periodista
El nuevo escenario de actividad digital, a raíz del COVID-19, elevó los riesgos y amenazas de ciberseguridad, al incrementarse los intentos de estafas y fraudes a todo tipo de usuarios de internet. El sector bancario y empresarial revelan, además, que en los últimos meses han ocurrido volúmenes inéditos de ciberataques internacionales con variantes evolucionadas de los botnet DoublePulsar y Emotet, destinados a actuar en campañas de infección y ransomware. Mientras que tras la protesta social de octubre de 2019, y hasta mayo de 2020, el Estado viene reportando un considerable aumento en la frecuencia de ataques DDoS, acompañados de algunos éxitos en operaciones de exfiltración de datos, afectando principalmente a Carabineros de Chile, entre otras entidades públicas.
Para un país cuyo porcentaje de la población con acceso a internet es de un 82%, la evolución de estas amenazas se presenta en un momento en que, si bien, Chile lidera los estándares de ciberseguridad en América Latina, aún se encuentra en una etapa temprana de implementación de su Estrategia Nacional de Cibeserguridad y de las medidas de coordinación necesarias para integrar a toda la infraestructura que se está viendo afectada por estas nuevas condiciones de cibercrimen, ciberataques globales y hacktivismo.
Desde esta perspectiva, conviene tener presente que el panorama cambió significativamente en menos de 12 meses, pudiendo acentuarse en el futuro las actuales tendencias. A continuación se presentan algunas de las principales.
Cibercrimen
En cuanto al cibercrimen, este ha ido poco a poco impactando a la población y, aunque hasta ahora las cifras de denuncias asociadas a estos delitos han sido relativamente bajas, algunos patrones van en continuo aumento. En este sentido, en la última Encuesta Nacional Urbana de Seguridad Ciudadana (ENUSC), la cual mide el porcentaje de hogares que han sufrido un delito de mayor connotación social y la percepción de las personas sobre la delincuencia en el país, se puede observar un incremento sostenido en los últimos cinco años de victimización por delitos asociados a estafas por internet (2,0%), acoso u hostigamiento (1,6%), suplantación de identidad en cuentas bancarias (1,4%) y amenazas por internet (1,0%); disminuyendo la percepción de victimización en los delitos de suplantación de identidad en redes sociales, en tanto los delitos de destrucción de disco duro o hackeo se mantendrían estables en 0,1% de victimización.
En esta misma línea, según las estadísticas aportadas por la Policía de Investigaciones de Chile, entre 2014 y los primeros 6 meses de 2019, se habrían recibido 4.685 denuncias por delitos informáticos, donde los delitos con mayor prevalencia se agruparían en 5 tipologías principales: Sabotaje informático, con 3.416 denuncias (73%); espionaje informático, con 800 denuncias (17%); grooming, con 270 denuncias (6%); phishing con 169 denuncias (4%); y pharming, con 30 denuncias (1%). En cuanto a la distribución territorial, estos delitos se habrían presentado en mayor cantidad de casos en la región Metropolitana (2.522), del Biobío (506) y Valparaíso (472).
Para 2020, el incremento del phishing y la ingeniería social, se estarían ubicando al frente como las principales fuentes de riesgo de delito informático. Un ejemplo, es que respecto del día 05 de agosto de 2019, el CSIRT gubernamental chileno reportaba solo dos alertas de amenazas referidas a la identificación de campañas de phishing a través de correos electrónicos, mientras que en 2020, el mismo día se formularon 10 advertencias, todas asociadas a sitios fraudulentos para acceder a credenciales y claves de usuarios, ya sea para acceder a sus cuentas bancarias, o bien para defraudar los dineros que actualmente están entregando el Estado y devolviendo las AFPs a la población.
Como sostiene la jefa del CSIRT de la Subsecretaría del Interior del Gobierno de Chile, Katherina Canales (en entrevista para CiberseguridadLatam.com), la prevalencia del phishing y sus variantes habría que entenderla desde al menos tres patrones. Una forma, es que el atacante a través de una falsa identidad trate de persuadir a la víctima estableciendo un intercambio de comunicación por el cual finalmente solicitar dinero, otro caso es conducir a la víctima a ingresar a un sitio falso para que proporcione sus claves y está el tipo de campaña que intenta que la víctima descargue un troyano o malware con el cual el atacante toma el control del equipo sin que la víctima se dé cuenta.
En estos casos, tanto la PDI como el CSIRT, han intensificado sus campañas y advertencias a través de las redes sociales, aunque con un impacto desconocido de su efectividad. En tanto las innovaciones continúan sorprendiendo cada día. Los smishing, por ejemplo, son una modalidad reciente de los patrones de phishing que se traspasa vía WhatsApp para obtener datos de manera fraudulenta. En este contexto, muchas personas son víctimas mucho antes de que se logre advertir siquiera la amenaza.
Ahora bien, en términos de victimización por campañas de phishing, se distinguirían también aquellas que afectan a los usuarios de internet sobre los cuales se aplica o no ingeniería social. Otra cosa es cuando la técnica se aplica para insertar un troyano bancario a través de un ejecutivo previamente seleccionado, momento en el cual se podría estar en presencia de un ciberataque llamado comúnmente “de caza mayor”, con otras magnitudes de impacto económico.
Ciberataques económicos globales
En 2018 comenzó a verse una tendencia preocupante al constatarse que el 98% de los bancos en Latinoamérica sufrió algún tipo de ataque cibernético durante ese año, lo que por cierto, activó una mayor coordinación internacional a nivel de gobiernos, pero todavía con varias debilidades por parte de los bancos y las empresas para poder enfrentar estos desafíos y asegurar la continuidad de sus negocios y servicios. En 2020 esa situación es una de las principales preocupaciones, en tanto el alcance y sofisticación de las amenazas ha empeorado.
Para el cuarto trimestre de 2019, se reveló un aumento continuo y mejorado de la actividad de malware, expliot y botnet en Latinoamérica, sufriendo en el periodo más de 85 mil millones de intentos de ataques. En Chile, se habrían registrado 1,5 billones de intentos de ciberataques en un año; 4,16 millones de ataques por día, según los datos aportados por la plataforma “Fortinet Threat Intelligence Insider Latin America”.
Del mismo modo, “ESET Security Repport Latinoamérica 2020” sostiene, que en 2019, 55% de las empresas chilenas sufrió algún tipo de incidente de ciberseguridad, en tanto en la región 1 de cada 3 empresas sufrió una infección con algún código malicioso, incluyendo ransomware.
A nivel nacional, las empresas han sido lentas en adoptar medidas preventivas frente a estos riesgos. Un reciente estudio sobre madurez en ciberseguridad en Chile, advierte que el 80% de las empresas más pequeñas del país, se encuentra en una etapa temprana en adopción de soluciones de seguridad de TI, en tanto 1 de cada 3 empresas, aun cuenta con un enfoque reactivo frente a estas amenazas e incidentes.
Respecto a las amenazas, los botnet DoublePulsar y Emotet son los que con mayor prevalencia fueron distribuidos en Chile durante 2019 a través de correos electrónicos y que se caracterizaron por ser parte de campañas especialmente dirigidas a ejecutivos bancarios aplicando como estrategia la ingeniería social. De hecho, el Banco de Chile, Prosegur y Consorcio fueron alguna vez afectados por este botnet.
Detectado por primera vez en 2014, Emotet es por lejos el malware de alcance global, que más ha evolucionado en estos cinco años. Podría decirse que hasta posee habilidades de autoaprendizaje o es del tipo multi task. Puede realizar diferentes acciones maliciosas, descargando varios malware cada uno con su especificidad, ya sea para robar credenciales, encriptar archivos o para ocupar los dispositivos en función de propagar spam. Estuvo sin actividad desde marzo, cuando se presentó en una masiva campaña en Japón aprovechando de ofrecer información sobre el COVID-19, pero ahora reapareció en algunos spam afectando, entre otras, a la Organización Mundial de Energía Atómica. EE.UU., Brasil. Canadá, México, Ecuador y Chile, serían hoy en día los receptores de cerca de 250.000 malspam diarios que transportan este troyano.
Por otra parte, está DoublePulsar, cuyo mayor potencial se proyecta hacia el Internet de las Cosas (IoT). En estos meses en que se han dado los primeros pasos para incorporar al país la tecnología 5G, es probable que esta amenaza eleve su peligrosidad en Chile una vez que la IoT se expanda en un futuro cercano. Este exploit fue utilizado conjuntamente con EternalBlue en el ataque de WannaCry, el primero de características globales en 2017. En la actualidad sigue siendo detectado, representando el 1,7% de las amenazas en Latinoamérica. Claro que en el caso de Chile y Costa Rica, se trata de una amenaza que permanece estable en 6% de ataques, desde su aparición.
DoublePulsar fue desarrollado originalmente por la Agencia de Seguridad Nacional de EE.UU. (NSA) y luego filtrada por el grupo de hackers Shadow Brokers en abril de 2016, lo que añade más suspicacias, respecto de las capacidades de los Estados y sus incursiones tanto en el espionaje internacional, como en sabotajes económicos.
Hacktivismo
Durante los meses de marzo, abril y mayo, el CSIRT tuvo la iniciativa de hacer pública una bitácora mensual de los ataques perpetrados a diferentes entidades, la que ahora ha dejado de estar disponible, pero bien funciona como muestra de las actividades que vienen complementando la escena de conflictividad que atraviesa nuestro país.
Así, es posible observar que en marzo de 2020 predominaron los ataques DDoS con 15 ataques dirigidos, entre otros, a los Ministerios de Educación, Salud, Interior, Vivienda, Agricultura, etc. Le siguen en este orden 10 intentos de filtración de información reportándose la afectación de la Municipalidad de El Bosque y de la Contraloría General de la República, en tanto 5 ataques fueron exitosos en campañas de Desfacement. En abril, fueron 35 ataques; 16 ataques DDoS sin afectación y 16 campañas de Desfacement exitosas, además de reportarse una importante filtración de datos de Carabineros de Chile (que se suma a la del día 25 de octubre de 2019). Mientras que en mayo, la última bitácora publicada, registra 33 ataques de los cuales 15 fueron del tipo DDoS sin afectación y 11 de filtración de información, sin afectación. Solo fueron exitosos 5 ataques de Defacement y 1 de disponibilidad que afectó al portal de Mercado Público.
Considerando que en octubre de 2019, fueron identificados 443 ataques que implicaron la respuesta de ciberseguridad del CSIRT, se entiende que este se trata de un fenómeno fluctuante, que puede empeorar sus condiciones a un año del estallido social y en pleno proceso plebiscitario.
En tal escenario, el gobierno se ha mostrado confiado en las medidas dispuestas para integrar a las entidades públicas a la red de conectividad del Estado. Carabineros no estaba integrado a esta red en el momento en que se hicieron públicos archivos con información secreta, incluso de actividades de inteligencia, en el que solo tras el episodio de octubre, fueron comprometidos los datos de 29.952 funcionarios.
En este contexto, sin embargo, pareciera que tales medidas serían insuficientes. Cabe precisar que la organización Anonymous, tanto en su versión local e internacional, aparece jugando un papel importante, no solo por declarar abiertamente a Carabineros de Chile como su objetivo. En diciembre de 2019, Anonymous robó y filtró 2 GB de datos del Ejército de Chile, con documentos fechados entre 2015 y 2019 relacionados con operaciones de inteligencia, finanzas y relaciones internacionales.
Últimamente, desde esta organización estarían emanando amenazas exfiltración de información bancaria del Presidente Sebastián Piñera, de manera similar a lo que experimentó su par brasileño, Jair Bolsonaro el pasado 2 de junio, ocasión en que el grupo filtró datos personales del Presidente, su familia y cercanos a través de Twitter. Asimismo, Donald Trump, es acusado por la organización de estar vinculado a la red del pedrasta Jeffrey Epstein, y también está en proceso de filtrar información de este caso y de la policía de Minnesota, implicada en el asesinato de George Floyd.
De manera que una nueva #OpChile, la segunda operación más activa a nivel mundial en los últimos 12 meses, podría otra vez apuntar a las instituciones gubernamentales, infraestructura crítica, salud, banca y multinacionales establecidas en el país. En tal sentido, DICOM ha recibido amenazas desde diciembre del año pasado, resonando con fuerza el tema de BigData como un importante monstruo a derribar, antes de que se consolide.
Apreciaciones
Conforme a las actuales tendencias en ciberseguridad, es posible que el gobierno y las instancias encargadas de esta área, deban plantearse estrategias diferencias para cada uno de los escenarios en evolución.
Tal como se presentan, contrarrestar por ejemplo, la evolución de los delitos a través de Phishing u otras herramientas derivadas, dependen fundamentalmente de la prevención mediante campañas educativas, el mismo énfasis podría incluso, contrarrestar la propagación de estos delitos en los ámbitos empresarial y bancario. Será importante incluso para la ciudadanía insistir en que se hagan estas inversiones.
No obstante, las campañas hacktivistas, ya se han posicionado como parte de las estrategias de la sociedad civil para presionar al sistema, donde circula la idea de que contrarrestan de alguna forma la corrupción institucional. La tensión en este ámbito, podría estar radicada en la relación del gobierno con las herramientas de BigData para monitorizar la actividad social, aspecto que posiblemente resurja el próximo octubre, siendo un tema también presente en las amenazas de Anonymous.
