Home Entrevistas Pablo Romanos, fundador del proyecto CROZONO: “La ciberseguridad ha ido tomando gran...

Pablo Romanos, fundador del proyecto CROZONO: “La ciberseguridad ha ido tomando gran relevancia con la gestión actual de gobierno”

Por Jorge González.

(ESPECIAL). El ingeniero electrónico Pablo Romanos, fundador del proyecto Crozono, un framework diseñado para ejecutarse en vehículos aéreos no tripulados (UAVs, drones en general, robots y prototipos comandados a distancia), con el objetivo de acceder a una red interna y adquirir evidencia forense relevante para una investigación judicial, dijo que la ciberseguridad “ha ido tomando relevancia en estos últimos años con la gestión actual de gobierno”.

Investigador y Docente de UADE, Maestría TIC (Tecnología Informática y de Comunicaciones) y Maestría CIO (Dirección Estratégica de la Información), Pablo Romanos es Responsable de Planificación del Centro de Ciberseguridad (BA-CSIRT), y miembro del comité de ciberseguridad para los Juegos Olímpicos Buenos Aires 2018.

“Hace un tiempo que Argentina viene trabajando en temas de ciberseguridad, desde la creación en noviembre de 2016 del Centro de Ciberseguridad del Gobierno de la Ciudad de Buenos Aires con foco en la atención de ciberincidentes que afecten a los ciudadanos”, expresó Romanos en la entrevista concedida a Ciberseguridad LATAM.

¿Cómo nace el proyecto CROZONO y cuál es su objetivo?

CROZONO nace a partir de un proyecto de investigación académica en la Facultad de Ingeniería de la Universidad de la Marina Mercante, con el objetivo de demostrar cuál es el comportamiento de los mecanismos de defensa perimetral frente a situaciones extremas.

Luego de ser presentado en numerosos Congresos y Seminarios de actualización tecnológica tanto a nivel nacional como internacional (Ekoparty Security Conference 2015, Black Hat Europe 2016, IEEE, etc.), y a partir de varias solicitudes por parte de Fuerzas de Seguridad y Fiscalías, surge la necesidad de empezar a desarrollarlo tecnológicamente.

Se trata de un framework diseñado para ejecutarse en vehículos aéreos no tripulados (UAVs, drones en general, robots y prototipos comandados a distancia), con el objeto de poder realizar de forma completamente automatizada el reconocimiento y selección de infraestructuras de seguridad inalámbricas, traspasar su seguridad perimetral, acceder a su red interna y adquirir evidencia forense relevante para una investigación judicial.

Desde el conocimiento de ciberseguridad de cómo se realiza un penetration test o una auditoría de seguridad perimetral, nos planteamos por qué no usar los últimos avances tecnológicos para realizar esta actividad desde un drone o un robot de forma completamente automatizada.

CROZONO permite sobrevolar o rastrillar un área geográfica, identificando el objetivo y posteriormente “romper” la contraseña del punto de acceso WiFi seleccionado, acceder a su red interna, tomar el control de un equipo y recolectar evidencia digital forense que podría formar parte de una investigación judicial.

¿Las fuerzas de seguridad pueden realizar allanamientos remotos frente a casos de narcotráfico o pedofilia?

Hoy en día es posible pedirle a un juez el rastreo de una dirección IP. Sin embargo, el juez podría no tener mucha idea de lo que se le está pidiendo. Esto, en un mundo sujeto a vertiginosos cambios tecnológicos, es grave, porque la investigación pasa a depender de un perito informático o del accionar de fuerzas especiales. Argentina tiene una Ley sobre Delitos Informáticos que cumple con todos los requisitos que exige el Convenio de Budapest, y a pesar de que pueda requerir reformas o aclaraciones, la ley existe. La participación de Argentina en el Convenio de Budapest continúa con la política que lleva adelante el Estado Argentino en materia de lucha contra los delitos informáticos y obtención de evidencia digital que se considere relevante para una investigación. A pesar de que hay voluntad política para tomar ese camino, siguen existiendo numerosos fiscales y jueces que se resisten al cambio.

El allanamiento remoto se da mediante la ejecución de un procedimiento que permite la recolección de evidencia digital de forma remota. En este sentido, CROZONO permite aplicarlo técnicamente y facilitar las tareas investigativas que de otro modo no sería posible realizarlas.

El personal de la Dirección de Cibercrímen de la Policía de la Ciudad, a cargo del Comisionado General Carlos Gabriel Rojas, viene haciendo pruebas desde el año 2016 y ha empleado CROZONO en varios operativos, como herramienta de exploración con ciertas restricciones y consideraciones especiales. El uso no autorizado de CROZONO (es decir sin una orden de un Juez) como herramienta de intrusión o allanamiento remoto, podría constituir un delito según la ley argentina (cfr. Art 153 Código Penal modificado por la ley 26.388). A esto se suma la legislación provisional sobre el uso de dispositivos no tripulados de la ANAC – Res. 527/2015; la Disposición 20/2015 de la DNPDP sobre recolección de información personal mediante el uso de VANTs (vehículos aéreos no tripulados) y lo establecido en la ley de Inteligencia Nacional 25.520 Titulo VI.

Ciberdelincuentes podrían robar información a través del uso de este tipo de herramientas. ¿Cómo se protege a una planta industrial de una eventual acción de este tipo?

Esta pregunta está directamente relacionada con lo pronunciado por el presidente hace unos días. Éste sería uno de los nuevos roles de las Fuerzas Armadas, en el que tendrían bajo su órbita la custodia de “objetivos estratégicos” para el país. El Poder Ejecutivo tendrá la facultad de identificar los puntos a proteger por defensa nacional, y que podrían ser desde reservas de recursos naturales, hasta infraestructuras críticas como son las centrales termoeléctricas, las represas y edificios estatales de carácter sensible.

Es importante destacar que CROZONO solo puede ser empleado por Fuerzas de Seguridad, Fiscalías, Organismos de Defensa o de Seguridad Nacional. El framework no se encuentra disponible para ser utilizado por organizaciones privadas, y la mejor forma de protegerse frente a este tipo de ataques es seleccionar contraseñas de uso y administración robustas. Frente a este control, sería extremadamente difícil ganar acceso no autorizado a la infraestructura inalámbrica.

¿Cree que la ciberseguridad ya está siendo tratada como un problema de la agenda pública en Argentina?

Hace un tiempo que Argentina viene trabajando en temas de ciberseguridad y ha ido tomando gran relevancia en estos últimos años con la gestión actual de gobierno. Desde la creación en noviembre de 2016 del Centro de Ciberseguridad del Gobierno de la Ciudad de Buenos Aires se puso el foco en la atención de ciberincidentes que afecten a los ciudadanos. Posteriormente, en marzo de 2017, la creación de un comité gubernamental integrado inicialmente por los ministerios de Modernización, Defensa y Seguridad, bajo la órbita de Modernización (Decreto 577/2017), para proteger de ciberataques a las infraestructuras críticas relacionadas con los servicios vitales para el país (información, energía, finanzas, transporte), acompañado de la elaboración de una normativa que permita la operación de infraestructuras tecnológicas seguras, la persecución del cibercrímen y la defensa nacional en casos de ciberataques. En octubre de 2017, se creó el comité de respuesta a incidentes por parte del Ministerio de Seguridad, con el objetivo intentar reducir la probabilidad y la gravedad de incidentes informáticos. Por último, la participación de Argentina en el Convenio de Budapest, con lo que reafirma de algún modo la decisión política que lleva adelante el Estado Argentino en favor de la ciberseguridad y en contra de los delitos informáticos.

¿Cómo está Argentina con respecto al mundo en cuanto a los estándares de seguridad informática?

Argentina posee acciones muy concretas relacionadas a los lineamientos internacionales en materia de seguridad de la información y ciberseguridad.

El principal estándar a nivel internacional aceptado en el área de seguridad de la información corresponde a la familia ISO 27000. ISO (International Standard Organization, Organización Internacional de Estándares), es una organización especializada en el desarrollo y difusión de estándares a nivel mundial.

Sus miembros son organismos nacionales que participan en el desarrollo de normas internacionales a través de los comités técnicos establecidos para tratar cada campo en particular. En el caso de la familia ISO 27000, colabora la IEC (Comisión Internacional Electromecánica), que prepara, coordina y publica a nivel mundial estándares en el campo de la electrotecnología. En Argentina, el órgano que representa a ISO/IEC internacional es IRAM, Instituto Argentino de Normalización y Certificación, del cual tengo el orgullo de formar parte del comité de seguridad de la información desde hace más de 10 años. IRAM publica en formato de norma argentina, aquellos estándares de la serie ISO/IEC 27000 que son seleccionados por el comité para su traducción y adaptación al ámbito local.

Luego también existen otras normas y regulaciones, como por ejemplo las del BCRA, Banco Central de la República Argentina, que definen requisitos mínimos de gestión, implementación y control de riesgos relacionados con tecnología informática y sistemas de información, o PCI-DSS que define los requerimientos mínimos de seguridad de los datos que debe cumplir cualquier organización que transmita, procese o almacene información de tarjetas de pago.



Entre el Aikido y el asado

Nacido en Buenos Aires, hincha de River Plate, Romanos contó que le gusta el fútbol, pero cuando tiene “algo de tiempo” practica Aikido un arte marcial de origen japonés, fundado por el Maestro Morihei Ueshiba (1883-1969) para la formación integral de la mente y el cuerpo, que busca evitar situaciones de conflicto o en su defecto, defenderse, anulando los movimientos del oponente, sin provocarle daño físico. Cuando mira carreras de Fórmula Uno, es simpatizante de la mítica escudería Ferrari.

Tiene como su comida preferida “un buen asado en el campo” y afirma que “el entorno pesa un 50%”, aunque destaca que su esparcimiento favorito es jugar con su hija. Romanos afirma que, además de Buenos Aires, su ciudad preferida en el mundo es Madrid, porque allí vivió cuatro años, y remarca que estudió ingeniería electrónica porque se dio cuenta que era algo que lo apasionaba.