Este jueves 25 puedes prevenir los ataques informáticos en tu empresa.

Ante la alarma por los ataques informáticos

Conferencia: Gestión de riesgos de seguridad como estrategia empresarial

En Uruguay hay una alta vulnerabilidad a los ataques informáticos. En todo momento nuestras computadoras están siendo atacadas. Las empresas invierten en seguridad, pero cuando no se toman todos los recaudos, se es víctima de un ataque exitoso. Es cuestión de los dirigentes de empresa y no solo del personal dedicado a la informática, ya que deben tener el tema incorporado a la planificación y ejecución de las actividades de seguridad.

A continuación brindamos lo que fue la exposición delIng. Ignacio Lagomarsino Gerente de respuesta a incidentes de seguridad informática en Uruguay y del Ing. Santiago Paz, director de seguridad de la información en AGESIC

Una de las cosas que queremos acercar y bajar a tierra, es que esto no es de la televisión, esto realmente pasa. Y de hecho es de lo que yo trabajo. Una de las cosas a las que estamos expuestos, esta es la más conocida, es el malware. Antes les decíamos los virus. Después a los más que estaban en el temate pedía si era un gusano, si era un troyano, si era un backdoor, si era un dialer. Todos tenían funcionalidades distintas, todos tenían comportamientos distintos, claramente no eran iguales. Pero ya a esta altura el nombre genérico que les ponemos es malware. Porque no importa si es un gusano o un troyano, tenemos que poder hablar de una manera genérica cuando es un software malicioso. Y bueno, el nombre que tiene en la comunidad es malware. Y que salta en relevancia ahora por los sucesos recientemente pasados, que son el tema este de WannaCry, que seguramente lo escucharon en la empresa, o lo leyeron en algún wallpaper o alguna cosa de esas.Realmente empezó a mover la aguja de varios indicadores.

Lo primero que hay que tener en cuenta es que cambió las estadísticas nacionales. El 50% de los incidentes que nosotros teníamos erande Spam &Phishing. Hay un 14, un 20% que se lo comió el ransomware. Ransomware no sé si todos saben, pero básicamente es un malware que te infecta la computadora y te cifra todos los archivos. Si en esa computadora tenés un servidor que la base de datos es un archivo, te la va a cifrar en lo que te cifrla base de datos. Ahora los ransomwares son suficientemente inteligentes como para detectar que hay un servidor de base de datos corriendo y descifra el archivo de la base de datos. ¿Por qué hay tanto crecimiento en este tipo de ataques? ¿Por qué son tan efectivos? Y, ¿por qué hay tanto furor con esto? Porque tienen un callout muy rápido y los que atacan se hacen de plata de manera muy rápida.Entonces vos tenés un ransomware y si te toca en una empresa y te cifraron algo importante y vos capaz que querés pagar dos mil dólares… Nosotros siempre lo desaconsejamos porque es como alimentar un mercado que no queremos que exista, pero hay gente que va y paga. Imagínense en su casa, si lo que te cifró fue tu computadora y lo que perdiste fue la foto de los nenes. Y vos capaz que querés poner quinientos dólares y recuperar las fotos de cuando los chiquilines eran pibes. Entonces realmente tiene una rápida difusión y tiene un retorno inmediato. Porque te infectaste y en 3 días estás poniendo la plata. Si bien en esta instancia de WannaCry no hubo una cantidad significativa de afectados en Uruguay, ya existían otras versiones de ransomware que ustedes ya las escucharon. Como el virus de la policía seguramente en alguna otra oportunidad escucharon en las noticias del virus de la policía, en varias versiones, hubo varias. El tema es que siempre hay uno distinto que se propaga de manera distinta. Lo que tenía de raro este ransomware era como se propagaba y con qué velocidad se propagaba. Antes lo que había te lo mandaban por mail y si descargabas el adjunto, le dabas click y te contagiabas. Ahora no, ahora te escaneaban la raíz y te ibas contagiando como antes era el conficker. Entonces bueno, vemos que hay un crecimiento realmente muy grande como les decía que cambió las estadísticas nacionales y las cambió no sólo en Uruguay, sino que las cambió en el mundo. Con lo cual, vamos a ver mucho esto. Lo gracioso de esto es que pareciera mentira, pero esto se soluciona con tener un respaldo. Y la mitad de la gente termina pagando un rescate porque no tiene un respaldo de sus archivos. Y eso tendría que ser un llamador de atención para nosotros y bueno, para todos. Porque este problema, este virus que causó furor a nivel mundial se arreglaba con tener un respaldo de la información. Otra cosa a las que estamos expuestos es a las botnets. Las botnets son de alguna manera otro tipo de software que se instala en la máquina, que básicamente una vez que te infecta una máquina una botnet, no hace nada. Y por eso son muy difíciles de detectar. Yo te infecto una máquina y, ¿para qué lo hago? Para nada. Hasta que alguien de algún centro de comando y control le dice empezá a hacer tal o cual cosa. Y es: mandame los archivos de esa máquina, escaneame la red, mandame de datos, espiá. Básicamente lo que te pongo es un primumcounter en una máquina y luego le puedo mandar instrucciones a esa computadora. Las botnetspor supuesto se usan para mandarse datos y todas esas cosas, pero uno de los usos más comunes que tienen las botnets es para hacer ataques de negaciones de servicios. Ya vamos a discutir más adelante que es un ataque de negaciones de servicios. Pero lo interesante es que las botnets se alquilan. Entonces yo de repente quiero hacer un ataque de negación de servicios a la computadora de Santiago, o al servidor de Santiago, y lo que hago es voy y alquilo una botnet. Una botnet de 150 mil nodos creo que cuesta U$S 50 (cincuenta dólares) el día, o alguna cosa de esas. Entonces 150 mil nodos es una botnet respetable. Hay pocos enlaces que sobreviven a un ataque de 150 mil equipos. Con lo cual a esto también estamos expuestos. Otra cosa interesante es que de repente nos puede sonar un teléfono y nos digan “miren señores, los llamo de Interpol para decirles que ustedes están atacando al gobierno de Argentina”. ¿Cómo que estoy atancando…? Si, tu empresa está haciendo un ataque de negación de servicios a… Pero yo no estoy haciendo nada. Bueno, lo que está haciendo la botnet que vos tenésdistribuida o que estuvo latente en tu computadora, porque no tenemos antivirus, porque no tenemos controles, porque no tenemos emparchados, un montón de cosas, hasta el día que se prenden y empezamos a atacar a alguien. Por supuesto, nuestro enlace de internet deja de funcionar, nuestros servidores empiezan a andar lento, las computadoras no funcionan, etc., etc. Y el día que queremos ver qué está pasando y poder sacarlo, si no tenemos músculo para trabajar en eso… Y el día que nos pasa estamos en el horno. Bueno, los ataques de negación de servicios, negación de servicios y negación de servicios distribuida, básicamente lo que son… Te pido, genero más demanda de la que alguien puede satisfacer. Entonces, en este caso es… Hay una señora con un servidor, que su trabajo es firmar cosas.De alguna manera ese ataque de negación de servicios le va a negar 2 millones de documentos para que los firme. Saquémoslo del ambiente informático, pensémoslo en… Vamos a hacer un ataque de negación de servicios en el supermercado de la esquina de casa. Yo sé que el supermercado de la esquina de casa tiene 2 cajeras y que el 24 de diciembre está explotado. Imagínense si yo me enojé con el cajero de la esquina y nosotros somos una banda y le vamos a hacer un ataque de negación de servicio a las cajas. ¿Qué vamos a hacer? ¿Vamos a secuestrar a las personas? No. Vamos a ir a comprar cosas. Pero, ¿cómo comprar cosas en un supermercado es un ataque de negación de servicios? Bueno, vamos a hacer así. Yo voy a comprar un caramelo, lo voy a pagar con $ 1.000 (mil pesos), o lo pago con justo. Después voy a comer mi caramelo, voy a salir, voy a volver a entrar y lo voy a volver a pedir. Entonces estamos en ese bucle infinito. La gente, los legítimos compradores quieren comprar, cada uno viene con su carrito y tienen que esperar que todos nosotros compremos un caramelo. Y además creamos ese bucle infinito. ¿Qué es lo que va a terminar pasando?El legítimo comprador que viene con su carrito va a ir a paso de tortuga. Entonces, eso es un ataque de negación de servicios. En el mundo de las computadoras es empezar a negar respuestas a un servidor. Lo único que no lo quiero yo solo, tengo una botnet de 150 mil bots que empieza a tirar contra una web, contra una base de datos, contra un servidor de archivos, contra lo que sea. No sé si hay alguna pregunta con esto. Hemos visto y a nivel mundial ha crecido, tienen un crecimiento sostenido los ataques de negación de servicios. Hace poquito con esto de IOT vimos que empezaban a haber ataques de negación de servicios astronómicos, enormes. No sé si alguno escuchó algo, que este año hubo un ataque muy grande, se habla de todo un terabyte de tráfico. Realmente vieron que es todo un tema el IOT. Los IOT son cualquier cosita que es una lámpara, un timbre inalámbrico, una camarita, lo que sea, están todos conectados a internet.Como el negocio es fabricarlo lo más barato posible para venderlo mejor. Evidentemente la calidad del software no es muy buena, ¿no? Entonces, la bombita de luz que cuesta un dólar, no esperes que tenga una gran calidad de software. Entonces, yo la conecto, queda directamente conectada a internet y después completar el software y hacer que esa bombita empiece a tirar paquetes para un lado y para otro. Como estamos en pleno apogeo de internet app fins, lo que termina pasando es que encontramos trillones de cámaras en el mundo, que las barremos con algún… Desde Google las encontramos. Porque con algún bulldoor las encontramos esos dispositivos que son vulnerables, o que podemos usar, y le decimos a todas las lamparitas, a todas las cámaras, a todo lo que sea, ataquen a la página web de Nacho. O a las redes de Nacho. Así fue que tiraron un buen ratoredes enormes. Y esto empieza a ser un problema sostenido que hay que empezar a mirar y hay que empezar a salir. Y ya empezar a ser un buen vecino es decir bueno, en mi red no me puede pasar esto. O yo tengo que tener controladas mis cosas. Porque por supuesto, como les decía hoy es, dos mil lamparitas me consumen mi ancho de banda.

Bueno, Spam &Phishing.Hoy sigue siendo el más grande de los problemas que tenemos. El tipo de incidente que más ocurrencia tiene,estamos cerca del 50%, como les decía hoy. Principalmente son ataques para robar credenciales. Pueden ser para robar credenciales de bancos. ¿Saben todos lo que es un Phishing? ¿Les parece que vale la pena que lo explique? Lo comento. Lo comento rapidito. Un Phishing es un tipo de ataque donde el atacante se hace pasar por alguien, una página web, un correo, lo que sea, en donde nos pide las credenciales. Seguro que a ustedes les llegó en algún momento. Su cuenta de correo está al límite de la capacidad, mandá usuario y contraseña del correo electrónico, logueate acá para ajustar. O te llegó un mail del banco donde dice que por favor vayas y cambies tu contraseña. Vos hacésclick en el link, te abre la página del banco, es igual a la del banco, vos ponés usuario y contraseña y ni te enteraste, pero en realidad no era la página del banco. Es un atacante que va, se clona la página del banco.Él hace una que es igual, porque son iguales literalmente. Las mirás las dos y no hay diferencia, solo que una está josteada en www.banco.com.uy y la otra está josteada en no sé dónde. Pero la mayoría de la gente ni mira la barra de la url y entonces cuando uno pone usuario y contraseña, tácate, te guardaron… Puede ser la contraseña del banco, puede ser la contraseña del gmail, puede ser la contraseña del facebook. En este mundo todo es plata. Las cuentas de correo valen plata. Se venden, se las pasan los hackers. Dicen mirá, yo tengo que hacer una campaña de spam, necesito cuentas. Evidentemente los que tienen cuentas viejas de gmail pueden mandar más mails por día que una cuenta que acabo de crear. Entonces evidentemente, ¿por qué me queréshackear mi cuenta? Y porque es una cuenta vieja y puedo mandar mucho spam a tu cuenta hasta que te la bloquee y no te des cuenta. Van muy de la mano el spam y el phishing porque si bien el spam es otra cosa que es que nos llegue correo no solicitado, pero el phishing se propaga a través del spam. Porque por lo general nos llega a través de un link en un correo electrónico. Esto sigue siendo un problema.Es un problema que tenemos que atender desde nuestras instituciones y desde nuestras empresas, porque tenemos que educar a nuestros usuarios. Si nosotros no queremos que nuestros usuarios caigan en phishing para que no les tomen las cuentas de correo, o no les tomen las cuentas institucionales, o no les tomen usuario y contraseña de las cuentas con las cuales acceden a nuestros servidores, los tenemos que educar y decirles bueno, mirá, esto es un ataque de phishing, son de esta manera. Ustedes cuando les llegue un correo tienen que verificar quién lo manda, si es el administrador o si no es el administrador. No hagan click en ningún lado. Si a ustedes les pide el banco que cambien la contraseña, que por lo general no lo hace el banco, pero si lo hiciera, no hagan click en el link. Vayan y escriban ustedes la dirección del correo del banco y ustedes ahí van a entrar legítimamente a la página del banco. Explíquenle a los usuarios que ustedes ni ningún administrador les va a pedir jamás las contraseñas.Y eso es educación. Nosotros particularmente tenemos una campaña que se llama “seguro te conectás”. Donde básicamente se transmiten algunos tips de cómo comportarse en internet, qué conductas tomar y esos pequeños tips nos protegen del 80% de los ataques. Es decir, teniendo una buena contraseña, leyendo quién te manda las cosas, no descargando. Con esas bobaditas uno termina protegiéndose mucho más. A veces las empresas dicen, ¿seguridad? Si. Nosotros hacemos una fuerte inversión en seguridad. Tenemos spywears, antivirus, etc. Okey pero, ¿tu usuario no sabe que la contraseña tiene que ser buena? ¿Tu usuario no sabe que no puede caer en un phishing? Y que le va a llegar permanentemente le va a llegar un phishing. Nuestro funcionario tiene que saber que eso le va a pasar y tiene que saber cómo se tiene que comportar. Porque sino esto es una cadena que no se termina nunca. Bueno, ¿con el phishing qué es lo que quieren hacer? Robarnos un usuario y una contraseña. ¿Para qué?Para impersonarnos. Nos pueden impersonar haciendo una transacción bancaria, o nos pueden impersonaractuando por nosotros en redes sociales, o haciendo transacciones. Las empresas que… Por ejemplo, hemos visto varios casos donde hay empresas que compran cosas –no sé, por decirles- en China que son baratas y hace importaciones de cosas y hemos visto varios casos donde empresas que compran sistemáticamente determinados materiales o determinados productos, en un momento el tipo le dice ah si, pero sabés que tenemos un programa en esta cuenta. Mandanos la carta a esta otra cuenta. Y es que al proveedor le tomaron la cuenta, impersona a nuestro proveedor y nos dice “te cambié la cuenta”. Y vos le giraste la plata y después cuando… Y los productos no llegan nunca. Y hay gente que les ha pasado con veinte lucas, con treinta lucas, o sea… Realmente es algo de lo que tienen que estar alertas. Es algo que pasa. Que no pasa en otro planeta. Pasa acá en Uruguay. Que yo recuerde, en la cabeza tengo tres casos que pasaron y que no había nada para hacerles. Giraste la plata equivocado en un banco en el fin del mundo y fuiste. Si te avivás rápido y pedís que tranquen las transacciones tenés 24 horas en las transacciones internacionales.No sé pero creo que el tiempo es ese y hay que estar muy cauteloso. A veces en los robos de identidad o cuando teimpersonan, no sólo te afectan a vos. Si de repente Claudio le pide el celular de alguien que yo conozco a Santiago, Santiago no se lo va a dar. Pero si se lo pido yo si se lo va a dar. Entonces de repente viene Claudio, en realidad me toma la cuenta a mí, pero no para perjudicarme a mí, para perjudicar a un tercero. Entonces, cuando a mí me roban la cuenta, no sólo me afecta a mí, afecta a todos mis vínculos. Si a mí me roban la contraseña de facebook, pueden acceder a datos de facebook de personas que son mis amigas de facebook. O si me tomás una cuenta de correo le vas a escribir a mis amigos. Entonces, no sólo me va a afectar a mí ese robo de identidad, sino que además les va afectar a las personas con las que me vinculo. Si a mí me llega un correo escrito en inglés, o mal escrito en español, de una cuenta que no conozco, ni lo abro, ni leo el texto del mensaje. Ahora, si me lo escribe Santiago… Dice, che Nacho, mandame no sé qué, o fijate el adjunto que te mando. Páh, es más difícil. Entonces, algo que le robaron la identidad a Santiago me termina afectando a mí también. De eso también tienen que ser conscientes, no sólo en las empresas sino en sus casas. Ser conscientes que las redes sociales no sólo les afecta a ustedes.

Temas de fugas de información. De esto también hemos visto varios casos. A todos nos encantan los discos duros externos. Y nos encanta tener los respaldos en discos duros externos y cuanto más grandes mejor. Eso tiene un problema. Que cuando perdemos un disco duro chico, perdemos poca información. Cuando perdemos un disco duro grande, perdemos mucha información. Fíjense que si perdemos un disco duro de 3 Tera, andá a saber qué diablos, que rayos estamos perdiendo. Yo recuerdo haber comprado en los últimos 3 años varios pendrives. Si hoy me decís, ¿dónde están todos esos pendrives? No sé si te puedo declarar sobre todos esos pendrives. Si te puedo decir dónde están los pendrives donde guardo información sensible sé perfectamente donde están. Pero no sé si todos tienen eso porque yo vivo de esto. Pero no sé si ustedes… ¿Cuántos han comprado más de 2 pendrives, o de 3 pendrives en los últimos 12 meses? ¿Ninguno ha comprado pendrives? Acá hay varias empresas. Ahí alguna mano hay. ¿Todos saben dónde están siempre sus pendrives? O hay alguno al que le perdimos el rastro hace un mes. Siempre hay alguno que se traspapela. Un disco, o un pendrive, o lo que sea. Ese pendrive tiene información. A algunos nos gusta llevarnos el trabajo para casa, a veces nos mandamos cosas por mail, a veces cuando las cosas son medio pesadas las llevamos en pendrive. Eso es algo que tienen que tener en cuenta. Cuando se pierde, no sólo perdemos la foto de los nenes sino que perdemos información corporativa. Y bueno, por supuesto a las empresas nos gusta que todo el mundo si tengo una urgencia me pueda responder desde casa, entonces llevate las cosas, llevate la computadora. Pero cuando se pierde una computadora… Si su gerente general pierde la computadora y su disco no está cifrado, es un problema mayor. Porque esas computadoras tienen mucha información. Y eso es algo que corporativamente tenemos que mirarlo, prestarle atención y saber qué vamos hacer y cómo podemos responder o mitigar los riesgos que se asocian a esto. Nosotros hemos visto casos de notebooks perdidos, etc. La información no sólo se va porque perdemos pendrives, o perdemos discos duros, o nos roban la computadora.

Otro de los grandes tipos de incidentes que nosotros tenemos en nuestras estadísticas es lo que son los compromisos de sistemas. Perdemos mucha más información, información quizás más sensible si nos pican una base de datos, o si nos pican un servidor, que un servidor de producción tiene data fresca y es la que está pasando en este momento y por lo general tenemos la base de datos suave, datos de clientes, registros médicos, lo que ustedes quieran hay en la base de datos. Ni que hablar que si tenemos que cuidar los pendrives, tenemos que cuidar los servidores. Uno a veces piensa no, que no me hackeen el servidor porque sino les corto el servicio a mis clientes. Bueno, cortarles el servicio a tus clientes es el menor de tus males. El problema mayor es que uno de repente gasta en marketing, tiene una postura institucional donde quiere transmitir confianza, donde quiere marcar una diferencia en el trato y en la calidad con sus clientes y mañana de mañana porque no tuviste una buena política de seguridad, todos tus clientes se ven afectados porque están todos sus datos en internet. Los tiene todo el mundo, cuanto gastaste, si son contadores las finanzas de aquel. Si son un banco es el secreto bancario, cuanta guita tengo.Si son una institución médica son los registros médicos y si son lo que sea es información que no es de ustedes porque es de sus clientes que todos acá deben cuidar mucho y ser muy celosos con los datos de sus clientes y quedan expuestos. Entonces, el problema cuando pasan estas cosas y mirando los casos que hemos atendido, ¿no? Es una vuelta que,¡pum! Te pegaron y se fueron y te robaron todo y ta, quedaste escrachado. Por lo general son ataques que empiezan despacito, intentan, intentan, intentan y no pueden. Prueban con contraseñas, prueban vulnerabilidades. Entran, hacen un escaneo interno, se pasan a un servidor, hasta que encuentran una base de datos y se la llevan. Entonces, ¿cómo mitigamos esto? Teniendo una buena gestión de seguridad. Mirando los logs, atendiendo todas esas cosas para detectar de manera temprana cuando hay una brecha de seguridad y poder tomar alguna acción correctiva. Ni que hablar que atrás de todo esto tiene que haber equipamiento, firewall,wav, antivirus, parchado de equipos, un montón de cosas. Pero compromiso de sistemas vemos muchas veces. Lamentablemente, a veces cuando el compromiso es tan grande que es detectable, lo peor ya pasó. Cuando un cliente tiene una vulnerabilidad, siempre hay alguien que es el primero que la descubre. Si el primero que la descubre es un chiquilín, ¡pum! Te rompe el servidor y te pone un freno. Ahora, si el que encuentra la vulnerabilidad es un tipo que vive de esto, que va a vender tu servidor en un coso para mandar spam, o que va a robar tu información para después lo que sea, nunca te vas a enterar que lo tenés adentro. Por lo general cuando van y ponen un defacement en un servidor, hacía 8 meses que había gente que se estaba llevando cosas. Claro, el que le puso el defacement les arruinó la torta. Esto no es mentira, no es de ciencia ficción. Es el 18% de los incidentes que atendemos anualmente. Bueno, los defacement no solo es,¡páh! Qué fastidio, me pusiste una… Defacement es simplemente un servidor web que cambio la página y pongo lo que se me ocurre… Desde un mensaje terrorista -que también los hay-, hasta no sé: “el administrador es un salame”. Lo que sea te pone un defacement. Capaz que vos decís y buenota, que me importa, me pusieron un defacement.Ta, voy y lo arreglo. Le digo che, guardame la página principal, poné la vieja, levantá un respaldo y está todo bien. Bueno, eso es un tema. Primero si vos hacés eso, me ponés la página de vuelta, eso significa que sacaste lo que se ve, pero acá alguien entró a tu servidor y te lo pudo modificar. Y si alguien pudo modificar algo en el servidor y te pudo escribir, antes pudo leer. Y si pudo leer y leyó todo lo que había ahí, se lo llevó probablemente. Y después queda el tema del impacto institucional que pueda tener. No es lo mismo que me hackeeny me hagan un defacement a las 3 de la mañana que no lo mira nadie, que si soy una empresa que está haciendo una campaña de marketing por ejemplo, o estoy tratando de transmitir lo que sea de fidelidad, de seriedad, de calidad, etc.Y que a la hora de las noticias me pongan un defacement terrible. Porque es a la hora del noticiero… Lo que pasa a la hora del noticiero es terrible. Porque “¡ah!, a la empresa tal le pusieron tal cosa”, o “a la institución tal”... Y lo que te hicieron en el servidor capaz que es lo de menos. Lo zarpado es como llega a afectar a la imagen institucionalque vino alguien y te pone “el administrador es un salame”. Y de repente nosotros estamos invirtiendo millones en tecnología.

Otra de las cosas que vemos que pasan y que son un problema es la falta de definición de políticas. Muchas veces nosotros creemos que los usuarios se van a comportar de determinada manera y que hay cosas que no pueden pasar, que la contraseña no se la pueden pasar a nadie. Todos sabemos que la mayoría de la gente le presta la contraseña a alguien. Porque no tiene el acceso, porque se olvidó de la contraseña, porque se le olvidó al usuario, porque necesito hacer algo rápido y entonces me está fallando, no me entra entonces, ¿me pasás? O porque simplemente para no entrar y salir de la computadora la compartimos, o lo que sea. Y no hay una política definida institucional de “esto no se puede hacer”.

Yo puedo o no puedo hacer determinadas actividades. El administrador hace los respaldos a su criterio,¿o hay una política definida de cuando los tiene que hacer? Nosotros, de repente la alta gerencia o la dirección dicen “si, me imagino que la gente está respaldando”. Cuando pasan los incidentes, la mitad de las veces no están los respaldos. Entonces guarda que no me metan un ransomware, no me comprometan el sistema y no hay respaldos si yo creía que estaban. Y cuando van les dicen, ¿cómo no respaldaron? Bueno, yo respaldo pero… Más o menos. Las políticas son básicamente el mensaje de la dirección al equipo de TI de “cómo quiero yo que vos gestiones determinadas cosas”. Pero a veces están las políticas y no están anotadas. Si, están las políticas porque vino la gente de seguridad y dijo que había que no sé, había que ponerse guante blanco para trabajar en la computadora. O cada vez que uno entraba al datacenter tenía que firmar un coso. Y si, está ahí, pero en realidad no lo cumple nadie. Por eso a veces no hay políticas. Y a veces hay pero no se cumplen. Eso también es un problema.

Otra de las cosas que vemos y ustedes también debieran tomar consciencia es que muchas veces los servidores no llevan registros de las trazas de auditoría. Casi todos los sistemas, casi todos los servicios cada vez que un usuario entra y sale,si están bien desarrollados, ¿no? O en una base de datos, o en un servidor, o en una página web, o en un correo. Cada vez que a uno se lo veía, borra o modifica, o lo que sea, se guarda en la pista de auditoria. Muchas veces esas pistas de auditoría empiezan a ocupar espacio y los administradores a veces… No nos dan suficiente cantidad de discos y como nos fastidia manejar tanta información, la borramos. Eso es un problema. A veces…, en realidad como ni siquiera las leo las pistas de auditoría, cada tanto tengo que borrarlas para no tener pistas de auditoría. Y a veces ni siquiera configura, a veces no vienen por defecto configuradas determinadas pistas de auditoría y ta y los sistemas los tienen. Y el día que pasa algo, me hicieron defacement, me comprometieron un servidor, lo primero que queremos hacer, ¿qué es? Detectar cómo rayos fue que se metieron para adentro. Porque si no sé cómo se metieron para adentro, no sé cómo evitar que lo vuelvan a hacer. “Entraron ladrones a la casa. ¿Y por dónde entraron? No sé”. Entonces ahí a uno le queda, ¿cómo sé que no me van a entrar mañana? Las pistas de auditoría lo que me permiten es eso, poder determinar qué pasó y cuándo. Por supuesto que desde el punto de vista administrativo queremos saber quién creó un usuario, quién lo borró, quién le dio permiso. Eso está todo bien. Pero para lo que tiene que ver con incidentes, para eso las pistas de auditoría tienen que ser suficientemente ricas como para poder permitirle al investigador, al técnico, al forense, al que esté atendiendo el incidente, determinar qué pasó. Cuál fue el vector de ataque, cómo entraron, cuál vulnerabilidad explotaron. Si explotaron la vulnerabilidad del servidor web, si le tomaron la contraseña a alguien, si entraron por SCH, si dentro del servidor picaronpara el servidor de al lado, todo eso tiene que estar en las pistas. Sino, okey tuvimos la desgracia de que nos tomaron un servidor pero el problema es que no sabemos cómo entraron y estamos igual que ayer. Y van a seguir entrando, y van a seguir entrando y van a seguir entrando y van a seguir entrando. Entonces, no sólo es para… Y por supuesto poder ir a la justicia si uno quiere hacer lo que sea. Sinoes bueno ta, nos fajaron. ¿Cómo evitamos seguir en esto? Lo mismo que pasaba con las computadoras con los dispositivos móviles. Todos acá tienen una computadora en el bolsillo, los teléfonos ya no son teléfonos, son computadoras. Todo el mundo tiene el correo, o gran parte de las personas tiene el correo en su teléfono. Muchas veces las contraseñas de los teléfonos son sencillas, es 1 2 3 4. Yo todavía conozco gente, a veces vamos a dar una charla o lo que sea y les pido que levante la mano quien no tiene su celular protegido por contraseña y siempre hay alguno que te levanta la mano. Seguro que ustedes conocen a alguien que dice “no, yo en el teléfono no tengo nada”. ¿No tenés nada? No tenésfacebook, no tenésgmail, no tenés e-mail, cuando perdés el teléfono no tenés contraseña o sea que cualquiera puede entrar. O la contraseña es 1 2 3 4 y le va a heder. Si tenés una Android, ¿tenés cifrada la SD o no la tenés? La mitad de los chiquilines, lo primero que hacen cuando encuentran un teléfono en el piso es sacarle la SD a ver qué tiene. A ver las fotos delwhatsapp. Es así, lo primero que hacen es leerte el correo. Entonces, tenemos los súper sistemas corporativos que para entrar tenemos que pasar una tarjeta por el molinete, para abrir la puerta también otra tarjeta, el usuario, la DGE, mil millones de controles. Eso si, me agarrás el teléfono y estoy frito. Porque tengo todo ahí. Tengo todo mi trabajo. Los datos de la compañía. Entonces bueno, tener presente eso, que tendría que tener una política corporativa es o no tener datos en el teléfono, o si tenés datos en el teléfono lotenés cifrado. O cuánto históricopodés tener en los datos del teléfono.

Después también está el tema de las notebooks. Nosotros a veces tenemos políticas corporativas que nos dicen bueno, si vos te logueásel dominio entonces te aplico un antivirus, o entonces esto, lo otro,páh, páh, páh. Y más o menos los administradores tienen controlado el grueso de las computadoras. Ahora, siempre hay algún gerente, o algún agente de de TI que le gusta su MAC o alguna cosa en particular y trae su compu o lo que sea, pero claro, como es mia no voy a instalar software. Buenota, si yo no te puedo aplicar las políticas institucional, la computadora no la traigas. Porque sino para mí sos un problema. Yo sé que vos la traés porque te gusta, porque rendís más, fantástico, pero… ¿Qué postura vamos a tener…? Y si no nos importa está todo bien, pero aunque sea tener una política institucional. Y además que todo el mundo tiene un nodo de internet en este momento en su bolsillo. Con lo cual en este momento pueden estar ustedes haciendo un ataque de negación de servicios porque también hay para teléfonos. Entonces, son un vector de ataque que camina ustedes. Todos lo son.

Monitoreo. El monitoreo es todo un tema. Realmente no nos cansamos de decir, por supuesto que queremos que pongan firewall, por supuesto que queremos control de acceso, por supuesto que queremos contraseñas fuertes, por supuesto que queremos sistemas que generen pistas de auditoría, por supuesto que las queremos guardar, que estén un año, que se preserven. Queremos sistemas que nos miren la CPU, que nos digan cuánto RAM consumimos, si hay el ancho de banda se consume si…Eso si, también hay que mirarlo. Porque de nada sirve tener diez millones de pistas de auditoría si no las voy a mirar. Muchos administradores se quedan contentos con guardarlas en algún lado. Las trazas. Muchos oficiales de seguridad se quedan contentos con exigirles a los administradores que las guarden. Ah, si las trazas están, entonces si pasa algo van a estar las trazas. Y está todo bien. Pero si no las mirás, ¿qué importan? Porque está bien que tienen que estar por si yo quiero hacer un forense y mirar en retrospectiva cuándo me atacaron. Pero también estaría bueno que yo las mirara y me dé cuenta cuando me están atacando. Cuándo mi servidor… ¿Cuándo me voy a enterar? ¿Cuándo me llegue al final que me puede hacer internet y voy a mirar y mi enlace de internet está allá arriba de consumo porque tengo una botnet? O quiero de repente monitorear el tráfico de mi red a las tres de la mañana. Porque a las tres de la mañana no hay nadie trabajando. O sea que si hay un papel que te viaja de un lado a otro, es una bot que anda por ahí o es algún servidor que está respaldando. Pero yo tengo que saber. Firewall, nos encantan los firewalls. Nos encantan los WAF, que son Web Application Firewall. Eso si, si no les mirás las trazas para saber cuándo te la están dando, no te sirve para nada. Si te están escaneando permanentemente en una IP, en una IP, en una IP.Y te están haciendo fuerza bruta y buscando la contraseña y prueban AAA, BBB, CCC, 1234, y prueban todas las combinaciones posibles.Los locos tienen todo el tiempo del mundo. Además el ataque de fuerza bruta te lo están haciendo desde marzo del año pasado. Pero como yo nunca miro mis logs nunca me voy a enterar. Entonces, esas son cosas que hay que ver y son súper importantes. La mitad de las veces… La mitad no, en el 99,9% de las veces que las trazas están, los datos de que tuviste todas las oportunidades de mirarlas y darte cuenta que estuvieron a punto de dártela.

Entonces, hablamos de riesgo, ¿no? Y hablamos de… Cuando nosotros evaluamos el riesgo, lo primero que vimos es el valor que tiene la información y la tecnología de la información de una organización. Ese es el valor del impacto que yo estoy protegiendo. Vimos todas las amenazas que tenemos. Es decir, todo lo que vimos, lo que son los malwares, lo que son las botnet, lo que son todos los posibles ataques y vimos lo que son las vulnerabilidades. La ecuación de riesgo de seguridad de la información es eso, es el producto entre el valor de lo que yo protejo, el nivel de amenaza y la vulnerabilidad. Sobre el valor de lo que yo protejo, yo no puedo hacer nada. Al revés como empresario, ¿qué quisiera? Que valga mucho más. Porque lo que estoy protegiendo es un activo de mi organización. Si mi página web no la ve absolutamente nadie, el valor es cero, no pasa nada y si me la hackean vale cero. Pero si yo como empresario mi objetivo es que mi página web valga cero para no tener riesgo, no soy un buen estratega. Entonces, ¿cuánto vale la aplicación para proteger la página web de PedidosYa? Vale mucho. Entonces como vale mucho aumenta el nivel de riesgo. Después tengo el otro factor, la amenaza. ¿Qué puedo hacer yo ante una amenaza? No puedo hacer nada. La amenaza es que haya atacantes, que haya alguien que me quiere hackear. Que haya ciberdelincuentes. Que haya chiquilines -como decía Nacho- que me quieran atacar. Yo no puedo hacer nada. Eso va a seguir estando ahí. Yo no voy a poder decir “a chumbear no vale”, como se hace en el fútbol. No, va a seguir estando la amenaza. Entonces yo sobre lo único que voy a poder trabajar es sobre la vulnerabilidad. Yo sobre lo único que puedo trabajar es sobre qué tan expuesto o no me encuentro yo y se encuentra mi organización. Entonces, como los súper callados están y ustedes no preguntan nada, les voy a empezar a preguntar yo. Para ver si generamos un poco de…

¿Cuánto tiempo tomaría desarrollar una política, una estrategia de ciberseguridad de una organización de unas 400 personas? Números.

Depende de la Gerencia. O de la Dirección.

A ver, si. Dame un ejemplo de una súper Dirección y un ejemplo de una horrible Dirección.

Una Dirección que no está comprometida con la seguridad, que no la entiende, que tiene cabeza vieja, va a ser el peor enemigo para cualquier organización. Entonces, el tiempo ahí te va a llevar mucho más, así seas un Gerente de Informática súper comprometido y que quieras llevar adelante, vas a tener las contras más grandes que puedas tener.

Bien. Ahora decime el otro caso. La dirección de la empresa en sí.

La dirección de la empresa te impulsa.

Te impulsa. ¿Cuánto tiempo?

Cuánto tiempo, ¿para?

Para desarrollar. Decir bueno, estamos medianamente con un nivel de riesgo conocido, aceptable, estamos en un lugar razonable.

Estamos hablando de un año.

Exactamente. Años. Es decir, en una organización de 400 personas, yo digo bueno, hoy yo soy el Director de la empresa. Entiendo el punto. Todavía hay directores de empresas que dicen ese no es mi problema. Eso no va a pasar.

Eso no va a pasar cuando pongo plata.

Cuando pongo plata o lo que sea, esto es un hecho y en algún momento el Director dice si, si, si, ¿sabés que estuve mirando lo que pasó conWannaCry? Entonces sí, lo que me pidas, tomá mañana que esto esté todo seguro. Porque si me hackean me despido. No. Voy a precisar un par de años, ¿por qué voy a precisar un par de años? Porque tengo que hacer todo un cambio tecnológico. Tengo que desarrollar políticas. Tengo que desarrollar cultura en la organización. Tengo que tener mano institucional. Tengo que contratar recursos humanos. Como dice Nacho, no sabés lo que es contratar recursos humanos en ciberseguridad. Lo difícil que es. No aparecen, o los que aparecen quieren ganar más plata que Bill Gates. Se te van, los entrenás y después se te van. Es un problema. Es un problema general conciencia de los usuarios, decirle mirá, vos no podés compartir más tu contraseña. Ah, no, pero no, mi contraseña la tiene mi secretaria, yo no tengo ni idea. No podés usar más el teléfono que te acabás de comprar, cuando hiciste escala en Panamá y está divino. No, no, yo me lo compré… Años toma eso. Años y toma muchos recursos. Dentro de lo que es la estrategia nacional, yo les dije, nosotros empezamos esto en el 2007. Nosotros nos basamos en 5 pilares. Nos basamos en Desarrollo en Banco Institucional. Es decir, alguien tiene que ser responsable por esto. Desde el punto de vista Estado, nosotros tenemos que generar organizaciones, tenemos que generar marco institucional para esas organizaciones, darles capacidades legales para que estas organizaciones hagan algo. Tenemos que tener un marco legal, justamente. Es decir, acá no puedo venir yo, pararme ahí en la Torre Ejecutiva y decir bueno, a partir de ahora yo hago lo que… No. Tengo que lograr… Tengo que aprobar leyes. Esto toma muchísimo tiempo. Lo mismo pasa en otras organizaciones a otra escala. Yo tengo que lograr decir bueno, esta es nuestra política, estamos de acuerdo con la Dirección y algún día la tienen que conocer todos. Esta es mi tecnología, la tengo que adquirir. Tengo que poder comprar esta infraestructura, es otro de los grandes pilares, tengo que tener procedimientos, políticas, infraestructura. Tengo que desarrollar capacidades. Generalmente cuando empiezo no tengo capacidades, tengo que entrenar gente, tengo que empezar a capacitarme, tengo que capacitar técnicos, capacitar ejecutivos, y capacitar usuario final. Y en ciberseguridad, tengo que tener una estrategia en relacionamiento. Yo no puedo trabajar sólo en ciberseguridad de espaldas al mundo. Estos son los 5 pilares, que de hecho son los 5 pilares estándar que maneja la ITU. De repente hay alguna diferencia con alguna otra estrategia. Nosotros usamos esa porque en el momento era la estrategia que existía. Entonces si esto…Yo cuando Nacho estaba hablando me acordaba de una charla que tuvimos hace un tiempo con quien era el subdirector de ciberseguridad de Israel. Entonces, si hoy empiezo a trabajar para algo que va a entrar en régimen, pongamos de un año y medio, yo tengo que especular con las otras variables de riesgo que voy a tener en un año. Las otras variables de riesgo como dijimos hoy son: el valor de las Tecnologías de la Información y el Nivel de Amenaza. Entonces yo hoy empiezo a trabajar para estimar una amenaza que voy a tener en un año y medio. ¿Qué significa esto? Esto que dice Mejora Contínua. Yo por más que los administradores quieran y por más que los informáticos y los más techis o los más gifs, que ellos manejan todo y ponen todo y yo que sé, eso no funciona y es estrictamente imposible. Tengo que tener una política y tengo que tener gestión sobre eso. Sino a los 6 meses va a fracasar y voy a empezar de nuevo y voy a fracasar y voy a estar todo el tiempo apagando incendios, corriendo de atrás lo que pasa y nunca voy a poder tener un modelo de gestión que me permita darle continuidad a esto. Entonces yo creo que ese es un punto súper importante desde el punto de vista del riesgo. Hoy trabajo para gestionar riesgos que posiblemente empiezan a entrar en régimen el año que viene. Entonces, si yo no tengo un proceso de gestión, un proceso de mejora contínua, marché. Los señores que hackean, no es el servidor que… Vieron que siempre hay entre los informáticos uno que es el loquito, que le encanta y que tiene todo, no es el servidor que está trabajando ese tipo ahora. Porque ese tipo está todo el día arriba. Está mirando los logs. O está haciendo los cosos. Está poniendo los parches, está… Ahora, cuando le digan del otro, él se fue yempezó a trabajar este otro. Y este lo va a hackear dentro de un año. Porque se olvidó, porque se desactualizó, porque tuvo alguna vulnerabilidad. Entonces hoy yo tengo una estrategia, un modelo de gestión uniforme no lo voy a conseguir. Entonces este no es sólo un tema de tecnología, es un tema de balance entre tecnología y gestión que de lo contrario no tiene sentido. Otro punto que decías es plata. Respecto a… Yo me compro un sistema que vale 100 mil dólares, ¿cuánto debería invertir en ciberseguridad? Pregunto. No hay un número mágico. Realmente no hay un número mágico, todos probamos números. Y desde el Estado es una…No, yo fabrico un auto. Bien.Le puse no sé cuánto gasté en motor, no sé cuánto en ruedas, no sé cuánto en asientos. Pero, ¿cuánto gasto en el asiento de seguridad del auto, en la parte de seguridad del auto? Esto es parecido, desde el Estado cuando nosotros tenemos que dar los presupuestos decimos, ¿qué número uso para generar ese balance? Nosotros estamos ya desde el año pasado, no, desde hace unos cuantos años estamos manejando cerca de un 10%. El Estado de Israel por ejemplo, hizo una cosa que es muy buena. Por ley, bueno por ley no, es normativo, es regulatorio que el 8% de lo que compran de tecnología tiene que ser de ciberseguridad. Esos números mágicos son números importantes también para bajar a la Dirección. Porque,¿cuánta plata necesitás? Porque si yo te siento acá en la sala de los acusados y te digo bueno, decime exactamente qué vas a hacer, ¿cuánta plata necesitás? Es difícil esa respuesta. Entonces tengo que tener un plan, tengo que tener una estrategia y sino tengo que tener los famosos magicnumbers. ¿Qué son esos números? Bueno, los magicnumbers de las consultoras Price, Deloitte, son 20 mil dólares. ¿Qué querés hacer? Mmm, no sé… 20 mil dólares. Y más o menos con eso saben que quedan cubiertos con lo que… Entonces, esto se parece a “bueno, me voy a comprar un sistema que maneja mi depósito, y maneja mis ventas, y maneja mi logística”. ¿Y cuánto le debería…? Y “ponele” un 10%. Y con eso más o menos le pongo un farewall, y el no sé qué. Entonces, la sensación o la frustración que podemos sentir desde informática a mí, yo tengo la respuesta pero nadie me hace la pregunta. Desde mi punto de vista tengo que decir que la respuesta está mal. No estás gestionando para que te hagan esa pregunta. Porque hay una sensación de… Yo tengo la pregunta, lo que pasa que acá nadie me da respuestas. Están todos mal menos yo. Eso está mal, claramente el que estoy mal soy yo. Porque de alguna forma yo no logré gestionar suficientemente bien toda la situación como para que me hagan la pregunta correcta. Y ahí va lo que es el tema de Mejora Contínua y el tema de hay que partir de la base y esto lo vamos a tener que hacer. Lo vamos a tener que hacer hoy, lo vamos a tener que hacer mañana, el año que viene y en algún momento el que no lo haga, va a estar en una desventaja competitiva tal que… Bueno, el tema es que cuando nos lo pidan va a ser tarde. Porque lo de los backup que decía es: “¡páh! ¡Me cifraron todos los archivos! Tengo que hacer respaldo”. Bueno, ahora es tarde. Lo tendrías que haber hecho ayer. Hoy es tarde. Y lo mismo es ante esto. Bueno, yo queiro estar protegido a partir de mañana. No, hoy es tarde. Tenemos que empezar hoy para conseguir algo a futuro. Entonces, este es uno de los puntos que quiero marcar y destacar. El proceso de mejora contínua es un proceso que lleva tiempo. Y es un proceso que durante el camino nos vamos a encontrar con muchísimos, muchísimos problemas. Problemas culturales a los que nosotros nos tenemos que adaptar. Y no podemos ser necios. Nosotros hoy… Una anécdota les cuento que nos está pasando. Nosotros trazamos toda la estrategia del Estado, de gestión de identidad de digitales, partiendo de la premisa de que las contraseñas no se compartían. Fue tan simple como eso. Dijimos bueno, las contraseñas no se comparten. Eso está en la primer hoja del libro de ciberseguridad dice “no se comparten las contraseñas”. Entonces toda esa estrategia que nosotros planteamos basados en que las contraseñas no se comparten, lo que nos empieza a pasar es que la realidad muestra que sí. “No, la contraseña de la DGI la maneja mi contador”. “Mi usuario de la DGI lo maneja mi contador”. Entonces, es una realidad.Y yo podría ponernos un balde de no, no, está el resto, los 2 millones 999 mil 999 uruguayos están equivocados, porque las contraseñas no se comparten. O decir, no. Las comparten. Voy a tener que hacer algo para… Lo cuento esto como anécdota porque justo ahora estamos trabajando en cómo generar un sistema que permita que entre yo, pero que lo diga al menos. Yo entro en nombre de Nacho, sin saber la contraseña de Nacho pero puedo hacer las cosas de Nacho. Lo cito porque la verdad que es eso. El modelo de gestor para el Estado es fundamental. Todos usan gestores para interactuar con el Estado. Fuimos por un camino, le erramos. Lo que tenemos que hacer es adaptarnos, ser ágiles en ese sentido.De lo contrario nos planchamos ahora y bueno, vamos a tener que empezar de cero y nos va a tomar años de vuelta recuperarnos.

Bueno, recursos humanos es lo que les decía. Recursos humanos y marco institucional. No tiene sentido manejar ciberseguridad, si no la maneja nadie. Si yo le puedo comprar 30 mil dólares de infraestructura, o de software, o de lo que sea en ciberseguridad, mágicamente va a quedar funcionando. Eso no va a funcionar. Puede funcionarme un día, a la semana ya tengo que traerme un organización, tengo que tener recursos humanos, que tenga gente que se dedique a ciberseguridad. Y no es barata. Acá, yo el cálculo que hago cada vez que pienso en recursos ciberpara ciberseguridad yo lo taso en 36 mil dólares al año. Yo digo bueno mirá, tengo que poner un recurso de ciberseguridad, 36 mil dólares al año es más o menos lo que está requiriendo la gente con nivel ciber para esto. Entonces, si tengo un equipo de tres personas ciber, estoy hablando de que tengo más de 100 mil dólares de recursos humanos para esto. Más de no sé cuánto en infraestructura. Acá es plata, no es gratis esto. Y hay que ponerlo en la ecuación. Y lo que ponga hoy me va a servir dentro de un tiempo.

Les cuento un poco en qué estamos ahora y quiero compartirlo con ustedes. Este año para nosotros es un año que… Uruguay viene liderando desde hace un buen tiempo la región en esto. Liderando en la región no significa demasiado porque en internet la parte geográfica es bastante intrascendente. Pero bueno, estamos bien posicionados. Nos atrasamos quizás un poco, un año más o menos, un año y algo.Hoy es el tema del músculo, hoy es el tema de la capacidad operativa. Sistemáticamente nosotros -particularmente Nacho cuando digo nosotros- cuando trabajamos aquel incidente, el incidente se podría haber previsto absolutamente. El otro día, 90 mil intentos de robar la contraseña. Porque estamos mirando el pasado… 90 mil veces alguien probó y le erró y el sistema 90 mil veces le contestó “esta no es”. Y no lo pudimos ver. No sé cómo no se pudo ver antes. Se ve la punta del iceberg. Pero acá lo que pasa que esto hace 3 meses que está comprometido y cuando vamos a ver tenían su precisión. Esto hace 3 meses, tal día a tal hora usando este método te hicieron esto y te hackearon acá. La información estaba en el sistema. La culpa era de quien estaba mirando. Entonces, cuando hablo de un músculo de capacidad operativa, la estrategia actual es bueno, vamos a estar mirando. Vamos a traer gente que esté mirando permanentemente todo lo que dicen los sistemas. Y ante una alerta actuar en el momento. No actuar dentro de 3 meses. En ese sentido este año vamos a poner en producción el Centro de Operaciones Nacional de Ciberseguridad. Cuanto me toma tener una persona mirando un sistema, y son 8 personas, y más o menos manejan… No son todos ciber pero manejan los números. Es mucha plata. Tengo que tener sistemas además que me faciliten el trabajo, 24 por 7, todo el tiempo, sábado, domingo. Cuando el tipo probó quince veces seguidas una contraseña y le erró, salte una alerta y se tome una acción. No a las 90 mil veces, cuando ya me descubrieron cual era mi contraseña. Entonces ese es uno de los puntos estratégicos que nosotros estamos pensando. Tenemos que tener capacidad operativa 24/7. Otra de las líneas estratégicas es la parte cibercrimen. Una vez que descubrimos qué pasó y quién lo hizo, tenemos que poder actuar desde el punto de vista judicial. Ahí estamos trabajando, es toda una línea junto con la Policía, junto con la Justicia y junto con la Fiscalía para decir bueno, tenemos que si alguien hace algo y genera un daño, tiene que pagar las consecuencias. Esa es otra línea. Y es una línea que está bastante inmadura en Uruguay, la parte de si agarramos a la persona que lo hizo, qué represalias se toman con él. La otra de las líneas de trabajo fuerte es “no podemos solos”. Es imposible que alguien desde un único punto a nivel nacional haga todo. Entonces hace ya unos cuántos años hablamos de nuestro ecosistema de ciberseguridad. Y nuestro ecosistema de ciberseguridad es todo un grupo de empresas, de personas, de comunidades, de lo que sea, con quienes nosotros interactuamos todos los días.

Hablando de eso mismo, el CERTUY atiende al Estado.

No. Atiende a los sistemas de información críticos a nivel nacional. Ahí la comunidad… Eso incorpora a sectores que son críticos, por ejemplo el sector financiero. Nosotros trabajamos todo el tiempo con el sector financiero público-privado. El tema es a qué le llamamos crítico. Si a vos te roban la cuenta de gmail, no vamos a responder. Si al 30% de los uruguayos le roban la cuenta de gmail, ahí respondemos.

El tema es, tengo una tesis. Recibo un ataque de ransomware en mi equipo que está… Yo quiero colaborar con el ecosistema, ¿a quién le reporto el ataque? Detecto que me están atacando, ¿qué hago? Soy privado, ¿no?

Si, ese es el punto. Al ecosistema nosotros lo tenemos dividido en verticales donde nos interesa que en cada vertical se armen comunidades desarrolladas. ISP por ejemplo. Nosotros trabajamos todos los días con los ISP. Bien, ANTEL tiene un equipo de respuesta a incidentes, TELEFÓNICA tiene otro, TELMEX tiene otro. Todos los días estamos trabajando con ellos. Los bancos lo mismo. Todos los días estamos trabajando con los bancos y con los oficiales de ciberseguridad de los bancos. Sector privado. En el sector privado hay empresas que tienen… Entonces ahí nuestro objetivo es desarrollar el ecosistema. Con esto quiero decir que no te vamos a cobrar en los impuestos una línea que diga “con esta plata de tus impuestos lo que estamos haciendo es darte respuesta porque tu jefe no te quiere dar la plata para atender la empresa”. Porque entendemos que ese no es el camino. El camino es “vamos a ayudar a que exista oferta de mercado para que vos puedas contratar una empresa que te dé servicios y vamos a soportar a esa empresa…”, si. ¿Cómo?

Bueno, esa es mi pregunta. Yo tengo mi esquema de seguridad. Y tengo la plata para gastarla y tengo todo un esquema de seguridad.

Si.

Quiero colaborar. Quiero decir, está habiendo un ataque. No quiero que me ayuden.

¡Ah! Nosotros tenemos página web, cuenta de twiter, e-mail y teléfono.

Pero yo voy a CERTUY y me pide que sea del Estado para reportar…

No, para nada. Nos puede reportar cualquier persona lo que quiera. Lo que te vamos a decir dependiendo de la empresa, es “te recomendamos contrates una empresa de servicios”. Pero el dato te lo tomamos. Si alguna vez no te lo tomamos te pido por favor que me avises.

Yo traté una vez y me piden de qué organismo del Estado soy. No me acuerdo todos los pasos que hay que dar, pero no pude reportar un incidente de seguridad.

¿Tenés evidencia de eso? Me interesa enormemente saberlo. ¿Cómo es tu nombre?

Leonardo Cabrera.

¿De qué empresa es?

SACEEM. Una empresa constructora.

¿Y te pasó eso?

No me acuerdo, pero más de una vez me pasó.

Mándanos un mail porque realmente te puedo decir… Mandanos un mail, reenvíanos esos mails, porque si pasó eso alguien del equipo se equivocó. Es decir, nosotros agarramos incidentes que nos reporta quien… Por twitter nos han reportado cosas.

Porque yo lo que veo es en las estadísticas que manejan las mías, por ejemplo. Y yo quiero darlas.

Ta, contá con eso. Mándalos y lo primero es… Acá están nuestras cuentas de mail, ¿no? Y mándalos tanto a Nacho como a mí, los mails cuando te dijeron que no por si eso pasó alguien cometió un error. Porque no debería ser así. Es decir, el CERT… Y esto es parte de la base, y es un tema casi filosófico, ¿eh? Es como los bomberos. Entonces, no puede haber un formulario, no puede haber un… Si a vos se te está incendiando la casa, o te está pasando algo, vos tenés que poder reportarlo como sea, no importa la manera. Y todo el equipo busca como sea, de rumores, me enteré que tuvo un problema la empresa X, de hecho nos pasó ahora con WannaCry, levanto el teléfono y “che, ¿puede ser que hayas tenido un problema? ¿Precisas algo? Esa es nuestra forma de trabajo. Si alguna vez vos mandaste y te dijeron no porque no sos…, ni te acepto la información porque no sos del Estado, alguien se equivocó. Lo que si te puede pasar es, “preciso que me arregles este problema”. No mira, ese servicio no lo damos, te recomiendo que contrates a alguien para que lo haga. En ese “te recomiendo para que contrates a alguien para que lo haga” hay un tema de interacción. Entonces lo que este año… Todo esto que estoy diciendo está en la agenda digital, está todo estipulado, año y fechas de cómo se va a hacer. El año que viene nosotros lo que vamos a incorporar es lugar físico para ese ecosistema. Nosotros lo que queremos decir es, hoy el ecosistema existe, tenemos que mejorarlo, mejorarlo, mejorarlo. La oferta de empresas que dan respuesta de incidentes o soportes sobre seguridad informática, hoy no es tan grande como me gustaría. Pero lo que si sabemos es que tenemos que estar cada vez más cerca de ellos. Y sabemos que no son tantos. Hoy si contamos, debe haber máximo 20 empresas en todo el país que son las que dan ese tipo de servicios. Por lo tanto, si yo tengo un espacio físico para 20 personas, o para 10, yo los quiero tener conmigo. Los quiero tener al lado del equipo de él. Quiero que cada vez que alguien que está 24 por 7 detecta un problema en SACEEM. Y mira, yo tengo la empresa de soporte acá. ¡Ché! ¡Mira, SACEEM! Veo que… Nosotros tenemos monitoreo sobre el espacio entero de direcciones públicas de Internet de Uruguay. Nos llegan reportes de distintas holdiest, todo el tiempo. Entonces digo mira, acá está SACEM que detectamos que está dentro de una botnet. ¿Quién le da servicio a SACEM? O te notifico a SACEM, che mira, a mi me da servicios Pepito S. A. Ta, lo tengo acá, lo conozco. Estoy tomando café en los breaks con él, almuerzo con él. Nuestro objetivo es tener a la comunidad que esté absolutamente integrada con nosotros. Integrada no quiere decir coordinada. Hoy coordinamos. Queremos trabajar juntos, queremos que realmente haya un ida y vuelta. En esa línea, otro de los temas de este ecosistema es cómo trabajar en el sector privado de las empresas. Entonces somos el Estado y tenemos que tener una forma razonable para trabajar con esto. Nosotros copiando a otros países en algún momento traje una propuesta y dije merecería buenísimo, todas las empresas que tengan determinado valor en determinadas auditorías, existen marcos de auditorías que nosotros usamos para auditar, ¿qué tal si les descontamos IVA? Me mandaron a freír espárragos, se pueden imaginar. Pero esto es lo que puede hacer el Estado. El Estado lo que tiene que hacer es promover, motivar a hacer las cosas. No hacer todo. Sería ridículo que nosotros fuéramos a una empresa y dijéramos “no, nosotros venimos acá a hacer tu trabajo y a revisar tus logs”. No. Si de alguna manera vos lo haces, yo te motivo. El tema de los 36 mil dólares por cabeza. Por ejemplo, Israel lo que hace es deducir los aportes patronales a todo el staff de las empresas que trabajen en ciberseguridad. Entonces, ¿qué hacen las empresas? Contratan gente porque les sale más barato. Nosotros lo que tenemos pensado es un plan de incentivos, que la idea sería la siguiente. Y ahí ACDE nos puede ayudar mucho. Decidimos agarrar un grupo de empresas, nosotros no la podemos seleccionar, las tiene que seleccionar la comunidad empresarial.Ya sea CUTI, LIDECO, ACDE, y con ese grupo de empresas vamos a comenzar con un plan de entrenamiento, un plan de incentivos. Les vamos a decir dame una persona, yo te la capacito. Es difícil conseguir capacitación en ese sentido. Nosotros los capacitamos, a cambio lo que pedimos es que la empresa defina una política en ciberseguridad. Como decía él, que la Dirección de la empresa diga yo esto lo voy a hacer, esto lo firmo. Perfecto, si pasamos ese paso, hacemos otro entrenamiento, te pongo determinada infraestructura, lo que quieras. A cambio de eso lo que pedimos es que la empresa dedique tantos recursos para ciberseguridad. A cambio de eso por ejemplo, ¿precisás monitoreo 24 x 7? Bien, nosotros si querés te monitoreamos y te avisamos si algún sistema tuyo tiene alertas. A cambio de eso lo que pido es… Y la idea es justamente trabajar de esa manera, en un modelo donde nosotros acompañamos y estimulamos el crecimiento en ciberseguridad dentro de los sectores privados y lo que ganamos a cambio es mejorar el nivel de seguridad del sector privado. Que ese es nuestro objetivo y es nuestro cometido por ley, para eso nos pagan. Preguntas. ¿Ninguna pregunta?

Vos decías… ¿Dónde va a estar la seguridad dentro de un año? ¿Cuáles son los problemas que van a haber dentro de un año?

Dentro de un año desde mi punto de vista, el nivel de amenaza va a ser mucho más alto. Mucho más alto y me parece que se va a parecer a lo que pasaba en los principios del 2000. Hoy Nacho nombró el Internet de las cosas. El Internet de las cosas genera el ataque más grande en volumen de la historia. Eso fue fines de octubre del año pasado. Que fue un ataque que tiró una infraestructura de Internet, pero también lo tiraron los twitters y no sé qué. Y eso mostró que… El ataque creo que tenía algo así como 150 mil cámaras de videovigilancia… Lo que habían hackeado eran computadoras. Digamos, eran grabadoras de dvd, ¿viste? Los sapos de MTV, ese tipo de cosas, las videocámaras. Y generaron eso. Cada vez más el problema va a venir por ese lado. Va a ser… Cuando un atacante quiera atacar a alguien, lo va a hacer. Y la probabilidad de evitar el ataque, si uno no está preparado, va a ser casi cero. Esto que pasó fue monstruoso. Y el otro punto que yo creo que va a ser un gran problema va a ser la fuga de información. En E.E.U.U. hace 2 años la mayor cantidad de fuga de información fue de un 35% creo de incidentes a fuga de información eran de datos médicos. Cuando digo datos médicos no estoy hablando puramente de la historia clínica de una persona que dice si tiene HIV, o que… Estoy hablando de datos médicos en general. Hoy la combinación de Internet de las cosas con los datos médicos, etc., genera que yo mi teléfono… Yo mi iPhone si, lo prendí de fábrica y ya empecé a contar cuántos pasos doy, cuánto hago, cuánto no sé qué. Que si tengo el programa para hacer ejercicios, para correr y que me siga con GPS. Todo eso más todas las incorporaciones de la tecnología de la medicina, Uruguay está con un proyecto muy fuerte de historia clínica electrónica. Yo creo que por ese lado va a haber un gran tema de fugas de información de ese tipo. De información personal, donde el daño es irreversible. Porque una vez que alguien liberó mi historia clínica yo no puedo… Digamos, ojalá encontremos la vara mágica y podamos decir¡ah!, se me escapó que tenías HIV. Vení que te lo curo. Ta, lamentablemente eso no lo vamos a poder ser. Yo creo que ese tema va a ser un problema. Hoy tomo ransomware, hoy no me roban la información. Hoy me piden plata para que yo la pueda volver a acceder. Yo creo que la evolución de esto es “te la robo”, pero no es que te imposibilito acceder, te la robo, me quedo con una copia y ahí vemos cómo te la vendo, o cómo te extorsiono si la querés o no. Una reflexión también en esa línea de pensamiento es la siguiente. Nosotros en el transcurso de la respuesta de incidentes, los servidores que estamos analizando, son vulnerables hace 5 años. Hace 5 años que tienen la vulnerabilidad que te explotaron hoy, que te hicieron papilla. Pero cuando miramos las trazas de auditoría, resulta que en estos 5 años nadie entró. Pero no porque no eras vulnerable, simplemente porque nadie entró. Entonces una de las cosas que estamos viendo, es que los niveles de vulnerabilidad que hay en Uruguay son altísimos. Lo que está muy bajo es el nivel de amenaza. Es decir, nosotros tenemos toda la casa abierta. Vamos a ver, hace 20, 30 años los niveles de vulnerabilidad que tenían las casas de las personas eran altísimos. Porque la gente trancaba la puerta. Lo que estaba muy bajo era el nivel de amenaza. En Uruguay pasa eso. Los servidores tienen software viejo, la gente no pega los parches, estamos repletos de vulnerabilidades. Pero tenemos esa falsa sensación de seguridad, porque como nunca nos pasó nada. Está todo bien. Y tenemos como un manto protector que… Nosotros estamos bárbaros porque no nos han hackeado. La realidad muestra otra cosa. La realidad muestra que en realidad somos vulnerables y el día que alguien venga a atacarnos nos va a hacer papilla. Siempre pasa, o cada vez que en Europa, o en Estados Unidos aumentan os niveles de seguridad sobre las aplicaciones, ya sea en los bancos o en lo que sea, los hackers, los ladrones, vienen a robar a otro lado. Si yo me dedico a robar y el banco donde lo vivo haciendo me pone un nivel de seguridad que no llego, porque no lo puedo hackear, porque metieron OTPs, autenticación fuerte, o lo que sea, digo bueno ta, ¿se me acabó el negocio? No.

Hace muchos años, ¿no? Claro, cuando empezaron a poner OTP en todos lados y autenticación fuerte, claro, vamos a robar allá. Entonces, por otro lado vemos que esto de la ciberseguridad empieza a crecer y a crecer y ya hay más gente que empieza a hablar de ese tema, para bien y para el mal. Cada vez hay más guachos que googlean dos cosas y empiezan a atacar sitios. Y cómo están nuestros sitios… Vulnerables. Ta, no sé si transmite un poco la idea de la matriz esa de seguridad, vulnerabilidad y amenaza que ta, que eso también lo estuvimos conversando en algún momento en el ámbito internacional. ¿Alguna otra pregunta?

Si, digamos, aquel que tiene la deshonestidad de replicar los archivos y luego lo extorsiona, ¿verdad? ¿Hay alguna certeza de que aún pagando el tipo aplique la misma vulnerabilidad?

No hay certeza. De hecho yo creo que… A mí me preguntaron con WannaCry, cuando pasó lo de WannaCry. Y me decían bueno, pero no, yo escuché de alguien que… Los de WannaCry inventaron algo y de repente, ¡pum! En un día bloquearon todo Europa, los buscaban todas las agencias de seguridad del mundo a esas personas y cobraban U$S 300 (trescientos dólares). No se iban a molestar a correr el riesgo… De hecho se calcula que no ganaron mucho más de 60 mil dólares. Es decir, le erraron, si vos pagabas, andá a llorar al cuartito. No hay ningún tipo de certeza de que eso vaya a funcionar.

Igual creo que para el modelo de negocio de ellos les conviene el dar la clave del cifrado, ¿no? Porque si yo tengo al de al lado mío que tuvo WannaCry, pagó y no le vino nada, a mí ni se me ocurre pagar.

Claro, lo que pasa que… El punto que yo planteé acá es si yo fuera el de WannaCry, yo no toco una computadora por mucho tiempo. Porque me está buscando el FBI, la CIA, Interpol, Europol, la Mossade, yo porque se me fue la mano. Entonces realmente es… ¿Y cómo podés prever que eso pase? Bueno, yo me interesa ganar hasta tanta plata. Y gané y me mando un “¡che!, -porque los virus no mueren, siguen dando vueltas por ahí- tengo un rescate de U$S 300 (trescientos dólares) en Uruguay. ¡Páh! Yo ya ni tengo, ni me acuerdo de la clave de eso. Bueno, ya está, marchaste. Más allá de los modelos de negocios, que tengo que cumplir… Eso es muy relativo. Es verdad que ocurría que en muchos casos la plata se devolvía, pero no hay ningún tipo de certeza de que eso vaya a ocurrir. Y a medida que esto crezca además, lo más probable es que sea cada vez peor. Capaz que el primero que lo hizo cumplía, el segundo, el tercero, el décimo. Pero cada vez menos, y cada vez va a ser algo de “tiro” y capaz que rescato un poco de plata y después abandono y salgo y dejo de exponerme para que no me agarren. Entonces realmente no hay certeza de que… Si yo digo no voy a hacer back up. Me guardo esos 300 dólares, que si me llegan a descifrar los datos, pago el rescate. No hay ningún tipo de certeza. ¿Alguna otra pregunta? Bueno, les agradecemos mucho y nuevamente un placer.