Entre mis correrías con gente rara y lugares extraños, hace pocos días fui a caer en una reunión sobre ciberseguridad en la que presencié la exposición del directivo de un laboratorio de investigación, quien había sido convocado básicamente para hablar de dos tópicos: los ciberataques militares por malware que afectan a Chile en la actualidad y también cómo se usa a nuestro país como plataforma para atacar a terceros países.
Sintetizando, expongo a ustedes lo que oí en ese lugar, y que muestra claramente que las ciberguerras no son ciencia ficción o el futuro, sino el día a día de todos los países.
CASOS DE ATAQUES A LA CIBERSEGURIDAD DE CHILE
Chile se ha convertido progresivamante en un país “interesante”, lo que quiere decir que tiene activos de interés para los demás tanto en áreas de producción, como en sistemas automatizados de elaboración de metales, sistemas de regadío para la agricultura, nodos de telecomunicaciones repartidos por todo el territorio, una red sismológica nacional, desarrollos de centros científicos y otros entretenidos adornos que nos convierten en objetivo militar, de los cuales se han detectado las siguientes “campañas”:
Caso 1. Ex Gaza Team
(Los nombres de los casos los pone el laboratorio para asociar al atacante a una identidad, pero sin explicitar nunca de quién se trata).
El expositor relató que “Gaza Team” era un grupo que atacaba objetivos políticos de Oriente Medio y que inició sus operaciones en 2012, usando en sus comunicaciones lengua árabe.
Sin embargo, hace un año y de un día para otro, cambió su patrón de comportamiento, su estructura de red y las tecnologías que usaba, dirigiendo ahora sus ataques a Medio Oriente, Israel, Canadá, Estados Unidos, Alemania, Suiza y Chile.
En nuestro país, en concreto, intervinieron las redes de telecomunicaciones de una entidad que toma decisiones políticas relevantes (se le pidió que no dijera cuál), insertando código malicioso que le permite “escuchar” todo lo que ocurre al interior de la institución.
El cambio de comportamiento, idioma y lenguaje de programación que usan (antes se especializaban más que nada en “ingeniería social”) hace sospechar al laboratorio que fueron sustituidos por otros que se hacen pasar por ellos, o que obtuvieron una importante inyección de recursos económicos o, tercera posibilidad, que fueron infiltrados por agentes de otros países.
Caso 2. Operación Machete
“Machete” está en operación desde 2010 y se trata de un grupo militar especializado en ataques informáticos; usualmente espiaban o intervenían redes de comunicaciones en Brasil, Bolivia y Argentina, pero en el año 2017 se potenciaron y sumaron la intervención de los sistemas de computación militares de Chile y otros, como Uruguay.
Su actuar tiene una limitación o característica distintiva: la tecnología que utilizan requiere que alguien inserte un pendrive o tarjeta de memoria en el objetivo a atacar, lo que implica necesariamente que tienen agentes que actúan para ellos en Chile. Y adivinen específicamente dónde.
El expositor nunca lo dijo, pero de los esquemas que mostraba se evidenciaba que el grupo atacante es el Ejército de la República del Paraguay.
Caso 3. Pisco Gone Sour
(La referencia al país es obvia, ¿no?).
Señala el expositor que es una campaña de ataque contra Chile que, al igual que las demás, también está ACTIVA. Usualmente utiliza archivos de Microsoft Office infectados y busca objetivos militares y de infraestructura crítica.
Suelen explotar la curiosidad de la gente enviando noticias referentes al conflicto entre Chile y Bolivia por el mar, cuestión con que el personal militar “pica” rápidamente. Obtienen la noticia que buscan, pero también el malware asociado.
Caso 4. Banco Central de Chile
Es un ataque de tipo militar aunque el laboratorio no había podido determinar su origen y está dirigido al personal del Banco Central y la información que guarda en sus computadores.
De acuerdo a la lógica militar que subyace, si logras deprimir la economía de un país por un cierto periodo prolongado, también deprimes la inversión en armamento militar, lo que tiene como consecuencia la debilidad de un país en hipótesis de conflicto y de negociación política.
El Banco Central sigue bajo ataque y ello se traduce en la creación de varios sitios y dominios similares a los del Banco Central para que sus usuarios pongan sus contraseñas, la falsificación o simulación de los certificados de los servidores, la generación de correos falsos de jefes a subordinados con instrucciones sobre entrar en determinados sitios web que aparentan ser los del Banco, etcétera.
No se ha podido determinar su origen porque los atacantes usan servidores “hackeados” de terceros y usan ataques del tipo “Cobalt Strike” (lo siento lector, pero ya no recuerdo qué es eso).
CASOS EN QUE USAN A CHILE COMO PLATAFORMA DE ATAQUE
Explican desde el laboratorio que Chile también es usado como plataforma para atacar terceros países, esencialmente porque las conexiones desde acá parecen “inofensivas” respecto de las de otros países, es decir, dan una falsa sensación de seguridad y por ello su infraestructura de red es utilizada por los ejércitos de terceros países para sus campañas.
A esta actividad la llaman “abuso del territorio cibernético de Chile”.
Caso 1. The Bald Knight
Es una campaña que tiene su origen en la República Popular China, la cual posee su segundo Centro de Comando y su segundo Centro de Control en Chile; de hecho las evidencias recogidas muestran que China ha montado también un laboratorio de pruebas de ciberataques en nuestro país.
Sus objetivos son las compañías tecnológicas y también las de integración de circuitos de Corea del Sur y de Japón.
CASO 2. Turla
(Turla es el nombre de una agencia de gobierno rusa, pero el expositor nunca mencionó ese detalle).
Desde Chile la organización Turla ataca las legaciones diplomáticas de los países latinoamericanos que tienen representación en Chile.
–
Al cierre, el expositor destacó que en estos ámbitos los tratados internacionales, como el de Budapest, son inútiles y que, además, las políticas de todos los gobiernos son idénticas: negarlo todo, aunque les muestren la evidencia; es decir, y contrariando la lógica jurídica, nada más inútil que conservar las evidencias con los estándares requeridos por los tribunales.
Afirmó también que las campañas educativas sobre seguridad de la información están condenadas al fracaso: las amenazas de ciberseguridad se adaptan a los tiempos. Si, por ejemplo, todos los funcionarios de un organismo del Estado adoptan determinadas medidas de seguridad, y los protocolos son públicos y transparentes, pues entonces los atacantes estudiarán esos protocolos para crear otras formas de infectarles no previstas en ellos.
La clave, según señala en base a su experiencia, es definir qué es lo importante y qué es lo que se puede sacrificar, pues no se puede asegurar o proteger todo. Lo ilustraba con un ejemplo: si un grupo de hombres se encuentra con un oso hambriento, ¿se necesita ser un corredor olímpico para escapar?. No, solo se necesita ser más rápido que el más lento del grupo, pues este es el que caerá.
Lo mismo se aplica a los sistemas de información e infraestructura crítica: hay que definir a quién el oso se va a comer, para que no persiga a los demás: sistemas que se sacrificarán para que los demás sobrevivan.
Y esa es la lógica que recomienda también para el caso de Chile: si ya sabes que te están atacando en determinado punto, déjalos avanzar y entrégales “dulces” para que no se desanimen, para que tengan sus victorias, pero en el intertanto protege lo importante.
Acto seguido el ponente agradeció la atención, levantó el “cono del silencio” a través del que se comunicaba con los asistentes, se puso su sombrero y se desvaneció en el aire.