El 7 de marzo de 2017 el Principal Oficial de Información del Gobierno de Puerto Rico (CIO por sus siglas en ingles), Luis Arocho, admitió que una 'falla' ocurrida en los sistemas de información del Departamento de Hacienda era en realidad un ataque cibernetico. (Para un recuento detallado de los sucedido lea (http://periodismoinvestigativo.com/2017/03/ataque-cibernetico-pone-en-evidencia-el-precario-sistema-de-seguridad-en-el-gobierno/).

En un principio se pensó que se trataba de la infiltración subrepticia de un 'ransomware', un programa informático malicioso que utilizando criptografía amenaza con publicar la información del cliente o bloquear el acceso a ella hasta que se pague un rescate. Se solicitaron $16.8 millones para liberar los sistemas.

En los días subsiguientes el gobierno y 'expertos' en seguridad consultados por los medios de comunicación repartieron la culpa del incidente a la Junta de Control Fiscal, los consultores externos del Departamento de Hacienda, los sistemas anticuados, etc... Existe una importante distinción entre culpa y responsabilidad.

La atribución de ataques cibernéticos a perpetradores específicos es típicamente una tarea difícil en el ciberespacio, donde las identidades personales son fácilmente disfrazadas. En cuanto a los actores externos podemos revelar, sin afectar la investigación todavía en curso, que inicialmente se pensó que era un grupo de hackers de Manaus, Brasil.

Sin embargo, meses antes de la penetración del Departamento de Hacienda, expertos en seguridad de información detectaron un grupo de hackers altamente competentes del sur de Puerto Rico. Estos utilizaron un vector de denegación de servicios similar al utilizado en Hacienda para inyectar el ransomeware.

La procedencia de los hackers locales fue descubierta cuando los peritos encontraron en un 'script' del programa malicioso un archivo de texto-plano ofuscado en el vector del ataque. El mismo contenía un manifiesto ideológico, típico de los llamados 'hacktivistas' y una ilustración de un coquí miccionando. El manifiesto incluía planteamientos de política internacional típicos de este tipo de activista. Se consideran revolucionarios, que en lugar de armas utilizan programas y el teclado.

En una sección del manifiesto expresan que no hacen falta las armas de destrucción masiva, que sus armas de destrucción masiva son los teclados que son capaces de infringir más daño. Además de la competencia tecnológica de estos actores externos, sin duda que factores internos contribuyeron grandemente para facilitar la ejecución del ataque.

El Gobierno de Puerto Rico no está solo en esta falta de preparación para prevenir y responder adecuadamente a estas situaciones. El año pasado los ataques cibernéticos le costaron a la economía mundial $450 mil millones de dólares y más de 2 billones de records personales fueron sustraídos por actores externos sin autorización. Según el Hiscox Cyber Readiness Report 2017, el 53% de las empresas evaluadas mundialmente no están preparadas para lidiar efectivamente con este tipo de ataque, y solo el 30% de las empresas se clasificaron como 'expertas'.

Durante el mes de Junio de este año se realizó en Puerto Rico la convención internacional más prestigiosa que agrupa a los 'first responders' (http://www.noticel.com/noticia/204185/china-y-alemania-despuntan-en-conferencia-de-ciberseguridad-en-pr.html) de incidentes de ataques cibernéticos. Asistieron más de 720 personas de 68 países. Sin embargo, a solo meses del incidente del Departamento de Hacienda, no hubo presencia de funcionarios públicos encargados de las ciberseguridad o seguridad informática.

La vulnerabilidad más grande del Gobierno de Puerto Rico, una de enfoque. Los funcionarios públicos en el área de IT no son necesariamente competentes en el área de Seguridad de Información. En Puerto Rico no tenemos en la nómina gubernamental posiciones de Chief Information Security Office, mucho menos uno al nivel CIO que pueda apoyar su misión.

Más allá de las culpas y la depuración de responsabilidades, es momento de mirar hacia al frente y comenzar a recorrer el camino para lograr que el Gobierno esté preparado para atender estas emergencias, que indudablemente continuaran ocurriendo. Según fuentes en el gobierno, ya están encaminados estos procesos.

No podemos seguir operando de forma segregada en cada una de las agencias y corporaciones públicas. La autoridad y competencias adecuadas deben ser conferidas al CIO del Gobierno, aparejadas de recursos adecuados. Él debe liderar un esfuerzo integral para contestar de forma y manera integral dos preguntas fundamentales: cómo definimos cual data o información es crítica para el país, y cómo podemos protegerla. De esta forma concentraríamos los escasos recursos fiscales y humanos en la protección de los activos más vitales y probablemente el blanco de los próximos ataques.

Aquí les dejo algunos consejos que compartió con nosotros el Principal Oficial de Seguridad (CSO por sus siglas en ingles) de Facebook, Alex Stamos, durante su reciente visita a Puerto Rico:

Realizar pruebas de penetración constantemente

Pruebe a los empleados: phishing, social engineering, two factor phishing, dual pushes, etc…

Pruebe a los ejecutivos también: ejercicios de sobre mesa, pruebas de respuestas corporativas incluyendo al equipo legal de comunicaciones y de seguridad.

Pruebe al equipo de seguridad.

Estén dispuestos a extender las responsabilidades de los responsables de seguridad informática y ciberseguridad.

Reafirmar el compromiso de compartir información sobre amenazas de ciberseguridad y ataques entre los profesionales de seguridad, sin intermediarios.

Recientemente nos llegó información sobre serias vulnerabilidades en la aplicación que utiliza la Administración de Tribunales para los abogados que permite la divulgación de información sensitiva. Esta aplicación utiliza un sequential ID string muy débil que es provisto a los abogados y clientes para visualizar documentos legales sensitivos.

La manipulación de este string utilizando formulaciones matemáticas sencillas es posible. La mejor receta para protegernos del Coquí Miccionador es enfrentar el problema de la ciberseguridad como un proceso continuo y no como respuestas aisladas a incidentes puntuales.

*El autor es Consultor Internacional de Seguridad de Kell-Cumming.