Siete preguntas a experto en ciberseguridad sobre los Guacamaya y el mega hackeo a FF.AA.
Un verdadero terremoto provocó al interior del Gobierno la filtración de más de 400 mil correos electrónicos del Estado Mayor Conjunto, entidad que agrupa a las tres ramas de las Fuerzas Armadas en Chile.
El grupo Guacamaya se atribuyó el ataque, donde dejaron expuestos 10 terabytes de documentos, algunos de ellos rotulados como “reservado”, “secreto” y “ultra secreto”, pertenecientes a áreas sensibles de la defensa nacional, desde bases de datos de inteligencia hasta el monitoreo satelital de las fronteras, según detalla Ciper.
Gabriel Bergel, experto en ciberseguridad y cofundador de 8.8 Computer Security Conference, habló con El Desconcierto sobre los posibles perpetradores del hackeo y entregó algunas claves sobre la vulnerabilidad en Chile en esta materia.
[Te puede interesar] Boric tras hackeo: "Me parece correcto que el general Paiva haya asumido su responsabilidad”
[Te puede interesar] Paiva rompe el silencio tras hackeo y evita responder “por ahora” si avisó al gobierno
- ¿Quiénes son los hackers del grupo Guacamaya? ¿Qué se sabe de ellos?
La verdad es que no mucho. Lo que se sabe hasta el momento es que es un grupo hacktivista que opera en Sudamérica y que habría hecho filtraciones en otros países. Se presume que no es un grupo de ciberdelincuentes que van detrás de dinero, sino que básicamente quieren posicionar las causas políticas, sociales o medioambientales que defienden.
Ahora, claro, eso es lo que todos podemos ver en su página web. Pero en Internet no podemos saber con certeza quién está detrás de esta identidad.
- ¿Podría tratarse de una fachada?
En otros casos existen investigadores que se dedican a investigar a ciertos grupos de cibercriminales o hacktivistas. Después de varias investigaciones, donde estas personas realizan distintos ataques, filtraciones o denegaciones de servicio, se llega a una conclusión de quiénes son, a qué país pertenecen y quiénes podrían ser sus integrantes. Es lo mismo que cuando se persigue a un grupo criminal, tiene que haber una investigación para que se pueda llegar a una certeza más absoluta.
Por el momento, está lo que aparece en Internet. Pero después de una investigación, nos podemos dar cuenta de que era otro grupo. En ciberseguridad hay ataques de falsa bandera. Por ejemplo, en este caso todos estamos pensando que es el grupo Guacamaya, pero en realidad después de algunos meses nos podríamos dar cuenta que en realidad el grupo era otro y de otro país.
- ¿Cómo operan usualmente estos grupos de hacktivistas?
Hay una línea delgada entre un grupo hacktivista y uno cibercriminal. Por lo general ocupan técnicas muy similares. Es gente con mucho conocimiento en la materia, que sabe cómo detectar vulnerabilidades y cómo poder explotarlas. Conocen técnicas que ocupamos los hackers del lado bueno, por así decirlo, los que trabajamos en ciberseguridad.
Lo que buscan es afectar o denegar un servicio, o poder filtrar información. Mientras esta información sea más estratégica y confidencial, el impacto es mayor. Por el contrario, si son ciberdelincuentes, mientras más confidencial y estratégica es la información, más cara se puede vender. Se supone que un grupo hacktivista no va detrás del dinero.
[Te puede interesar] Consejo de Defensa del Estado se hará parte de la causa por hackeo en las FF.AA.
[Te puede interesar] Tohá apunta al Estado Mayor Conjunto: “No se informó del hackeo y ya se había producido”
Las vulnerabilidades de las Fuerzas Armadas
- ¿Qué falló concretamente en la ciberseguridad de las Fuerzas Armadas?
No podemos sacar una conclusión tan concreta aún, porque no sabemos con exactitud qué pasó. La única forma de saberlo es haciendo un análisis forense, donde profesionales con herramientas profesionales analizan los activos afectados y logran de cierta manera concluir cuál fue el vector de ataque, cuál fue el modus operandi, desde dónde se conectaron, etc. Eso todavía no lo sabemos.
Ahora, lo que se presume es que aprovecharon una vulnerabilidad antigua y que, de esa manera, lograron entrar al servidor del correo y filtrar la información. Eso ha ocurrido varias veces en el pasado. Es muy común que se exploten vulnerabilidades conocidas para lograr ingresar a los sistemas.
Ahí podríamos decir que la gran enseñanza que nos está dejando esto es que las instituciones, las empresas y las personas debemos preocuparnos mucho de la mantención de nuestros celulares, computadores o servidores.
- ¿Qué evaluación se puede hacer del sistema de ciberseguridad del Estado Mayor Conjunto?
No sabría decirte. En general, los ataques suceden todos los días y a cada minuto. Ahora, la diferencia entre ser vulnerable o no es que, en una empresa o institución con mayor nivel de madurez y que invierte en ciberseguridad, probablemente el impacto de esos ataques va a ser menor. No es que no vaya a ser afectada nunca, porque el riesgo nunca va a ser cero.
Al Ejército no lo están atacando desde el 2018 como dice Ciper, sino que desde hace muchos años, desde siempre probablemente, y va a seguir sucediendo. Por eso es tan importante ser resiliente e implementar la mayor cantidad de herramientas y procesos para las personas, capacitarlas para tratar de evitar al máximo que esto ocurra, aunque en realidad no se puedan evitar.
Es como tratar de evitar un terremoto, no se puede. En cualquier momento puede haber un terremoto y hay que estar preparados. Acá es lo mismo, no se pueden evitar los ataques de ciberseguridad, pero sí tenemos que invertir y trabajar para que, si ocurre, tratar de salir rápido.
- Si hubiera que ponerle nota o ponderar de alguna manera al sistema de ciberseguridad de las FF.AA. ¿Cuál sería?
No me atrevería a decir si es bueno o malo. Ahora, independiente de eso, es importante decir que incluso las empresas que más invierten en ciberseguridad son atacadas de la misma forma. Hoy día un amigo que está en Australia me hablaba de lo que pasó con la empresa Optus, que es una de las más grandes compañías de información y que sabemos que invierte mucho en ciberseguridad. Finalmente, no tiene que ver con el tamaño ni la cantidad de inversión.
Ahora bien, estos ataques van a ir en escalada. Este ataque demuestra que nunca es suficiente y que probablemente tendremos que invertir, como país, más en la ciberseguridad de las Fuerzas Armadas. Chile invierte mucho menos de lo que invierten países desarrollados y otros países en la región.
- ¿Hacia dónde deberían apuntar las medidas del Ejército para mejorar su ciberseguridad?
Lo que sucede en este tipo de casos es que se hace una revisión completa de todos los activos y de toda la red. Se trata de aislar todos los equipos afectados por el ataque. Y obviamente hay que tratar de cambiar todas las políticas, mejorar los controles de seguridad e implementar nuevas tecnologías y procedimientos, poner más gente a cargo de este tema, que esté constantemente monitoreando, y apoyarse con entidades privadas o especialistas de otros países para tratar de evitar que esto vuelva a suceder.