Colaboración y divulgación, desafíos de la ciberseguridad en México

Desde el 2016, varios expertos han detectado que la organización Bluenoroff, ligada al grupo cibercriminal norcoreano Lazarus, ha lanzado ciberataques en contra de instituciones financieras de todo el mundo. Los registros de las operaciones a escala global del famoso grupo Lazarus datan del 2009 y vinculan a este grupo con el intento de robo de casi 1,000 millones de dólares al Banco Central de Bangladesh.

La firma de ciberseguridad Kaspersky Lab investigó la actividad del grupo, que utilizaba el sistema de transferencias bancarias SWIFT para atacar a sus blancos, y descubrió que en México había instituciones financieras afectadas.

NOTICIA: Estrategia Nacional de Ciberseguridad arranca con desconfianza por espionaje

Dmitry Bestuzhev, director del Equipo de Investigación y Análisis de Kaspersky Lab para América Latina, buscó al personal encargado de la seguridad de las instituciones para ayudarles a mitigar el compromiso de sus sistemas y buscar una colaboración para enriquecer su investigación alrededor de este grupo cibercriminal. Y fue cuando descubrió que, en México, la colaboración no es una tarea fácil en materia de ciberseguridad.

“Mi experiencia personal fue de lo más horrible del mundo”, relata Bestuzhev en una entrevista con El Economista, realizada en junio pasado.

“Yo estaba de vacaciones en Dallas y llamé desde mi teléfono a la gente, les dije que tenían un waterhole (compromiso de un sitio web que la víctima visita con frecuencia, desde el cual se transmite la infección) en el sitio web de SWIFT, que es donde los bancos tienen que reportar las medidas de prevención de lavado de activos, ahí está el waterhole para infectar solamente a los bancos mexicanos”, continúa.

“El operador en turno tenía una buena actitud. ‘Mira busca un exploit, vamos a hacer esto y esto. Me dijo ‘hablemos el lunes’, pero después ya no contestó. Fueron tres o cuatro días para que el problema fuera corregido. En esos cuatro días se infectaron como seis bancos. Entonces dijimos: ‘Hay que trabajar con los bancos’, pero algunos ni respuesta nos dieron, otros dijeron que ya tenían expertos que se habían ocupado del asunto”, añadió.

Debido a este hermetismo, el investigador no tuvo acceso a las muestras para realizar un análisis mayor sobre el ataque y tampoco pudo colaborar en las investigaciones, lo que incluso ofreció de forma gratuita, según su relato.

NOTICIA: ¿Qué es la Estrategia Nacional de Ciberseguridad?

Pero éste no es un caso aislado. Bestuzhev refiere que la falta de cooperación ocurre tanto en el sector financiero como en el gobierno e incluso en la sociedad civil. Una situación similar ocurrió con el caso de espionaje gubernamental a periodistas y activistas a través del software Pegasus, de la firma israelí NSO Group. El investigador aseguró que se le negó el acceso a las muestras.

Esto reveló una situación generalizada en México: los actores que participan en el entorno de la ciberseguridad, ya sean del sector público, privado o investigadores, carecen de disposición para colaborar en la investigación de las amenazas cibernéticas.

“Cooperación, eso es lo que no hay. Y cuando digo cooperación, estoy hablando de cosas serias, no de los documentos firmados, eventos compartidos, fotos, comidas. Eso no es cooperación. Cooperación es trabajar juntos al analizar las infraestructuras, los logs (registros) de tráfico, memorias, sistemas de archivos, encontrar los implantes, extraerlos, hacerles ingeniería reversa”, refirió Bestuzhev.

Esta realidad enmarca el arranque de los trabajos para el diseño de la Estrategia Nacional de Ciberseguridad (ENCS). En el primer documento de trabajo de la ENCS, que Presidencia ha abierto a consulta pública hasta el 11 de agosto, se insiste en la necesidad de colaboración y coordinación de manera transversal para sus objetivos estratégicos.

Así, el documento menciona foros de comunicación para el intercambio de buenas prácticas en el objetivo de Economía; compartición de información interinstitucional para la prevención y combate de incidentes cibernéticos para el de Sociedad; para el objetivo de Gobierno refiere a acciones de cooperación entre instituciones públicas y privadas para fortalecer la ciberseguridad relacionada con la prestación de trámites y servicios, y para Seguridad Nacional, el intercambio de información e inteligencia para la prevención, atención y recuperación ante incidentes cibernéticos.

NOTICIA: Policía Federal quiere un Consejo Nacional de Ciberseguridad

“La cooperación es fundamental para que la Estrategia de Seguridad Nacional sea exitosa. El combate defensivo en el ciberespacio exige esfuerzos colaborativos para reducir de cierta medida la asimetría con los adversarios, por lo que se deben instrumentar canales de comunicación entre los diversos participantes, primordialmente los blancos u objetivos primarios del país, como lo es seguridad nacional, gobierno, Iniciativa Privada y sociedad”, refiere Carlos Ayala, consultor en Seguridad Informática de Arbor Networks en Latinoamérica.

Los expertos atribuyen la baja cooperación a la falta de una cultura de divulgación e información de incidentes que podría ayudar a las investigaciones y dimensionar el problema. Las razones que explican esta actitud apuntan hacia el temor que tienen las empresas a ver afectada su reputación.

“Ninguna empresa notifica el número de vulneraciones. Más bien los usuarios son los que por su lado se dan cuenta que algo no está bien, pero no saben dónde reportarlo salvo a periodistas. Cuando surgieron las primeras leyes de notificación de vulneración de datos en Estados Unidos, hubo un incremento de casos de datos reportados y después empezó a bajar. Las empresas estaban tomando más medidas de seguridad para evitar que sufrieran vulneraciones”, explicó Cédric Laurant, director del programa SonTusDatos de Artículo 12.

Esta transparencia sería clave para fomentar la divulgación y cooperación entre instituciones e investigadores. Bestuzhev, de Kaspersky Lab, considera que el hermetismo es “una actitud de tremendo error, de tremenda ignorancia y de tremenda actitud”. Y esto sólo abre el espectro de vulnerabilidad cibernética en el país.

“Si las mejores potencias mundiales, en el sentido cibernético, han sido atacadas exitosamente. ¿De verdad, México está por encima? No lo creo. Sería muy infantil creer que en México no pasa nada, que está bajo control. La cosa es cómo lo enfrentarán, ¿qué harán, lo harán igual?”, cuestionó Bestuzhev.

NOTICIA: WannaCry, llamado de urgencia para Estrategia Nacional de Ciberseguridad

En su Índice de Ciberseguridad Global para 2017, la Unión Internacional de Telecomunicaciones (UIT) advierte que México flaquea en ciberseguridad por la falta de estándares dentro de las organizaciones, de métricas de ciberseguridad, de acuerdos y colaboración entre el sector público y privado, de cuerpos de ciberseguridad estandarizados, y de acuerdos bilaterales y multilaterales.

La UIT posiciona en el lugar 28 de 164 a nivel global en su ranking global de ciberseguridad, y por debajo de Canadá y Estados Unidos en el continente americano.

julio.sanchez@eleconomista.mx