Filtración de datos, PCM y ASBANC: qué está pasando con la ciberseguridad estatal

Era cuestión de tiempo. La Asociación de Bancos del Perú (Asbanc) presentó una denuncia que evidenciaba una masiva filtración de datos personales que había sido detectada el 29 de abril, y que permitió exponer información sensible de ciudadanos a un nivel de extrema privacidad: nombre, dirección, datos de familiares, propiedades, condición en centrales de riesgo y hasta huellas dactilares. La Presidencia del Consejo de Ministros (PCM) ha señalado que tuvo conocimiento de esta vulnerabilidad el pasado 13 de mayo, a insistencia de ASBANC y sus reportes previos.

“Conforme se informó en dichas reuniones, nuestro gremio tomó conocimiento de la comercialización de información altamente sensible que compromete los datos personales de un número considerable de personas y que, al estar disponible en redes sociales, pone en riesgo el desarrollo de transacciones seguras”, remarca ASBANC en comunicación abierta con el primer ministro Aníbal Torres.

En respuesta a este reclamo, la PCM ha designado la instalación de una mesa de trabajo multisectorial para identificar las condiciones que propiciaron esta fuga de información.

“Ante cualquier posible riesgo digital la Secretaría de Gobierno y Transformación Digital publica alertas de seguridad que se verifican previamente a fin evitar alarmas innecesarias que afecten la confianza digital”, señala el comunicado de la Secretaría General de la PCM. “La PCM ha conformado una mesa técnica multisectorial y público privada (con RM N° 125-2022-PCM), junto a ASBANC, COMEX y empresas de telecomunicaciones con el fin de consensuar acciones y medidas que fortalezcan la confianza digital en el país”.

Ciberataques: cómo entenderlos sin muchos tecnicismos

En este caso, hablamos de un Estado que replica diferentes servicios en entornos digitales locales o en nube. Hablamos de una compleja red de sistemas unificados y no unificados que trabajan datos de ciudadanos.

Estos sistemas requieren un mantenimiento frecuente en todo tipo de términos. Si se malogra una unidad de almacenamiento, si se desconecta la fuente de un servidor, si la red se cae, si no hay respuesta de otro servidor contactado o si algo fuera de lo cotidiano sucede, puede afectar el funcionamiento de esta infraestructura.

Además de esto, existen los puntos de acceso: los usuarios. Tú, con tu usuario y contraseña, accedes a un entorno digital para interactuar con herramientas y acceder a datos que el sistema te da para hacer tu trabajo. Significa que, además de las variables técnicas mencionadas arriba, cada perfil con usuario y contraseña es, potencialmente, una brecha de seguridad si deja el acceso en un pedazo de papel, si le roban la laptop en una cafetería o si le introducen código malicioso al terminal que usa para bajar películas piratas y que, además, usa para entrar al repositorio de trabajo. Así.

Ahora, multipliquemos esta variable a una estructura estatal de múltiples proveedores, cada uno con un estándar destino y con un contrato vigente o que, al término, no proporcionó los datos para un mantenimiento de datos o una migración sin riesgo. Los proveedores del estado también pueden ser digitales, y migrar la data no debería generar brechas de seguridad.

Entonces, esto nos deja con una casa con demasiadas puertas. Cada puerta, en teoría, debería estar resguardada. Y si ponemos una puerta nueva, debería mantener ese mismo resguardo. Pero ¿qué pasa si usamos la misma llave para esas puertas? Un ladrón, con una sola llave tiene el control. Entonces, la estrategia pasa por poner cerraduras distintas en cada puerta. Es ahí en donde la mente criminal trabaja.

Si queremos abrir esa puerta, debemos dejar de insistir con la chapa y comenzar a probar otras variables: el material de la puerta, la firmeza de las bisagras, qué tan lejos está esa puerta de la vigilancia, quién puede abrir o cerrar esa puerta, qué tan seguido ajustan los seguros, qué tan fácil será derribarla de una patada, qué pasa si le prendo fuego o la dinamito. Variables.

Es ahí en donde los criminales trabajan, en las variables. Ese análisis de variables implica seguir a las personas, intentar acceder a sus pertenencias, analizar las rutinas, estudiar movimientos. Todo. Realmente se analiza todo. Y, en una infraestructura digital poco homogénea, los errores abundan.

¿Sabemos cómo sucedió la filtración?

NIUSGEEK conversó con algunos especialistas en temas de ciberseguridad, que han aportado un enfoque a este asunto. “Cualquier infiltración que sucede hoy, está pasando porque estamos en una batalla desigual”, menciona Danilo Briceño, especialista en temas de seguridad informática. “Tienes un grupo que espera un mínimo acceso – sea usuario o brecha – y de ahí parten todos. Es un trabajo muy dedicado. Puedes tener muchos controles, pero el eslabón débil siempre es el usuario. De eso se aprovechan”.

Hace unos días, Conti Group obtuvo información clasificada del sistema de correo electrónico usado en la Dirección General de Inteligencia (DIGIMIN) del Ministerio del Interior, una operación de secuestro de datos en la que el grupo solicitaba una suma de dinero para devolver el acceso.

En esta brecha, el grupo de criminales destacó que los datos fueron obtenidos de manera sencilla, pues había información sin encriptar, una vulnerabilidad que suele ser aprovechada por estos criminales. Sin embargo, este grupo no tiene relación con esta reciente filtración, de acuerdo con especialistas consultados.

Maciej Dziobek, director regional LATAM de BitDefender, mencionó que existe una tendencia de ataques dirigidos contra empresas grandes y gobiernos para explotar los datos, casi como un “LinkedIn” de cibercriminales, un mercado libre que funciona por especializaciones en las que cada uno vende su propio servicio con un ranking.

“Tenemos especialistas entre los cibercriminales. Algunos entran e infectan una empresa, pero después no hacen nada. Esta presencia la venden como un servicio a otros. Si quiero hacer daño, le pago a alguien que tenga esa especialidad, como un LinkedIn en donde pagas un precio fijo, o podemos pagar por modelos de negocios desarrollados por habilidades distintas”, menciona Dziobek.

¿Qué se puede hacer con esos datos?

En este caso, el reporte de ASBANC refiere una larga lista de datos accesibles a través de esta brecha multisectorial. En este caso, esa data estuvo disponible a través de “zorritorunrun”, una plataforma que se promocionaba en Telegram y redes sociales como un acceso alterno a datos ciudadanos: DNI, propiedades, datos bancarios y otros.

Este servicio promocionaba la posibilidad de acceder a fichas de RENIEC con datos oficiales, además de indagar en el status de las personas y su situación en centrales de riesgo, solo por el precio de una membresía para un número de búsquedas. Este servicio ha desaparecido.

Con esos datos, un delincuente puede añadir más información de una persona para suplantarla en diversos servicios remotos que, por seguridad, solicitan esta data sensible para validar la identidad. Es por eso que este tema es grave.

Brechas: la diferencia entre ocurrir, detectar y reaccionar

En este punto, tenemos que diferencia claramente estas tres etapas, que establecen grados de responsabilidad en una cadena de control.

Imaginemos, por ejemplo, que un balón de gas tiene una fuga en una casa. El escape de gas es detectado por un miembro del hogar que, rápidamente, pone en aviso al resto de la familia y llama a las unidades de emergencia. Éstas, al llamado, se dirigen al lugar para controlar la fuga hasta reducirla. En todo momento, desde la detección del olor hasta la llegada de la unidad de emergencia, el gas siguió saliendo.

Ahora, traslademos esta sucesión al mundo tecnológico. Una brecha ocurre en un evento aprovechando una vulnerabilidad detectada por un grupo de delincuentes que, durante semanas o meses, han buscado puntos sensibles de una infraestructura. Al atacar, ingresan y observan todo.

Este ingreso, sin embargo, puede generar un registro en sistemas de detección, pero estos reportes no necesariamente son destacados como “atauques” cuando se usa un usuario y contraseña válidos. ¿Te acuerdas de que dije que se roban usuarios y contraseñas? Pues es para esto, para no ser detectados como “atacantes”.

Una vez perpetrado el ataque, pueden pasar semanas o meses hasta que un equipo de ciberseguridad, durante una inspección rutinaria, detecte la vulnerabilidad y la reporte. De hecho, hace un tiempo Renato Grimaraes de Microsoft nos mencionó que las empresas pueden reaccionar hasta 200 días tarde en este punto.

Esa vulnerabilidad pudo no ser provocada por un ataque propiamente, pero sí aprovechada por atacantes bajo mecanismos de incursión como el phishing. Entonces, ahí viene el cruce de datos y revisión de registros para saber si hay movimientos irregulares.

Una vez que se notifica sobre la vulnerabilidad, las empresas toman acciones para corregirla. Este proceso puede demorar otro tiempo más. En todo este lapso, sin embargo, la vulnerabilidad sigue expuesta y aprovechada por atacantes.

Los avisos de proveedores y los “agujeros negros”

Sin embargo, hay un dato que no puede ser menor en este cuestionamiento: las vulnerabilidades son reportadas por las empresas que proveen servicios. En el caso de Microsoft, AWS y otras, cumplen con notificar a las empresas de estas brechas en reportes semanales o mensuales, en los que recomiendan soluciones a estas condiciones.

Aplicar este parche toma tiempo, de acuerdo con Briceño. “Eso no sucede en la vida real, sobre todo en servidores que requieren pruebas para evitar colapsos. Al tomar tiempo, los atacantes aprovechan las vulnerabilidades”. Añade el especialista.

Lo que resulta preocupante en este punto es que, de momento, no podríamos confirmar en qué momento se originó la brecha y desde cuándo existen estos accesos a datos ciudadanos. Esto no ayuda a calcular cuánta data se extrajo, hacia dónde y durante cuánto tiempo se ha aprovechado.

En este caso, el reporte de ASBANC menciona el 29 de abril, pero PCM confirma haber tomado cartas en el asunto el 13 de mayo. En todo este tiempo, la data ha seguido expuesta.

Además, las infraestructuras tecnológicas suelen ser dinámicas, pues hay nuevas versiones y herramientas para implementar sobre servicios digitales. Hoy, las librerías y recursos de optimización son compiladas, a diferencia de una programación manual. Estos cambios en las implementaciones suelen ser aprovechados por programadores deshonestos para “dejar puertas abiertas” y vender ese acceso remoto.

Entonces ¿qué hago si se filtraron mis datos?

Ante esta situación, la PCM anunció la conformación de una mesa multisectorial que busca analizar el impacto de esta brecha. ASBANC, por su parte, ha garantizado que las transacciones, así como los datos y ahorros de los millones de clientes del sistema financiero, se encuentran seguras.

Ahora ¿qué hacemos los usuarios? Por lo pronto, compartan la información que tenemos. Esto permitirá que un tema poco sensible, como la seguridad informática, pueda ser asumida como un tema similar a la custodia de nuestros bienes físicos. Así como cuidas tu casa y tu auto, debes cuidar tus datos.

Otra medida es comenzar a reforzar nuestra seguridad en servicios digitales con verificación de dos pasos en sistemas que lo permitan. Esto añade una capa extra de protección ante intentos por suplantar nuestra identidad en redes sociales, por ejemplo.

Por otro lado, es necesario que sepamos nuestro estatus en el sistema financiero: nuestro monto total de deuda, nuestras cuotas por pagar, nuestra situación en centrales de riesgo, nuestros consumos recientes, el rastro de nuestros paquetes solicitados por comercio electrónico. Todo. Ese repaso hará que un suplantador no te tome por sorpresa.

Trata también de no compartir claves de tarjetas, CVVs o números completos en mensajería privada de redes sociales como Instagram, Facebook u otras. Si un delincuente te suplanta e ingresa a una de ellas, puede revisar tu inbox y sacar datos de ahí. Borra datos sensibles de esas bandejas y haz una copia en un dispositivo o sistema de nube con contraseña adicional.

Solo queda reconocer que esto no va a dejar de suceder, y posiblemente se incrementen estas filtraciones. Lamentablemente, debemos caer en cuenta que será el primero de muchos episodios de ciberdelitos a gran escala en un país que posterga la seguridad digital ante “temas más importantes”.