El phishing es una amenaza creciente y latente en todo el mundo, tanto para personas como para empresas y corporaciones. Sólo el año pasado, un 22% de las brechas de datos reportadas involucraron alguna clase de ataque de phishing según los datos de Verizon. 

El nivel de penetración tecnológica mundial ha permitido que estos ataques de ingeniería social, altamente inteligentes e informados, se vuelvan cada día más comunes.

Sin embargo, los hackers apuntan hacia un mercado en crecimiento: los ataques de phishing en Latinoamérica. ¿Por qué nosotros? Es hora de mirar los datos y entender qué tiene de especial la región para una nueva camada de ciberdelincuentes.

El efecto COVID, ciberataques e ingeniería social

Sin lugar a dudas, la pandemia de COVID-19 que afecta al mundo es un punto de quiebre importante. La llegada del Coronavirus afectó de manera transversal a nuestra sociedad, y su influencia como enfermedad ha cambiado la manera en que los latinoamericanos vivimos y nos relacionamos.

Esta influencia ha generado cambios, por ejemplo, en las relaciones laborales. Cientos de endpoints, antes protegidos por redes de oficina custodiadas por cortafuegos, han llegado a las inseguras conexiones hogareñas. La proliferación de ataques de malware y ransomware en organizaciones de diversa índole durante este año tiene una importante correlación con la celeridad con que los trabajadores abrazaron el trabajo remoto, y la falta de herramientas de seguridad para los activos empresariales.

Por otro lado, un efecto secundario de la pandemia es el uso del Coronavirus como vector en ataques de ingeniería social. Los cibercriminales han aprovechado la falta de información sobre la enfermedad y la han usado para diversos ataques de phishing en Latinoamérica. En el Cono Sur, el equipo del CSIRT del Gobierno de Chile puso en evidencia una práctica bastante lógica: en medio de la necesidad, los delincuentes envían correos electrónicos suplantando a empresas que entregan ayuda económica para la población.

En nuestro podcast .local, la Directora Operativa del CSIRT, Katherina Canales, comentó que se reportaron casos relativos a dos hitos económico/sociales en Chile. El primero fue el retiro de emergencia de los fondos de pensiones, y el segundo el Bono Covid-19; ambos con sitios web fraudulentos buscando robar información personal. 

Estos sitios falsos incluso están inscritos de manera legal: un reciente reporte del CSIRT explica que los sitios con dominio .cl con términos relativos al Corononavirus se incrementaron a más del doble en menos de un mes. Si bien la correlación no supone causa, el mismo CSIRT aclaró que varias de esas URLs fueron usadas por ciberdelincuentes para ataques de ingeniería social y suplantación de identidad.

Por otro lado, una práctica muy extendida en todo el mundo es el uso de la emergencia para implantar malware y ransomware muy sencillo de adquirir. Hace algunos meses, entidades como Microsoft advirtieron sobre ataques de malware adjuntados a documentos enviados por correo electrónico, los que simulaban ser de entidades conocidas como la CDC (Centro para la Prevención y Control de Enfermedades, por sus siglas en inglés) en Estados Unidos, o la misma Organización Mundial de la Salud.

Recent campaigns that deliver Lokibot, one of the first malware families to use COVID-19 lures, are showing a slight shift in tone reflecting current conversations, with subject lines like "BUSINESS CONTINUITY PLAN ANNOUNCEMENT STARTING MAY 2020" pic.twitter.com/vahi8VAsry

— Microsoft Security Intelligence (@MsftSecIntel) May 13, 2020

Este tipo de vectores son el método favorito de familias de malware como Lokibot o Emotet, las que han aumentado su presencia en Latinoamérica gracias a su disponibilidad en mercados como la dark web. En el caso de Emotet, grandes empresas como Cencosud en Chile y Argentina han sido víctimas de este poderoso ransomware.

Phishing móvil: En aumento

No podemos negar que la economía móvil llegó para quedarse. Con una tasa de penetración del 67% de suscripciones móviles en la región, el hecho de tener un teléfono móvil es una necesidad casi fundamental para la población en este lado del mundo.

Así como aumentan las conexiones en países como México, Chile y Brasil, aumenta el peligro. Según datos de la empresa de seguridad digital Lookout, las plataformas móviles engloban un porcentaje importante de los ataques de phishing en la región. Sus datos aseguran que Argentina y Panamá son los más susceptibles a ataques de esta naturaleza: 41% y 39% de sus usuarios se encontraron con algún tipo de phishing en sus dispositivos móviles. Le siguen Chile, Brasil y Costa Rica, con un 36%, 34% y 32%.

A este riesgo se suma un nuevo tipo de ataque en crecimiento en la región: el malware telefónico.

Los troyanos de acceso remoto (RATs) se han vendido al mejor postor, a disposición de cualquier persona con conocimientos mínimos de programación capaz de pagar los costos de acceso. Troyanos de Android como Cerberus y Alien utilizan el Servicio de Accesibilidad para interponer pantallas de phishing, las que roban tu información personal, contraseñas, datos bancarios, tarjetas de crédito y otros; dicha información se envía a un servidor privado donde el atacante puede aprovecharlos.

Sin embargo, y si bien los ataques en móviles van en aumento, la seguridad móvil relativa a las amenazas de ingeniería social no es proporcional. La empresa de seguridad ESET en su Security Report pone el dato sobre la mesa: sólo un 12% de las organizaciones encuestadas en el reporte aseguran haber implementado una solución de seguridad móvil. Con el aumento de datos del negocio disponibles en nuestros smartphones, este dato es profundamente preocupante.

Vishing, amenaza en pandemia

Otro de los peligros documentados este año es el vishing, o “voice phishing”.

Este tipo de ataques funcionan de la misma manera que un phishing tradicional; esto es, buscando extraer información personal o confidencial haciéndose pasar por una entidad “oficial” o conocida. El fraude se basa en llamadas a través de servicios Vo-IP, con números que a simple vista no parecen sospechosos.

Según el Laboratorio de Investigación de ESET, el vishing es uno de los ataques que más ha aumentado este año debido a la pandemia. La comunicación a través de métodos distanciados socialmente, sumado al ya complicado panorama de estafas telefónicas en países como Chile y México, han acentuado una problemática que ahora no solo busca la ganancia económica, sino el robo de información personal.

El blog de ESET Latinoamérica lo explica: “En Estados Unidos organismos alertaron en agosto sobre el incremento de este tipo de ataques aprovechando que muchas personas están teletrabajando. En América Latina también se están aprovechando de esta situación donde desde hace varios meses se registran casos de estafas telefónicas en las que se hacen pasar por organismos como la Administración Nacional de la Seguridad Social (ANSES) o instituciones bancarias para robar datos personales y dinero”.

Conclusiones

Este año ha puesto a prueba a los equipos informáticos en toda la región en una multitud de frentes. En un mercado que no suele estar a la vanguardia, organizaciones públicas y privadas han sido blanco de sofisticados ciberataques en numerosos frentes. La defensa, si bien comparte vectores y víctimas, es más variada y compleja que nunca.

Ante los numerosos ataques que no dimensionan tamaño ni seguridad en nuestras organizaciones, se hace necesario estar preparados. Conforme nos acercamos al inicio del 2021, es imperativo evaluar el gasto destinado a ciberseguridad en nuestras empresas. De este modo, necesitamos poner en la balanza las potenciales pérdidas en caso de un ataque, la información confidencial o propiedad intelectual que se podría filtrar, o las reparaciones en caso de una fuga de datos de usuarios respecto a la inversión contra ciberataques.

Tanto el CISO como los encargados del área informática deben también complementar esta inversión con un claro flujo de información a todas las áreas del negocio. Hemos visto que los ataques de ingeniería social no distinguen blanco, por lo que toda nuestra organización debería poder entenderlos, detectarlos y reportarlos. Esto es especialmente clave en organizaciones que se hayan comprometido con el trabajo remoto, ya que la línea entre el uso de oficina y personal en los dispositivos tecnológicos se hace más borrosa en el contexto de remoticidad y pandemia.

Por su parte, los usuarios ya saben que hacer: informarse sobre las amenazas y posibilidades del phishing, evitar caer en estafas de ningún tipo y jamás entregar información personal sin una confirmación fidedigna. No lo olviden: los ataques de phishing pueden ocurrirnos a todos, y en cualquier momento.

En el quinto episodio de nuestro podcast .local, trajimos la temática a casa. Katherina Canales, directora operativa del Equipo de Respuesta de Incidentes de Seguridad Informática (CSIRT) del Gobierno de Chile, conversó con nosotros sobre los riesgos, desafíos y oportunidades de la ciberseguridad en Chile.

En aquella oportunidad pudimos poner sobre la mesa una multitud de temas, tales como las amenazas actuales en la materia, las facultades del propio Equipo de Respuesta ante Incidentes, entre otros. Asimismo, pudimos corroborar o desmentir ciertas tesis relativas a la ciberseguridad en Chile.

En particular, nuestro equipo albergaba dudas sobre algunos temas. Por ejemplo, ¿Cuál es la visión sobre las principales amenazas desde la perspectiva de un organismo público? ¿Que aporte al panorama general nos puede entregar? ¿Cómo se divide la problemática entre empresas y personas?

A lo largo de nuestra conversación, pudimos establecer los puntos en común entre el mundo público y privado, y de paso aclarar ciertos mitos que rondan en el imaginario popular sobre cómo se estructura el peligro de los cibercriminales, y cómo se enfrenta desde nuestro país un potencial ataque.

Mito: “Los atacantes locales no existen o son la minoría”

Una de nuestras principales interrogantes fue el origen de los ataques cibernéticos a entidades nacionales. Los datos recogidos por diversas investigaciones apuntan a un crecimiento sostenido en amenazas como phishing, malware móvil y ransomware. Sin embargo, faltaba una visión más local al respecto.

En lo que concierne a vectores y tipología de ataques, el CSIRT es claro: cerca del 80% de los ataques reportados a la entidad son basados en ingeniería social, como el phishing. Sin embargo, los mensajes en dichos vectores han cambiado. Katherina menciona una tendencia en ataques de phishing relacionados a productos de entretenimiento (tales como Netflix, Amazon Prime o Disney+) y a beneficios sociales recientes, como los bonos entregados por el Gobierno o el retiro del 10% de las AFP. Dicha ingeniería social es complicada de entender si uno no es ciudadano, por lo que este dato es un primer indicador para derribar el mito.

Por otro lado, el hecho que dichos ataques tomen varios días en desplegarse es un indicador clave de lo contrario. Según la directora, el phishing no tendría su origen en Chile. No obstante, las herramientas usadas en los ataques reportados al CSIRT indican otra tendencia. Las amenazas de malware o ransomware como servicio abrieron la puerta a atacantes locales con menor conocimiento técnico. “En la dark web tenemos una gran oferta de mercenarios cibernéticos que ofrecen sus servicios. Antes el costo era alto: dinero, ingenio, y la capacidad técnica para hacerlo. Hoy sólo te cuesta dinero generar un ataque de denegación de servicio o comprar un kit de phishing listo para ser lanzado”, indicó la directora Canales.

Otro factor a considerar es la motivación detrás de los ataques. Según el CSIRT, hasta el año pasado el perfil común de hacker malicioso en Chile era el de “hacktivista”: un agente malicioso con el objetivo de exfiltrar datos de entidades públicas o simplemente buscando realizar “defacing” en diversos portales web.

Katherina nos indicó que muchos hackers nacionales están mirando con buenos ojos el negocio producido en Europa Oriental, y al adquirir diversas herramientas para atacar, han ido aprendiendo y probando ataques en empresas y entidades latinoamericanas. Su motivación, más que la de “hacktivista”, se condice con investigaciones como el DBIR de Verizon, que reconocen una fuerte motivación económica en los hackers de todo el mundo.

Mito: “Chile está atrasado en materia de ciberseguridad”

Ya que la escena del hacking nacional ha ido cambiando de manera paulatina, es claro que la preparación ante estos ataques debería cambiar también. El problema de fondo es que, ante tales ataques, las entidades públicas y privadas parecen no estar preparadas o no tener el conocimiento suficiente. Ese prejuicio se extiende, en muchos casos, a la cobertura de los medios: la densidad de los temas de ciberseguridad y la falta de educación digital hacen que divulgar estos temas pueda ser similar a ir cuesta arriba.

A pesar de aquello, Katherina mira el problema desde otra perspectiva: la de la preparación. La directora del CSIRT aclara que nuestra preparación ante hechos de seguridad informática puede ir en tres frentes.

El primero es el eje tecnológico. El mercado de herramientas de protección ante amenazas de seguridad informática es bastante extenso en categorías y competencia, por lo que es posible encontrar diversas aplicaciones y servicios destinados a este propósito. Esa responsabilidad recae en administradores de sistemas, CISO y gerentes de TI, los que entienden este peligro desde la vereda profesional y por lo general tienen una visión bastante completa.

El segundo frente es la debilidad: el eje humano. Si bien Chile cuenta con una cantidad no despreciable de profesionales de la informática, Katherina resalta que no existen carreras profesionales específicas. “Hay que buscarlos en carreras que sean afines. Uno los busca en ingenierías en informática, ejecución en informática, que hayan hecho un diplomado”, indica la jefa del CSIRT. “En algún momento vamos a tener que tener nuestros profesionales armados, y no este ensamblaje”. Katherina también pone sobre la mesa la falta de mujeres en ciberseguridad, un problema mas bien transversal al ámbito tecnológico.

El tercer frente es quizá el más controversial, y refiere a la cultura de ciberseguridad. Como se mencionó, parece no existir cultura general respecto a los problemas de ciberseguridad. Desde el CSIRT precisan que, contrario a lo que uno podría pensar, estamos adelantados en la materia. Desde la propia entidad se han generado mejoras en los procesos públicos que involucran ciberseguridad –tales como circulares para otros ministerios– y diversas campañas de educación, ciudadanía digital y peligros asociados al uso de internet o tecnología. La existencia de entidades sin fines de lucro que apoyan este frente –como la ONG Derechos Digitales– son un poderoso antecedente de la ventaja que tiene Chile en materia de educación frente a otros mercados.

Como colofón, en el CSIRT son rápidos en precisar que, dado que son un organismo multidisciplinario dependiente del Ministerio del Interior, pueden impulsar no sólo cambios técnicos, sino que en materia de Estado, como legislación vigente en ciberseguridad.

Mito: “En Chile no existe ayuda pública al sector privado en materia de ciberseguridad”

Cabe señalar que los cambios en el punto anterior no llegaron de la noche a la mañana. La directora Canales reconoce que la formación del CSIRT del Gobierno de Chile –y también la Ley de Delitos Informáticos– nacieron de manera reactiva en respuesta al ataque informático al Banco de Chile, ocurrido el año 2018. Hasta antes de eso, el camino no había sido recorrido: “En Chile no se hablaba mucho de ciberseguridad (…) [sólo] teníamos una política nacional de ciberseguridad que se había construído, un poco como una obligación internacional”.

Esta aparente reactividad ante ataques a entidades públicas y privadas puso sobre la mesa la necesidad de equipos de respuesta ante incidentes como el propio CSIRT, ya que las empresas no suelen entender las amenazas como un potencial disruptor a la continuidad del negocio, un tema que sí se ha puesto en la palestra en los últimos años.

Ante ese desafío, el CSIRT se reconoce como una ayuda fundamental a la hora de colaborar con el sector privado en materia de ciberseguridad. Según Katherina, la colaboración es clave. “Tenemos cincuenta y seis convenios de colaboración con empresas, organizaciones y universidades. Hay mucha institución que nos reporta voluntariamente”, señala la directora operativa.

Respecto a la aparente reactividad del CSIRT, Katherina es clara en señalar su naturaleza como organización. “Los CSIRT son Equipos de Respuesta ante Incidentes, lo que es por definición reactivo”, aclara. El propio CSIRT del Gobierno de Chile tiene un brazo investigativo potente: todas las semanas el equipo prepara un trabajo de investigación que se envía a una base de datos de CISO y Gerentes de Tecnología, con una amenaza nueva por reporte.

Toda empresa que requiera ayuda de la rama reactiva del CSIRT del Gobierno de Chile –como las herramientas de análisis, red team/blue team, entre otras– tiene las puertas abiertas, señala Canales.