa, analista senior de Mercados de Seguridad de América Latina en IDC, sostiene que, debido a la densidad de seguridad de las entidades del sector público, los ciberdelincuentes requieren de menos tácticas, técnicas y procedimientos para lograr los objetivos de acceso a la infraestructura, “en algunos casos, a causa del desarrollo a la medida, presupuestos ajustados, retos administrativos para avanzar con sus migraciones hacia entornos modernos y disminuidas competencias de detección y respuesta a incidentes/crisis”.

Por el contrario, dice, “los ataques perpetrados al sector privado son más sofisticados, requieren de mayor planeación y generalmente de una mayor cantidad de técnicas y conocimiento del atacante”.

Según IDC, como en la mayoría de las verticales de industria predominan los escenarios oportunistas, las fallas de actualización de software siguen siendo la principal causa de las brechas de datos y seguridad en este sector, seguido por el phishing y malware. El Cybersecurity Report 2022 de IDC Latin América señala que 44 % de las organizaciones del sector público consideran que una falta de visibilidad, junto a un excesivo uso de plataformas de colaboración en la nube, son las principales vulnerabilidades que impactan de manera significativa en el consumo de servicios de nube pública.

A juicio de Claudio Ordóñez, director de Ciberseguridad de Accenture Chile, el sector público se enfrenta a retos únicos y crecientes a la hora de protegerse de los ciberataques porque tienen un perfil de amenaza más elevado que el sector privado, junto con las limitaciones institucionales para adquirir, contratar e implementar los recursos críticos necesarios para protegerse.

Claudio Ordoñez, Accenture Chile.

“Las entidades estatales se enfrentan a una serie de limitaciones inherentes al sector, que hacen que la protección de sus redes e infraestructuras sea costosa y difícil. Estos factores incluyen: la dificultad para atraer a personas cualificadas; una arquitectura y un entorno de TI excesivamente complicados, que resultan caros y difíciles de proteger; mandatos de cumplimiento generalizados; y un sistema de adquisiciones que no favorece la agilidad. Estos factores hacen que el sector público suela aplicar procesos muy manuales, sobre tecnologías anticuadas y con centros de operaciones de seguridad (SOC) con poco personal, poca cobertura y poca capacidad de reacción para proteger su entorno excesivamente fragmentado contra un número creciente de ataques más sofisticados”, explica Ordoñez.

Por su parte, Walter Montenegro, gerente de ciberseguridad de Cisco Chile, indica que, más que hablar en específico de entidades del Estado, las vulnerabilidades en general pasan muchas veces por políticas débiles de parchado/actualización de máquinas y sistemas operativos; parques obsoletos de estaciones de trabajo; o campañas de sensibilización a los usuarios carentes, insuficientes o inexistentes. “Esto último, el factor humano, es la piedra angular de las vulnerabilidades ya que los ataques, en muchas ocasiones, ingresan a la red por procedimientos y/o actividades no seguras ejecutadas por personas. Por lo tanto, es clave poner atención y foco en la educación continua en materia de seguridad dentro de las organizaciones”, subraya.

Ataques a entidades públicas versus empresas tradicionales

Los expertos coinciden en que, desde el aspecto técnico, no hay tantas diferencias, pero el objetivo que se persigue es distinto. 

David Alfaro, Arkavia Networks.

David Alfaro, gerente general de Arkavia Networks, señala que, en muchos casos, las entidades públicas no manejan dinero o mecanismos de pago alternativos de cara a sus usuarios, por lo que los atacantes buscan más bien conseguir un impacto mediático con sus acciones. En ocasiones, intentan obtener dinero a cambio de los datos sustraídos, pero pocas veces consiguen algo.

A no ser que sea un ataque dirigido, muchos incidentes se dan al azar entre miles de direcciones IP expuestas y vulnerables. Es decir, debido a que las entidades públicas no buscan lucrar, sino entregar, en muchos casos, diferentes servicios a la ciudadanía (información, documentación, inscripciones, entre otros), al indisponibilizarlos a través de un ataque los delincuentes afectan directamente la reputación y credibilidad de las instituciones.

Walter Montenegro, Cisco Chile.

Walter Montenegro, de Cisco Chile, dice que el foco o motivación del atacante, al ser una institución estatal, se basa en la óptica de interrumpir servicios, exponer información confidencial o impactar en la reputación de algún servicio o entidad pública. “Por ello, más que definir particularidades en un ataque a una empresa privada o pública, la diferencia está en las consecuencias e impacto que éstos provocan”, expresa.

¿Qué hacer cuando ya se ha desencadenado un ataque cibernético?

Cuando ya se ha producido la intrusión, ataque o hackeo, hay medidas que deben tomarse que son comunes a objetivos públicos o privados. De acuerdo con los especialistas de la industria, hay que partir por identificar el origen del ataque, sus principales características y visualizar el área de impacto, para luego evaluar y ejecutar las medidas de mitigación necesarias.

“Cuando se ha comprendido la intrusión y su alcance, se debe contener el incidente, evitando su expansión, resolviendo sus efectos, eliminando la amenaza y colaborar con otros para que haya una comunicación continua que permita responder de forma más rápida y efectiva al ataque. Lo anterior es solo posible si se pone el foco en estar preparados para enfrentar un ciberataque; es decir, no improvisar, sino seguir un plan lo más probado posible. Nadie en el sector público o privado está inmune. La clave está en saber responder de forma correcta, para lo cual es clave que haya un intercambio continuo entre el liderazgo y los departamentos de TI que permita identificar con claridad cuáles son los activos críticos a proteger y así identificar la herramienta tecnológica adecuada”, detalla Ordóñez, de Accenture Chile.

Una vez confirmado el ataque, es primordial evitar que se siga propagando por las redes, estaciones, servidores o a las cuentas de los usuarios de la organización. No obstante, adoptar medidas técnicas para que deje de actuar puede implicar reinstalar de forma aislada plataformas afectadas. Y al recuperar la operación normal, restaurando sistemas, cuentas y datos, “es fundamental contar con respaldos actualizados y evaluar lo aprendido en el incidente para volver a aplicarlo con mejoras la siguiente vez que ocurra”, agrega David Alfaro de Arkavia.

Consejos de protección para el sector público

Abordar el problema de la ciberseguridad va mucho más allá de la tecnología. La solución tiene varios niveles. Implica romper los silos organizativos, priorizar los cambios culturales y realizar campañas de divulgación transparentes para mejorar la concienciación de los usuarios. Preparar a los funcionarios públicos en ciberseguridad puede ayudar a prevenir futuras violaciones, sobre todo considerando que la mayor parte de los ciberataques exitosos tienen como origen un error humano.

El director de Ciberseguridad de Accenture Chile señala que es necesario una fuerte gestión de la identidad y el acceso, la supervisión, la gestión de la vulnerabilidad, la aplicación de parches y la segregación de la red. Además, recomienda disponer de un monitoreo de seguridad flexible y extensible, que pueda desplegar rápidamente nuevos casos de uso de monitoreo a medida que surjan nuevas amenazas. “El sector público debe asegurarse de que conoce sus activos, analizar las vulnerabilidades, aplicar parches a sus servicios y supervisar el estado de todos esos activos. También se debe construir un marco sólido de controles y garantías, que combine la respuesta y la simulación de ataques avanzados a través de equipos de ataque y defensa (red & blue teams), además de un programa activo de caza de amenazas”, afirma.

A su vez, el gerente de ciberseguridad de Cisco Chile explica que algunas buenas prácticas tienen que ver con segmentar la red de acceso y del centro de datos, así como contar con una amplia visibilidad de los flujos y tráficos, determinar hacia dónde se comunican, con qué aplicaciones se comunican y cuáles son los orígenes.

“Asimismo, la autenticación robusta de los usuarios tanto a nivel de red interna como a través de las VPN es esencial. Para esto se utilizan herramientas que validen la identidad de los usuarios, como soluciones de zero trust; múltiples factores de autenticación; validación de condiciones que disminuyan el riesgo de suplantación de identidad (que un atacante se haga pasar por un colaborador o usuario de la institución pública); y, finalmente, sensibilizar a las personas a través campañas de concientización, ya que suponen un factor de riesgo muy alto”, concluye.

Investigue más sobre Gestión de la seguridad