En el quinto episodio de nuestro podcast .local, trajimos la temática a casa. Katherina Canales, directora operativa del Equipo de Respuesta de Incidentes de Seguridad Informática (CSIRT) del Gobierno de Chile, conversó con nosotros sobre los riesgos, desafíos y oportunidades de la ciberseguridad en Chile.
En aquella oportunidad pudimos poner sobre la mesa una multitud de temas, tales como las amenazas actuales en la materia, las facultades del propio Equipo de Respuesta ante Incidentes, entre otros. Asimismo, pudimos corroborar o desmentir ciertas tesis relativas a la ciberseguridad en Chile.
En particular, nuestro equipo albergaba dudas sobre algunos temas. Por ejemplo, ¿Cuál es la visión sobre las principales amenazas desde la perspectiva de un organismo público? ¿Que aporte al panorama general nos puede entregar? ¿Cómo se divide la problemática entre empresas y personas?
A lo largo de nuestra conversación, pudimos establecer los puntos en común entre el mundo público y privado, y de paso aclarar ciertos mitos que rondan en el imaginario popular sobre cómo se estructura el peligro de los cibercriminales, y cómo se enfrenta desde nuestro país un potencial ataque.
Mito: "Los atacantes locales no existen o son la minoría"
Una de nuestras principales interrogantes fue el origen de los ataques cibernéticos a entidades nacionales. Los datos recogidos por diversas investigaciones apuntan a un crecimiento sostenido en amenazas como phishing, malware móvil y ransomware. Sin embargo, faltaba una visión más local al respecto.
En lo que concierne a vectores y tipología de ataques, el CSIRT es claro: cerca del 80% de los ataques reportados a la entidad son basados en ingeniería social, como el phishing. Sin embargo, los mensajes en dichos vectores han cambiado. Katherina menciona una tendencia en ataques de phishing relacionados a productos de entretenimiento (tales como Netflix, Amazon Prime o Disney+) y a beneficios sociales recientes, como los bonos entregados por el Gobierno o el retiro del 10% de las AFP. Dicha ingeniería social es complicada de entender si uno no es ciudadano, por lo que este dato es un primer indicador para derribar el mito.
Por otro lado, el hecho que dichos ataques tomen varios días en desplegarse es un indicador clave de lo contrario. Según la directora, el phishing no tendría su origen en Chile. No obstante, las herramientas usadas en los ataques reportados al CSIRT indican otra tendencia. Las amenazas de malware o ransomware como servicio abrieron la puerta a atacantes locales con menor conocimiento técnico. "En la dark web tenemos una gran oferta de mercenarios cibernéticos que ofrecen sus servicios. Antes el costo era alto: dinero, ingenio, y la capacidad técnica para hacerlo. Hoy sólo te cuesta dinero generar un ataque de denegación de servicio o comprar un kit de phishing listo para ser lanzado", indicó la directora Canales.
Otro factor a considerar es la motivación detrás de los ataques. Según el CSIRT, hasta el año pasado el perfil común de hacker malicioso en Chile era el de "hacktivista": un agente malicioso con el objetivo de exfiltrar datos de entidades públicas o simplemente buscando realizar "defacing" en diversos portales web.
Katherina nos indicó que muchos hackers nacionales están mirando con buenos ojos el negocio producido en Europa Oriental, y al adquirir diversas herramientas para atacar, han ido aprendiendo y probando ataques en empresas y entidades latinoamericanas. Su motivación, más que la de "hacktivista", se condice con investigaciones como el DBIR de Verizon, que reconocen una fuerte motivación económica en los hackers de todo el mundo.
Mito: "Chile está atrasado en materia de ciberseguridad"
Ya que la escena del hacking nacional ha ido cambiando de manera paulatina, es claro que la preparación ante estos ataques debería cambiar también. El problema de fondo es que, ante tales ataques, las entidades públicas y privadas parecen no estar preparadas o no tener el conocimiento suficiente. Ese prejuicio se extiende, en muchos casos, a la cobertura de los medios: la densidad de los temas de ciberseguridad y la falta de educación digital hacen que divulgar estos temas pueda ser similar a ir cuesta arriba.
A pesar de aquello, Katherina mira el problema desde otra perspectiva: la de la preparación. La directora del CSIRT aclara que nuestra preparación ante hechos de seguridad informática puede ir en tres frentes.
El primero es el eje tecnológico. El mercado de herramientas de protección ante amenazas de seguridad informática es bastante extenso en categorías y competencia, por lo que es posible encontrar diversas aplicaciones y servicios destinados a este propósito. Esa responsabilidad recae en administradores de sistemas, CISO y gerentes de TI, los que entienden este peligro desde la vereda profesional y por lo general tienen una visión bastante completa.
El segundo frente es la debilidad: el eje humano. Si bien Chile cuenta con una cantidad no despreciable de profesionales de la informática, Katherina resalta que no existen carreras profesionales específicas. "Hay que buscarlos en carreras que sean afines. Uno los busca en ingenierías en informática, ejecución en informática, que hayan hecho un diplomado", indica la jefa del CSIRT. "En algún momento vamos a tener que tener nuestros profesionales armados, y no este ensamblaje". Katherina también pone sobre la mesa la falta de mujeres en ciberseguridad, un problema mas bien transversal al ámbito tecnológico.
El tercer frente es quizá el más controversial, y refiere a la cultura de ciberseguridad. Como se mencionó, parece no existir cultura general respecto a los problemas de ciberseguridad. Desde el CSIRT precisan que, contrario a lo que uno podría pensar, estamos adelantados en la materia. Desde la propia entidad se han generado mejoras en los procesos públicos que involucran ciberseguridad –tales como circulares para otros ministerios– y diversas campañas de educación, ciudadanía digital y peligros asociados al uso de internet o tecnología. La existencia de entidades sin fines de lucro que apoyan este frente –como la ONG Derechos Digitales– son un poderoso antecedente de la ventaja que tiene Chile en materia de educación frente a otros mercados.
Como colofón, en el CSIRT son rápidos en precisar que, dado que son un organismo multidisciplinario dependiente del Ministerio del Interior, pueden impulsar no sólo cambios técnicos, sino que en materia de Estado, como legislación vigente en ciberseguridad.
Mito: "En Chile no existe ayuda pública al sector privado en materia de ciberseguridad"
Cabe señalar que los cambios en el punto anterior no llegaron de la noche a la mañana. La directora Canales reconoce que la formación del CSIRT del Gobierno de Chile –y también la Ley de Delitos Informáticos– nacieron de manera reactiva en respuesta al ataque informático al Banco de Chile, ocurrido el año 2018. Hasta antes de eso, el camino no había sido recorrido: "En Chile no se hablaba mucho de ciberseguridad (...) [sólo] teníamos una política nacional de ciberseguridad que se había construído, un poco como una obligación internacional".
Esta aparente reactividad ante ataques a entidades públicas y privadas puso sobre la mesa la necesidad de equipos de respuesta ante incidentes como el propio CSIRT, ya que las empresas no suelen entender las amenazas como un potencial disruptor a la continuidad del negocio, un tema que sí se ha puesto en la palestra en los últimos años.
Ante ese desafío, el CSIRT se reconoce como una ayuda fundamental a la hora de colaborar con el sector privado en materia de ciberseguridad. Según Katherina, la colaboración es clave. "Tenemos cincuenta y seis convenios de colaboración con empresas, organizaciones y universidades. Hay mucha institución que nos reporta voluntariamente", señala la directora operativa.
Respecto a la aparente reactividad del CSIRT, Katherina es clara en señalar su naturaleza como organización. "Los CSIRT son Equipos de Respuesta ante Incidentes, lo que es por definición reactivo", aclara. El propio CSIRT del Gobierno de Chile tiene un brazo investigativo potente: todas las semanas el equipo prepara un trabajo de investigación que se envía a una base de datos de CISO y Gerentes de Tecnología, con una amenaza nueva por reporte.
Toda empresa que requiera ayuda de la rama reactiva del CSIRT del Gobierno de Chile –como las herramientas de análisis, red team/blue team, entre otras– tiene las puertas abiertas, señala Canales.