Home Entrevistas Katherina Canales, Jefa del CSIRT de Chile: “La ingeniería social y el...

Katherina Canales, Jefa del CSIRT de Chile: “La ingeniería social y el phishing son las amenazas más comunes a la seguridad cibernética”

Por Jorge González.

La jefa del departamento CSIRT (Equipo de Respuesta Ante incidentes de Seguridad Informática) de la Subsecretaría del Interior del Gobierno de Chile, Katherina Canales, dijo a Ciberseguridad LATAM que durante la pandemia por Covid-19 “la ingeniería social y el phishing son, por lejos, las amenazas más comunes a la seguridad cibernética”, y reveló que en el marco del estallido social que afectó a ese país “el DDoS (ataque de denegación de servicio distribuido) se volvió la herramienta del hacktivismo por excelencia”.

Canales, reconocida por la Alianza Chile de Ciberseguridad como mujer influyente en el sector, entre sus misiones tiene las de coordinar el funcionamiento permanente y eficiente de las redes del Estado(NOC), y supervisar la seguridad de la Red de Conectividad del Estado (RCE) y la operación continua de las respuestas ante incidentes en las entidades que monitorea el gobierno de Chile.

¿Cuáles son los delitos de ciberseguridad más comunes en Chile durante la pandemia?

La ingeniería social y el phishing son, por lejos, las amenazas más comunes a la seguridad cibernética. Lo son en tiempos normales, pero en pandemia han adquirido un estatus de peligrosidad aún mayor, porque han sacado provecho de la condición de angustia, de los problemas económicos que ha generado la crisis, de la incertidumbre que genera en la población no saber cuándo finalizará la cuarentena y de la desinformación en torno a las nuevas condiciones de vida a distancia que estamos creando a través de los medios digitales. Todas estas condiciones facilitan la propagación del phishing.

Lamentablemente, las campañas se han multiplicado en la medida que surgen nuevos beneficios sociales para mejorar las condiciones de vida. Resulta una paradoja, pero las personas a veces confían demasiado en medios no oficiales para nutrirse de información, lo que las lleva a confusiones. Y luego tienen que lamentarse porque han sido víctimas de algún fraude.

“Los avances tecnológicos regularmente ponen a prueba a la seguridad”.

Nos hemos encontrado con muchos Smishing, por ejemplo, vía WhatsApp, que se van traspasando de persona a persona. Si te llega información de un conocido, tú no desconfías. Si esa información dice que hay una oportunidad de trabajo, o que están entregando una ayuda, incluso si es por un incentivo para obtener un beneficio para pasar mejor la cuarentena o que un servicio de streaming está entregando cuentas gratis con solo proporcionar tu información de contacto, las personas tienden a creer que eso es cierto y no dimensionan el riesgo al que se pueden exponer.

Tras el estallido social en Chile, ¿como respondió el CSIRT?

El estallido social nos encontró con una madurez ya adquirida como institución. Fue un poco sorpresivo, en el sentido del aumento y el tipo de las amenazas. Hasta esa fecha nos habíamos acostumbrado a ataques que perseguían fines económicos. En ese sentido las campañas de Phishing con malware, especialmente Emotet –que siguen siendo las más peligrosas del ecosistema de seguridad- y los ransomware, eran las actividades más difíciles que habíamos enfrentado. Pero luego despertaron otro tipo de acciones, que solo se habían dado de manera esporádica, como los ataques de DDoS.

El DDoS se volvió la herramienta del hacktivismo por excelencia y, junto a ella, los intentos de exfiltración de datos, que resultó ser el tipo particular de delito que realmente afectó al sistema.

Como Estado, aquellos sitios que se encontraban bajo nuestra protección, pasaron la prueba. La afectación fue muy limitada, y las contadas veces que hubo entidades afectadas, rápidamente logramos reponer los servicios. La verdad es que después de los primeros dos o tres días, si bien hubo muchos ataques de DDoS contra el Estado, estos no podían interrumpir los servicios. En los meses que siguieron, el ritmo de ataques contra los blancos del Estado ha ido disminuyendo, porque las capacidades técnicas y las reglas de nuestro Firewall soportan este tipo de amenazas.

La exfiltración de datos fue otra historia. Carabineros de Chile, que es nuestra policía, fue víctima del mayor ataque y una gran cantidad de datos se hicieron públicos. Después de eso, Carabineros tomó la decisión de incorporarse a nuestra red. Hasta ahora esa asociación ha demostrado ser bastante beneficiosa para ellos.

“El hacktivismo es muy popular entre ciertos grupos, sobre todo los antisistema y contrarios al gobierno, o a todos los gobiernos e instituciones tradicionales”.

Pero más allá de los episodios en general, nosotros nos dimos cuenta que estábamos preparados para desafíos mayores. Respondimos con eficiencia a los ataques y ello aun cuando ninguno de nosotros había estado sometido a la tensión y presión de ese momento. Respondimos muy bien en el ámbito de nuestra competencia. La operación de los servicios públicos, y de la economía en general, no se vio interrumpida y, en ese sentido, cumplimos la misión que teníamos en ese momento.

¿Qué convenios firmó Chile con otros países respecto de la ciberseguridad?

En ciberseguridad hemos firmado 8 convenios. Me gustaría decir que hemos sacado un uso provechoso en todos, pero siempre hay algunos que han sido más beneficiosos que otros. Eso tiene que ver con el formato del acuerdo y de la época en que se generó.

Por ejemplo, tenemos acuerdos con la OEA, España, Israel, Colombia y Ecuador, entidades y países con los cuales tenemos un dialogo bastante frecuente. Mientras que con Argentina, Reino Unido y Estonia, recién nos encontramos vinculándonos. Con los tres primeros, hemos realizado un trabajo continuo. En conjunto con la OEA, por ejemplo, organizamos un Simposio de Ciberseguridad de la OEA en Santiago, el año recién pasado, en el que reunimos a representantes de todo el continente e invitados de Europa y Asia. Fue un evento muy grande y altamente valorado.

Con España, por ejemplo, hemos tenido la oportunidad de participar en múltiples cursos de capacitación, reuniones bilaterales con CCN-CERT y también con Incibe, sus dos mayores exponentes. Recientemente me tocó participar en un panel sobre equipos de respuesta en el Summer Bootcamp de forma virtual. Ellos además colaboran con nosotros con información de concientización y seguridad, con mucha frecuencia. Con Israel, por otra parte, hemos implementado un MISP –también lo tenemos con la OEA- y nos han invitado a capacitar a nuestros profesionales en sus centros. También hemos tenido la oportunidad de recibir a algunos de sus delegados acá en nuestro CSIRT. Y por cierto, compartimos información relevante.

Con Ecuador el diálogo es un poco diferente. Nosotros colaboramos con ellos en sus esfuerzos por desarrollar su SOC, sus políticas de seguridad y campañas de concientización. Antes de la pandemia, incluso habíamos acordado que una delegación de ese país nos visitara, pero las circunstancias impidieron que eso se concretara.

Nuestro interés es que estos acuerdos no sean un simple documento con una firma. Nosotros queremos que presten una utilidad, y a hoy, a través de los MISP, tenemos una infraestructura digital sobre la cual construir una relación permanente y concreta, de beneficio mutuo, con resultados que se pueden medir en el tiempo, y que prestan un servicio que no se debiera interrumpir por los cambios políticos o sociales, porque es algo estrictamente técnico.

¿Qué amenazas surgen como patrones de ataques?

Nuevamente, puedo mencionar al phishing. Este ataque tiene tres tipos principales de patrones. Uno se podría definir como el caso clásico de ingeniería social, en el que el atacante, simulando una falsa identidad, trata de persuadir a la víctima para que crea una historia bien elaborada, que puede ir desde una herencia, la oportunidad de un negocio, una misión espiritual, pero que incentiva en su mensaje el interés de la persona que lo lee. Este se ve persuadido a entablar un contacto, y en medio de ese intercambio, el atacante va solicitando información y dinero de la víctima, hasta el punto que ésta finalmente se da cuenta que ha sido objeto de una estafa.

El otro caso, el que más abunda, es el phishing en que la víctima es conducida a través de un enlace de correo a un sitio web, de un banco o servicio, por ejemplo, donde se solicitan sus datos sensibles, los suficientes como para capturar los nombres de usuario y contraseña, y a partir de esa información, la personas pierden el control de una cuenta bancaria, financiera, de correo.

Y el último patrón de ataque es similar al anterior, pero en este caso la víctima es persuadida para descargar algún tipo de malware. A veces para tomar control de su equipo como parte de una botnet y otras para ejecutar códigos maliciosos. Un ransomware, por ejemplo, puede ingresar vía phishing y recolecta información hasta que en un momento específico realiza su ataque. Pero puede estar semanas o meses dentro de un sistema sin ser detectado.

En ese sentido, Emotet es el agente de mayor peligrosidad, por ser un transportador de malware, a través de archivos Word, javascrip o pdf, por ejemplo. Pasó de ser un malware bancario, a su actual condición de transportador de otros malware por su versatilidad.

¿Existe el hacktivismo en la web?

Como lo mencionaba antes, es un ejercicio que se ha multiplicado desde el estallido social. El hacktivismo es muy popular entre ciertos grupos, sobre todo los antisistema y contrarios al gobierno, o a todos los gobiernos e instituciones tradicionales. Pero su forma de actuar, por lo menos en nuestro país, se enfoca a la propaganda, muchas veces de material artificialmente creado, para dar la sensación de que se está ejecutando alguna acción. Eso genera emoción y ansiedad, pero hasta ahora ha demostrado ser más una propaganda que una amenaza. De todas formas, es de cuidado. No solo para las instituciones que se ven amenazadas, sino para el público, porque tiende a conducir la molestia del público a un fin que, en su forma y fondo, no son lícitos.

¿Hay aumento de inscripción de sitios fraudulentos? ¿Cómo se frenan?

Efectivamente hemos visto un aumento de sitios de suplantación de diferentes entidades bancarias, supermercados, de sitios de bebidas colas, servicios de streaming de entretenimiento, entre otros. Pero los que sobresalen, por supuesto, son los relacionados a la pandemia de covid-19, y últimamente, a ciertos beneficios sociales que entrega el gobierno. También hemos visto muchas campañas asociadas a beneficios de créditos especiales, y últimamente, a una legislación especial que permite retirar el 10% de ahorro de las pensiones. El riesgo es enorme en estos casos, porque se trata de embaucar a gente que necesita esos recursos.

Para detener el avance de este problema, CSIRT cuenta con dos herramientas, una para detectar el sitio fraudulento, y la otra para revocar la inscripción de ese dominio. La primer se llama “La Campana”. Fue creado por nuestro equipo de mujeres “Cyberwomen del CSIRT”. Ellas diseñaron un programa que permite detectar cada nueva inscripción de sitio web en NIC Chile, donde se inscriben todos los dominios .cl, que son chilenos, y en la medida que un sitio pertenezca a una biblioteca específica de conceptos lo notifica, ello facilita que nuestros analistas comprueben si pertenecen o no a la marca a la que se vinculan. Si no es así, disponemos de un manual de revocación de dominio, el cual orienta a la organización afectada para actuar, paso a paso, para que, a través de un árbitro, el dominio sea revocado.

“Emotet es el agente de mayor peligrosidad, por ser un transportador de malware”.

Hasta ahora ha demostrado ser un muy buen servicio, y hemos logrado advertir una gran cantidad de dominios, de gobierno e instituciones privadas que son bastante conocidas. La idea de fondo es evitar que el público que utiliza los servicios que se ofrecen en internet acudan a un sitio suplantado y puedan ser víctima de fraude. En ese sentido es una eficiente herramienta para la prevención de delitos.

Existe una estafa mediante audio deepfake que consiste en replicar con realismo la voz de los personas, una práctica que se hizo cada vez más común. ¿Cuál es su opinión?

Los avances tecnológicos regularmente ponen a prueba a la seguridad, y este es otro de esos ejemplos. En este caso estamos frente a un tipo de ataque altamente sofisticado, capaz de crear la confusión necesaria en las personas o sistemas que se activa con el timbre de la voz. La mayoría conocemos esta amenaza en un plano más teórico que práctico. En ese sentido, el riesgo más inmediato puede estar en las organizaciones que utilizan este tipo de sistemas y quienes están más expuestos son los personajes públicos y autoridades, pues existen muchos audios de ellos, por ejemplo, que circulan en la red.

Lo que hay que entender, es que las tecnologías muchas veces pueden tener mayores fines que los que en un inicio se podrían vislumbrar. Pero también debemos comprender que esas tecnologías son parte de nuestra realidad virtual y, en la medida que los programas puedan ser utilizados de forma maliciosa, tenemos la obligación de crear herramientas y protocolos. Pero, sobre todo, crear competencias entre las personas, para que sepan responder correctamente a los desafíos.



En off

¿Una comida? Carne a la parrilla.

¿Un postre? Papayas chilenas.

¿Qué país le gustaría visitar tras la pandemia? Cualquiera del Caribe (risas).

¿Una ciudad que recomendaría conocer? Matanzas, en la comuna de Navidad en la VI Región de Chile.

¿Qué libro está leyendo? La novela alemana “La villa de las telas” de Anne Jacobs.

¿Qué tipo de música le gusta? Rock and Roll, blues. Me gusta mucho la música de los 50s.

¿Un perfume preferido? L´Eau Par Kenzo.