Durante 2023, los ciberataques crecieron de manera exponencial. La telemetría de diversas empresas que registran incidentes, desde antivirus y firewalls hasta equipos de investigación, es congruente con una crecida en incidentes: gobiernos, empresas e individuos de alto perfil han sido protagonistas de algún tipo de hackeo, con el ransomware como amenaza global a la cabeza. Por esto, el contraataque que los hackers pueden hacer desde el lado de la defensa es clave para mejorar una situación, para muchos, crítica.
En particular, los organismos públicos y gubernamentales son un blanco común en diversas partes del mundo: por poner un caso, según datos de Emsisoft, por lo menos 95 organismos públicos fueron atacados en Estados Unidos durante el año pasado. En Europa, casos como el hackeo a la Biblioteca Británica en Londres llenaron titulares de medios locales y saltaron el cerco del nicho de los sitios de ciberseguridad.
Y en Argentina, 2023 fue el año en el que instituciones privadas como Grupo Albanesi, La Segunda y Farmalink (sistema de descuentos en farmacias) sufrieron ciberataques, pero también entidades públicas como el PAMI, la Comisión Nacional de Valores y hasta la Universidad de Buenos Aires fueron víctimas de ransomware, un tipo de malware que secuestra datos para pedir un rescate a cambio.
Sheila Berta, hacker argentina, es Directora de Investigación, Innovación y Desarrollo en Ciberseguridad en Dreamlab Technologies, una empresa con base en Suiza. Luego de dar una charla en 2019 en una conferencia llamada SwissCyberSecurityDays, en la que contó cómo automóviles podían ser hackeados remotamente, conoció a los fundadores de esta compañía y a partir de allí comenzaron a trabajar conjuntamente en una problemática que derivó en el desarrollo de CyObs, un radar online para monitorear amenazas de hackers y tener más claro lo que se conoce como panorama de amenazas (“threat landscape”).
La investigadora es habitué de conferencias. A fines del año pasado expuso una práctica de seguridad peligrosa de la AFIP en Ekoparty, la conferencia de hackers más grande de América Latina, que se hace todos los años en Buenos Aires.
En este caso, Berta contó, en diálogo con Clarín, detalles sobre CyObs.
Sheila Berta, hacker e investigadora en seguridad ofensiva. Foto Prensa Ekoparty─¿Qué es CyObs?
─CyObs (Cyber Observatory) es un ciber-radar de alta precisión y alta velocidad, desarrollado en Suiza, para detectar riesgos de ciberseguridad y vulnerabilidades a gran escala. Por ejemplo, puede monitorear la superficie digital de un país entero y detectar los dispositivos vulnerables a una nueva amenaza en pocos minutos. Trabajamos para convertirlo en un verdadero observatorio de internet, proporcionando una amplia visibilidad del ciberespacio en general.
─¿Cómo fue el desarrollo y qué lo motivó?
─Personalmente, fue un enorme desafío en mi carrera profesional planificarlo y llevarlo a cabo con éxito junto a mi equipo de desarrolladores e ingenieros de datos. En 2019 viajé a Suiza y se me planteó una problemática: los países no tienen visibilidad de lo que hay en su ciberespacio, y mucho menos de lo que está en riesgo. En el mundo físico, las fronteras de los países son claras; en el virtual, ni siquiera eso es evidente. Era necesario diseñar una solución que brindara una amplia visibilidad del ciberespacio de cada país y permitiera identificar rápidamente los riesgos para trabajar en su solución. Luego de aproximadamente tres años de trabajo, la ITU (Agencia de Telecomunicaciones de la ONU) con sede en Ginebra, Suiza, y otras entidades relevantes reconocieron nuestra solución como una herramienta necesaria y de gran valor.
─¿Cómo trabajan, quiénes son sus clientes?
─Trabajamos con las autoridades responsables de la ciberseguridad en los diversos países, así como con los CERTs oficiales (Equipos de Respuesta a Emergencias Informáticas). Actualmente también estamos ayudando a los LDC (Países Menos Desarrollados) en África a través de la iniciativa de la ONU llamada “Cyber4Good”. En cuanto al sector privado, aunque CyObs está diseñado para estrategias de ciberseguridad nacional, también resulta muy útil para monitorear grandes infraestructuras en general, con decenas de miles o millones de dispositivos conectados a internet o en extensas redes internas. Son situaciones en las que las herramientas de seguridad típicamente utilizadas dejan de ser tan prácticas debido al enorme volumen de activos e información.
─¿Podrías contarme algún caso concreto de trabajo con algún país?
─Nos resultó muy interesante la proactividad de uno de los países de África al que estamos ayudando. A partir de la información proporcionada por el radar, se comprometieron a contactar una por una a cada organización que estuviera expuesta a algún riesgo crítico, con el objetivo de abordar la situación y solucionar el problema. Otro caso interesante ocurrió hace pocos meses en uno de los países de Europa monitoreados por CyObs: una organización de gran relevancia a nivel mundial expuso accidentalmente más de 300.000 dispositivos en internet. CyObs detectó la anomalía y la organización fue contactada para solucionar el problema. No estaban al tanto de lo ocurrido, por lo cual agradecieron el reporte y solucionaron la situación con gran rapidez.
La superficie de ataque
Más dispositivos conectados, más riesgos. Foto AP─¿De dónde saca la información el radar? ¿A partir de qué base de datos analiza la información?
─La infraestructura de CyObs es tan compleja como la problemática que aborda. Trabajamos en algoritmos para optimizar los análisis y lograr escalabilidad, precisión y rapidez. De manera similar a cómo Google indexa cada sitio web en Internet, nosotros indexamos cada dispositivo conectado a la red; pero eso es tan sólo el primer paso. Para tener una visibilidad completa y precisa del ciberespacio, es necesario interrelacionar muchísima información. Por eso, contamos con un gran datalake que integra diversas fuentes de información de distintos tipos, las cuales sabemos interrelacionar de manera correcta.
─¿Esa información está circulando o de dónde se extrae?
─Claro, cabe aclarar que el radar nunca sobrepasa los límites legales en sus análisis. Dentro del marco de la ley, logramos detectar muchísimos riesgos y vulnerabilidades de forma no intrusiva. Aquellas organizaciones que lo utilizan sobre su propia infraestructura pueden realizar análisis más profundos manteniendo la misma precisión y velocidad.
─¿Qué hace el radar cuando detecta una amenaza?
─En principio, hacerla visible y proveer la información necesaria para abordar su solución. Luego hay otras funcionalidades disponibles si se desean utilizar, tales como exportar los datos recopilados, generar reportes y estadísticas, e incluso enviar alertas personalizadas a los operadores del radar. El sistema de alertas es muy útil, ya que permite ser notificado ante anomalías, vulnerabilidades críticas o cualquier cambio detectado, incluso en las propiedades más específicas de la información recopilada. Todo es personalizable, dependiendo de las necesidades del operador.
El panorama de amenazas y Argentina en el mapa
Los hackeos y accesos no autorizados crecieron estos últimos años. Foto: Shutterstock─¿Cuáles son las amenazas más grandes para los países en la actualidad?
─La amenaza más grande es “quedarse atrás” en cuestión de ciberseguridad, es decir, no tomarla en serio. Existen decenas de miles de ataques informáticos y diversas amenazas, incluso grupos de actores maliciosos patrocinados por Estados. Por ende, me atrevería a decir que desde hace algunos años, se vive una especie de ciberguerra entre varias naciones, que, como toda guerra, afecta principalmente a la población civil. Podríamos hablar de infraestructuras críticas expuestas, de los ataques de ransomware, de los datos robados y expuestos en Internet… Pero no implementar una estrategia de ciberseguridad nacional, no ser conscientes y tomar medidas para protegernos es, en mi opinión, la peor amenaza para un país.
─Argentina sufrió una gran cantidad de ataques durante estos últimos 2-3 años. ¿Cómo podría aplicarse un sistema de este tipo para mitigar ataques contra dependencias del Estado?
─CyObs está siendo utilizado como parte de la estrategia de ciberseguridad nacional de varios países, principalmente en Europa y África. Argentina también podría aplicarlo de la misma manera, es decir, incorporándolo como una herramienta fundamental para reforzar la ciberseguridad nacional y utilizarlo para monitorear el ciberespacio del país, alertando a quienes estén en peligro. Algunos países con los que trabajamos instan a las organizaciones en riesgo a abordar los problemas lo más rápido posible, especialmente si se trata de infraestructuras críticas como hospitales, plantas nucleares, estaciones de combustible, sistemas de transporte, entre otros. Tener visibilidad de nuestro ciberespacio y la capacidad de detectar riesgos antes de que actores con malas intenciones lo hagan, significa estar un paso adelante y prevenir numerosos ataques que, de una manera u otra, terminan impactando a toda la sociedad.
─¿Cómo ves la evolución del panorama de amenazas durante los últimos años y qué creés que se puede esperar a futuro?
─La sociedad migró hacia lo digital mucho más rápido de lo que se preparó para afrontar los riesgos que ello conlleva. La ciberseguridad siempre ha sido relegada, hasta que sucede alguna catástrofe. Cada vez que se digitalizan los datos o se migra a una infraestructura digital, se priorizan otras cuestiones, generalmente el tener el sistema disponible lo más rápido posible, y como consecuencia, se sacrifica la seguridad. Este es un patrón que se repite y se mantiene desde el principio, es por eso que vemos cada vez más organizaciones afectadas por ataques informáticos. Aun así, considero que en los últimos años ha aumentado la conciencia de la sociedad en general sobre la importancia de la ciberseguridad. En el futuro, continuarán emergiendo más y nuevas tecnologías, y con ellas, persistirán las vulnerabilidades y ataques informáticos. Debemos priorizar la ciberseguridad y prepararnos lo mejor posible para proteger y defender las infraestructuras digitales.