El delito de moda en el mundo de la ciberseguridad es con Ransomware, un tipo de software que “secuestra” (encripta) los archivos y bases de datos de usuarios, gobiernos y/o empresas para pedir un rescate a cambio de la liberación de esa información o de no publicarlos al público (también puede ser información privada de personas, como fotos, contratos, cartas o chats). Las víctimas pagan los rescates generalmente en criptomonedas, que no dejan rastro.
Este tipo de delitos lo sufren las grandes empresas, especialmente bancos y compañías de servicios e industrias como telecomunicaciones, aseguradoras, laboratorios, hospitales y servicios públicos como electricidad, gas y agua.
Además no es obligatorio que las afectadas den a conocer los casos en los medios, con lo cual, varias las empresas prefieren no comunicar el ataque para no generar pánico entre sus usuarios y clientes y de paso, evitar que su reputación se vea dañada. Y también hay casos donde los mismos atacantes exigen silencio.
En cambio la mayoría de los ataques a particulares se realizan mediante la técnica conocida como “phishing”, un término que proviene de “password harvesting fishing” (cosecha y pesca de contraseñas) para el robo de datos personales de la víctima. Cualquier medio de contacto sirve para la pesca: spam, chats, SMS, Whatsapp y las redes sociales. Alguien simula ser de una empresa o banco y nos pide información privada. Y como casi siempre estamos distraídos, caemos.
Pero las formas delictivas se van perfeccionando. Un informe de ESET muestra el gran crecimiento de este tipo de delitos en los últimos dos años: “Los nuevos métodos no solo apuntan a los datos de las víctimas, sino también a sus sitios web, empleados, socios comerciales y clientes, lo que aumentó aún más la presión y, por lo tanto, la disposición a pagar”.
Y ahora surgió el modelo de Ransomware como un servicio (RaaS, por sus iniciales “Ransomware As A Service”) que permite a personas o grupos comprar o alquilar paquetes de código malicioso junto a su manual de instrucciones con el paso a paso para ejecutar sus ataques. Tan fácil como comprar un par de zapatillas, pero Ransomware listo para usar. Pero además el ataque se hace en grupos distintos de hackers, cuyos miembros “socios” no se conocen entre sí y pueden estar físicamente en distintas partes del mundo. Después se reparten el rescate, a modo de botín, según la tarea de cada uno.
Uno de los casos recientes más famosos fue el del oleoducto Colonial Pipeline, el más grande de los Estados Unidos y que abastece de combustible a la mitad de la costa oeste de ese país. Entre el 6 y 7 de mayo último, su sistema fue atacado y se robaron más de 100 GB de datos. La empresa tuvo que cerrar todas sus operaciones y hasta el presidente Joe Biden declaró el estado de emergencia. La empresa tuvo que pagar casi 5 millones de dólares por el rescate pedido por la banda criminal “Darkside”, supuestamente desde Rusia. El ataque, que afectó a 18 estados y modificó el precio del crudo, está considerado como uno de los ataques cibernéticos contra infraestructura crítica más peligrosos de la historia.
El gobierno de EEUU informó que recuperó la mitad del dinero pagado, pero advirtió que no ahorrarían recursos para defenderse.
Los ataques son incesantes y casi a diario. En simultáneo con Pipeline, entre 50 y 100 millones de clientes de la telefónica T-Mobile fue hackeada por criminales cibernéticos que lograron infiltrarse en las cuentas de los usuarios de la red inalámbrica y obtuvieron datos personales como número de celular, pasaportes y hasta números de las licencias de conducir.
¿Y en la Argentina? Mientras los ataques se multiplican, la ley 26.388 tipifica los delitos informáticos en el Código Penal. Pero es de 2008. “Nació vieja porque dejó afuera varias conductas y tiene sanciones muy bajas, casi irrisorias, como que si vulnero tu computadora o tus datos recibo una pena de 6 meses que es excarcelable”, explica Miguel Sumer Elías, abogado especialista en ciberdelitos y director de Informática Legal. “Es necesario mejorar la redacción de varios delitos como endurecer la pena de quien produce, distribuye y vende imágenes de menores de edad, incorporar como delito tanto a las estafas virtuales como la figura de grabación y difusión no consentida de imágenes y videos íntimos, que increíblemente solo es una contravención en CABA. También hay que adecuar los estándares normativos de la privacidad y la protección de datos personales a las nuevas tendencias mundiales ya que nuestra ley (25.326) tiene más de 20 años. Hay que trabajar mucho todavía”.
Mientras tanto, las empresas en el sector privado demandan cada vez más seguridad. Luis Lombardi, director de MicroStrategy para Latinoamérica Cono Sur, una compañía norteamericana que vende software de inteligencia para negocios, explica que sus clientes “cada vez se preocupan más por el tema de la seguridad de su información. Nosotros ofrecemos todas las funcionalidades bajo los más estrictos estándares que van desde el encriptado de contraseñas y tokens internos hasta innumerables niveles de permisos relacionados con niveles de acceso a todo tipo de objeto y tipo de información».
Y a nivel estatal, el gobierno tiene una Dirección Nacional de Ciberseguridad (que depende de Jefatura de Gabinete), cuyo director es Gustavo Saín. Consultado para este informe, dice que el sector público siempre corre desde atrás. “A diferencia de la seguridad pública, en ciberseguridad los gobiernos se ven en desventaja frente al sector privado, es decir, no tienen el monopolio legítimo del uso de la fuerza para poder establecer condiciones de seguridad.
-Y sobre todo en Internet
-Al ser una red de redes de dispositivos informáticos, las organizaciones que las administran establecen sus propias condiciones de ciberseguridad. Si a esto le sumamos que existe una clara preeminencia del sector privado en el ecosistema digital (empresas que elaboran software comercial, de acceso a Internet, proveedores de servicios y aplicaciones web, servicios de almacenamiento de archivos, hosting, etc.), resulta imperioso el trabajo conjunto entre los dos sectores para proteger los derechos y libertades de los ciudadanos.
La pandemia y el obligado aislamiento obligatorio (ASPO) del año pasado generó un aumento en los ataques y delitos, sobre todo a bancos. Según la Unidad Fiscal Especializada en Ciberdelitos (UFECI), las estafas bancarias escalaron un 500% y fueron los delitos informáticos que más crecieron durante 2020. “En el encierro mucha gente se vio obligada a usar herramientas digitales para operar en sus bancos. Le llamo “exilio analógico” porque no fue una transformación digital ordenada y escalonada sino que la gente no tuvo opción para acceder a sus cuentas bancarias o a hacer compras online. Entonces hubo muchísimos problemas, que los delincuentes aprovecharon bien. Por eso hubo récords de denuncias por acceso indebido a cuentas”, explica el periodista Sebastián Davidosky, autor del libro “Engaños Digitales, víctimas reales” (Ediciones B, 2020).
Saín concuerda con que durante la cuarentena “se vió es una mayor sofisticación y complejidad en las técnicas, fundamentalmente los fraudes y estafas en línea en usuarios particulares (la mayoría mediante phishing) y los ataques de ransomware en las grandes empresas”. Y agrega: “Hay una brecha entre las empresas que ven a la seguridad informática como una prioridad y otras que la considera como un gasto innecesario. Pero lo cierto es que deben invertir más en el área”.
Mientras tanto, el delito aumenta y las víctimas son casi todos: empresas, gobiernos, grandes empresarios, jefes de estado y, sobre todo, usuarios particulares.
Nadie está a salvo en el nuevo mundo digital.
Lalo Zanoni 