El Peligro del Teletrabajo

Del teletrabajo al teledelito…hay un click

Una de las medidas que adoptaron diversas compañías como consecuencias de la pandemia del coronavirus fue, el “teletrabajo”, lo que significaba que gran parte de las actividades que a diario realizaba un empleado en su oficina, ahora, producto de las medidas sanitarias decretadas por el gobierno de Chile y de todos los países, para impedir acceder físicamente a sus lugares de trabajo, debían realizarla remotamente desde sus hogares.
Este cambio de paradigma, que tardó un par de semanas en que se aceptara como una alternativa válida para dar continuidad a las operaciones, pasó a ser una realidad y que hoy nadie discute, es más, muchos empresarios señalan que “el teletrabajo llegó para quedarse”.
Tal como llegó el coronavirus, se hizo presente el teletrabajo, así las cosas, mientras todo el mundo tiene puesto sus esfuerzos en la ciencia para encontrar la vacuna perfecta que elimine, o al menos, evite la propagación de contagios de esta terrible pandemia, por otro lado, la economía tiene que moverse, de lo contrario, la falta de recursos comenzará a escasear y a la crisis sanitaria se le sumará la crisis económica.
En este contexto las compañías se están rediseñando y las que no, no cabe duda que tendrán que hacerlo. Así los pedidos de comida por la web, dictar conferencias, discutir audiencias judiciales, entrevistar a imputados recluidos en un recinto penitenciario, atender a un paciente enfermo, incluso la televisión en los programas en vivo, parte del panel de invitados, están a varios kilómetros del set de grabaciones. ¡Bienvenido teletrabajo!.
Sin embargo hay algo que no se ha reparado y dice relación con la vulnerabilidad informática que provocará esta conectividad desde el hogar a la oficina, ya que ahora los sistemas informáticos tendrán que permitir que una conexión externa a la intranet, pueda llegar hasta los servidores donde se almacena la información sensible de la compañía.
Hace unos días fuimos testigos de unos de los peores sabotajes informático sufrido por una entidad importante para Chile, como lo es Banco Estado, donde su presidente tuvo que salir a dar explicaciones, un poco confusas, poco claras, pero tenía que salir a jugar a la cancha, donde miles de clientes tuvieron que aceptar que todas las sucursales del país no abrieran, cosa pocas veces vista y al borde de lo ilegal.

Aunque la entidad bancaria señaló que se trató de un ataque de malware del tipo “ransomware sadinokibi, donde algunas de las plataformas podrían presentar algún tipo de interferencia debido al incidente, sistemas como cajeros automáticos, la Caja Vecina, el sitio web personas y la app de la entidad no se vieron afectados y continuaron funcionando con normalidad”, sin embargo, el daño estaba hecho y la confianza, el bien más preciado que tiene un banco, se pierde.
El paso que sigue, es trabajo de los expertos, de los peritos informáticos, de la policía, de la fiscalía, auditores, entre otros, que tendrán la tarea de buscar, por un lado, a los culpables, y por otro, encontrar las causas que provocaron este ataque, para que luego, como suele ocurrir, se actualicen una vez más los protocolos, se revise la política de seguridad de la información, se dicten instrucciones, entre otros, para prevenir la ocurrencia de nuevos ataques.
Este “ciberataque”, término que se refiere a cibernética, que proviene del francés cybernétique, el que a su vez viene del inglés cybernetics y anteriormente del griego κυβερνητική, arte de gobernar. En contrapartida tenemos su antónimo “ciberseguridad”, término que se refiere a los procedimientos, métodos y herramientas que permiten proporcionar seguridad a los sistemas informáticos, las redes, dispositivos, programas y servicios, punto inicial de todas las compañías, que deben proteger su capital más preciado “la información”.
Desde que llegó la era digital, muchas de las actividades que se solían hacer del mundo “real”, se comenzaron a realizar a través de un mundo “virtual”. Así actividades como comprar, estudiar, las relaciones sociales, pagos de servicios básicos, etc., se realizan con un simple “click”. No cabe dudas que el mundo cambió, en todo ámbito de la sociedad, de tal suerte que el ladrón de ayer, que esperaba a su víctima a la salida del banco para arrebatarle su dinero, ya no necesita exponerse a ser detenido “in situ”, ahora el ladrón está “teledelinquiendo”.

¿Qué podemos hacer?
Muy poco podemos hacer como usuarios de los sistemas, por cuanto cada compañía tiene su propia política de seguridad de la información, o al menos deberían tenerla, que para el caso de varias organizaciones públicas y/o privadas, es una obligación. Sin embargo, los sistemas informáticos son complejos, la regulación es insuficiente, y los usuarios de los sistemas descuidados.
Dentro de un estudio realizado, como parte del plan de estudios conducente al magíster en ingeniería de software, denominado “las competencias del investigador de delitos cibernéticos”, pude establecer al menos tres áreas de competencias bien definidas; la informática, el derecho y la investigación de delitos.
Dentro de la primera función principal, la informática, el investigador de delitos cibernéticos, debía conocer, comprender y aplicar conceptos de software, hardware, redes, dispositivos de almacenamientos, memorias, aplicaciones, lenguajes de programación, antivirus, firewall, IPS, IDS, conectividad, y un largo etcétera., que cada uno ellos, tiene otro largo detalle, sólo imaginemos cuantos leguajes de programación existen, cada uno de los cuales puede crear una rutina de ataque cibernético.

La segunda función principal, el derecho, que enmarca toda la legislación relacionada con esta materia, nacional y extranjera, que lejos de extenderme sobre las visiones entre juristas, si es que hay que hacer una ley única que englobe todas las figuras penales relacionadas con el delito cibernético, o bien, realizar pequeñas modificaciones a las figuras penales existentes, donde se le agregue el componente “utilizando un sistema informático”. Por cierto, concuerdo con la visión que el Doctor en Derecho Informático Julio Téllez, a quien tuve el honor de tener en mi tesis de grado, quien señala; “el delito informático se materializa cuando el computador es utilizado como fin u objetivo, o cuando el computador es utilizando como medio o instrumento para cometer los delitos”.
Claro está, que son pocos los casos en los cuales el victimario (delincuente cibernético) deja una huella, que pronto se puede transformar en una evidencia digital, la cual sirva como prueba, para acreditar su culpabilidad, por el contrario, utilizará técnicas para no ser descubierto, como enmascarar la MAC del equipo con el que realizará el ataque (una máscara para que no lo vean), ingresará con una IP anónima para conectarse a la red (cambio de nombre para que no sepan quien fue), elegirá a sus víctimas, por cierto aquellas que presenten más vulnerabilidades (estudio de víctimas descuidadas), etc., es decir, las mismas técnicas que utilizan los delincuentes habituales para cometer un delito, ahora lo realizan los delincuentes cibernéticos a cientos de kilómetros.

La tercera función principal, es la investigación de los delitos cibernéticos, que combina una serie de disciplinas, que van desde la criminalística, criminología, metodología de la investigación, el análisis, etcétera, y por cierto, las técnicas propias de las ciencias de la informática.
Aquí hay una gran tarea por delante para todas las organizaciones e instituciones que están formando profesionales en parte de las competencias que debe tener un investigador de delitos cibernéticos. Así se tiene, que revisadas las mallas curriculares de la mayoría de la universidades chilenas y extranjeras, no cuentan con asignaturas o cátedras relacionadas específicamente a comprender el delito cibernético, menos aún, si cuando egresen se desempeñan como persecutores o defensores penales, o en el ejercicio libre de la profesión, puedan aplicar competentemente el “derecho cibernético”, para investigarlo o defenderlo.
Las instituciones encargadas de dar eficacia al derecho, en el caso de Chile, Carabineros y la Policía de Investigaciones, dentro de su plan de estudio de oficiales y suboficiales, no cuentan con asignaturas para enseñar a los futuros egresados, elementos de competencias para prevenir o investigar delitos cibernéticos. Doy a conocer un solo punto y mediante el cual, no hay un criterio común ¿Qué es el sitio del suceso virtual?, ¿Cómo se protege?, ¿Cómo se levanta una cadena de custodia?, si el ataque proviene del extranjero, ¿Qué policía investiga?.
Incluso en una charla que expuse ante oficiales de la Fuerza Aérea de Chile el año 2010, recuerdo que hice una pregunta que todos al unísono dijeron ¡NOSOTROS!, la pregunta fue ¿Quién es el responsable de cuidar el espacio aéreo en Chile?, pero cuando les señalé; ¿Quién debe cuidarnos de los malware, spyware y demás códigos maliciosos que transitan a diario por el espacio aéreo?, el silencio fue rotundo y las miradas de desconcierto fue total.
Esta situación no es menor en otras instituciones encargadas de la defensa nacional, como tampoco en instituciones encargadas de la seguridad interior. Por cierto, cuando fui Jefe del Departamento de Operaciones de la ex Subdirección de Seguridad Privada de Carabineros (año 2007), propuse incorporar al estudio de seguridad, que cada dos años deben actualizar los bancos e instituciones financieras, medidas relacionadas con la seguridad informática, debiendo todos los planes de seguridad contener los protocolos implementados por estas instituciones, “muy apetecidas” para sufrir ataques cibernéticos, y de esta manera prevenir que los millones de chilenos y extranjeros que depositan, no sólo sus dineros, sino también la confianza, puedan tener la tranquilidad que la autoridad fiscalizadora de Carabineros de Chile, conocida como O.S.10, al menos, hizo algo para prevenir estos delitos.
Por lo que si pensamos que un empleado del Banco Estado, fue “obligado” a
desempeñar sus funciones desde su hogar, bajo la modalidad de “teletrabajo”, donde no tuvo ninguna posibilidad de evaluar los riesgos de seguridad informática, salvo ingresar al sistema de su sucursal siguiendo las instrucciones del departamento de informática, y desde el computador personal, conectado a internet mediante un dispositivo inalámbrico, con un plan de datos contratados a una compañía de comunicaciones del país, consciente (dolo) o inconsciente (culpa), introdujo el tipo de malware detectado por los especialistas, en este caso, “ataque de ransomware1 o de rescate”, que derivó hasta el momento, en “sólo molestias”.

En España la estrategia de ciberseguridad nacional que fuera aprobada el 5 de diciembre de 2013, señala “la ciberseguridad es fundamental para alcanzar el modelo económico y social perseguido por España, puesto que su adecuado despliegue garantiza nuestra capacidad para asegurar la gobernabilidad y administración del Estado, el desarrollo de las actividades empresariales o profesionales y el normal desenvolvimiento de la vida privada”, conceptos profundos y que integran a la seguridad interior, estas nuevas formas de ataque.

1 Ataque tipo Ransomware: es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos.
A la vez, esta estrategia agrega “es el marco de referencia de un modelo integrado basado en la implicación, coordinación y armonización de todos los actores y recursos del Estado, en la colaboración público-privada, y en la participación ciudadana. Asimismo, dado el carácter trasnacional de la ciberseguridad, la cooperación con la Unión Europea y con otros organismos de ámbito internacional o regional con competencias en la materia, forma parte esencial de este modelo”.
Que duda cabe que la interconectividad es una realidad mundial, como parte de la globalización, la era digital, la era de la información, todos conceptos asumidos, incluso por aquellos que no nacimos con la tecnología, en esta guerra generacional entre los baby boomers y los millennials, por ejemplo. Ya el 19 de enero del año 2017 la Revista Forbes, sacó un artículo que decía; “Increíble como las redes sociales debilitan y destruyen, personas, gobiernos, leyes e incluso a los medios tradicionales, razón por la
cual podríamos denominarlas: El Quinto Poder”, lo que resalta lo dicho hasta ahora.

Esta semana salió a la luz por los medios de comunicación social, que la cámara de diputados había rechazado el proyecto aprobado por el senado chileno, relacionado con la “infraestructura crítica”, espero que sea por cuestiones técnicas y no políticas, ya que tal como España, en su Ley 8/2011 de Protección de Infraestructuras Criticas del 28 de abril del 2011, también conocida como LPIC, nació a raíz del Plan Nacional de Protección de las Infraestructuras Críticas del 7 de mayo del año 2007 y un conjunto de actuaciones a nivel internacional en el ámbito europeo, donde se destaca que a raíz de los atentados sufridos en Madrid, así, el Consejo Europeo del mes de junio de 2004, instó a la Comisión Europea a elaborar una estrategia global sobre la protección de infraestructuras críticas.
En Chile, el 5 de agosto de 2018 en el suplemento de negocios del diario La
Tercera, apareció como Título “Jorge Atton, el primer “zar de la ciberseguridad “ en Chile”, ello como respuesta del gobierno de Sebastián Piñera, a los dos episodios de vulneración cibernética de datos confidenciales de clientes bancarios que habrían revelado la feble institucionalidad y regulación local a este tipo de fraudes. Atton, hoy ex delegado presidencial de ciberseguridad, se refirió al incidente de Banco Estado, entre otras cosas, “hay varias leyes urgentes que deben promulgarse en la materia, siendo la más importante la ley marco en ciberseguridad”.
Tecnología para prevenir ciberataques La tecnología juega un papel primordial a la hora de prevenir ataques cibernéticos, incluso a la hora de investigarlos, claro que esto último es algo más complejo, ya que no sólo se requiere de tecnología, sino de profesionales competentes, incluso diría yo, equipos competentes. En el cargo de Jefe del Departamento de Tecnologías de la Información y las Comunicaciones (TIC) de Carabineros (2012-2014), en esta materia, logramos implementar un CSIRT, por las siglas de Computer Security Incident Response Team, bajo el mando de un Oficial Jefe e integrado por ingenieros y técnicos institucionales, como también de empresas externas, que debían velar las 24 horas por mantener la conectividad y seguridad telemática, a nivel nacional, de las operaciones críticas que tiene Carabineros de Chile. Recuerdo que los ataques a nuestros servidores eran a diario y superaban los mil por día. En el cargo de Jefe del Departamento Docencia y Telemática, dentro de la Dirección Nacional de Inteligencia (2008-2010), se implementó dentro del plan de estudios del curso de oficial especialista en inteligencia, como cátedra principal, la Inteligencia Telemática, término que acuña las comunicaciones y la informática, que bien el oficial egresado debía aplicar estas competencias dentro de su especialidad.

Recuerdo que el primer equipo UFED, conocido coloquialmente como “chupacabras”, se compró en esta gestión, equipo que tiene el propósito de servir para el ámbito de las investigaciones complejas y para el peritaje informático. También se adquirió, en modalidad de software, el Core Impact, verdadera arma de inteligencia telemática para defensa ante ataques telemáticos. Todo ello complementado con capacitación del equipo experto, con quien escribe a la cabeza, en diplomados en universidades y cursos cerrados, justamente para prepararnos para el escenario que estamos viviendo.
Uno de los sistemas que puedo dar fe de ser un aporte en materias de ciberseguridad e inteligencia, son los que posee MER Group, el llamado “Cybereason”.
¿Qué es Cybereason?
La Plataforma de Defensa Cybereason, consolida toda la información relevante para cada ataque en una vista intuitiva llamada Malop (Operación maliciosa), lo que genera una ventaja al tener el usuario una interfaz intuitiva, que lo lleva a una comprensión más rápida del alcance e impacto de las amenazas, a su vez, permite una reacción más rápida
en todos los niveles del trabajo de los analistas, lo que potencia su SOC y aumenta su efectividad.
Una vez que se recibe la alerta de ataque cibernético, la plataforma puede detener el ataque de inmediato utilizando herramientas, tales como el aislamiento de máquinas, o eliminar procesos, como asimismo, eliminar la persistencia, todo directamente desde la consola, a través de una interfaz para apuntar y hacer clic.

Imagen N°1. Plataforma de Defensa Cybereason.

Cybereason, el año 2020 recibió la clasificación más alta en la categoría de oferta actual en la detección y respuesta de “endpoints”, entre 12 proveedores de EDR evaluados, las razones principales obedecen a que esta plataforma está compuesta por una estructura orientada a la defensa de cualquier amenaza, que a través del análisis de casos, va adelantándose a la ciberdelincuencia.

Su ventaja radica, principalmente en:
Reduce tiempos de exposición y de respuesta.
Elimina costos de recuperación ante un ataque exitoso.
Contiene un ataque inmediatamente.
Conoce al detalle la actividad maliciosa en su entorno.
El cliente recibe alertas a tiempo y recomendaciones útiles.
el futuro al diseñarlo con la visión demo del mercado EDR”.

Conclusiones.
Como es posible apreciar, la estrategia utilizada por muchas compañías de permitir el teletrabajo, sin considerar de una manera profunda, las consecuencias que puede traer un ataque informático, debe ser la nueva preocupación de los líderes de gobierno y de las empresas, de exigir mayores y mejores controles en la implementación de políticas y protocolos de seguridad de la información.
Por cierto, creo que esta responsabilidad, también les corresponde a las autoridades fiscalizadores de seguridad privada del país, que exijan a los bancos e instituciones financieras, en presentar dentro del Estudio de Seguridad medidas de seguridad para prevenir ataques cibernéticos, para ello, la autoridad fiscalizadora, no debería aprobar los planes de seguridad y el estudio de seguridad respectivo, con el tradicional y obsoleto paradigma que la seguridad es “sólo física”.
Aquí cobra especial atención incorporar la tecnología adecuada que prevenga ciberataques, pero también incorporar tecnología que prevenga nuevas modalidades de delitos, como los túneles hacia bóvedas, que se pueden prevenir utilizando un georadar, cuyo certificado de aplicación, debería estar incorporado en el estudio de seguridad que presenten las entidades bancarias, porque del “teletrabajo al teledelito…hay un click”.

JUAN ANTONIO MUÑOZ CORTÉS
Coronel (R) de Carabineros
Magíster en Ingeniería de Software
Ingeniero de Ejecución en Computación e Informática
Licenciado en Administración Superior de Carabineros
Perito Judicial Informático y Perito Judicial Criminalístico

Ultimos Artículos

El Arte de la Analítica Criminal

Modelos Predictivos del Delito Utilizando Ciencia de Datos

Estado y Crimen Organizado

RESPUESTA DE LA COMISIÓN REVALORIZADORA DE PENSIONES

Prólogo – Conversando de las Policías

El Problema Pandémico del Accountability

Conversando de las Policías

Sin Defensa, no hay Justicia (parte 2)

Reformas Internas a la Gestión de Personal en Carabineros de Chile

El Peligro del Teletrabajo