Muchos países han elegido octubre como el mes de la ciberseguridad y Chile no fue la excepción al decretar la Ley 21.113, el 1 de octubre del 2018. Ahora bien, con todos los acontecimientos que han sucedido en estos últimos tres meses en Chile, en relación a ataques a instituciones del Estado como también a privados, usted ya podrá imaginarse que esta fecha no se eligió por ser éste el mes más seguro del año, ¿cierto?
Las distintas actividades que se realizan durante octubre, algunas organizadas por el Gobierno, otras por privados y otras por los legisladores, tienen como objetivo sensibilizar, informar y educar a la ciudadanía en los temas más básicos del autocuidado en temas de ciberseguridad.
Es decir, se intenta entregar pautas de cuáles son las precauciones que debemos adoptar al interactuar con las distintas tecnologías, cómo debemos comportarnos en caso de situaciones sospechosas o confirmadas que atenten contra nuestra privacidad e incluso integridad física, cuáles son los canales oficiales para denunciar actividades sospechosas o criminales en el ciberespacio, etc.
A la gran mayoría de nosotros, nos enseñaron en nuestras casas a no meter los dedos en los enchufes de electricidad, cortar la llave de paso del gas en caso de salir, no abrir la puerta a extraños que tocan el timbre, no entregar información por teléfono de donde están nuestros padres, lo peligroso que es jugar con fuego dentro de la casa, dónde debemos correr en caso de un terremoto, etc.
Todo lo anterior, es un conocimiento aprendido y traspasado de generación a generación. Nosotros se lo entregamos a nuestros hijos, ya que está en nuestra naturaleza el intentar sobrevivir a la adversidad y buscamos que ellos también lo logren. Pero, hay casos en que este conocimiento no se traspasa como desearíamos y los gobiernos generan campañas informativas para ayudar a tomar conciencia y acelerar el aprendizaje.
El mes de la Ciberseguridad busca exactamente lo mismo, no dejar que toda una generación sufra los impactos de los ataques y fraudes cibernéticos por desconocimiento, ayudando a tomar conciencia, a educar y entregar herramientas para que en el núcleo familiar se pueda conversar y generar un conocimiento perdurable en el tiempo. Entregar tecnologías a nuestros hijos implica educar y no delegar toda la responsabilidad en las empresas, empleadores o instituciones gubernamentales. La seguridad en la época de la hiperconectividad a Internet es el elemento esencial que todo ciudadano, sin importar la edad, género, profesión o nivel educacional debe aprender y aplicar en las actividades más comunes de su vida cuando se interactúan con las tecnologías.
Sin embargo, y a pesar de todas las iniciativas comunicacionales que buscan evitar impactos negativos en las personas, aún vemos desde el Colegio de Ingenieros de Chile A.G. y como representantes de la Especialidad Computación e Informática que hay costumbres que no se han adoptado por parte de las personas. Faltan procesos serios en la construcción de soluciones tecnológicas por parte de las compañías y organizaciones.
Si dejamos de lado el actuar individual de las personas y analizamos el actuar de las compañías, empresas, organizaciones, instituciones, organismos públicos e incluso los de orden público, vemos que aún existe una falta de preocupación o entendimiento profundo de las responsabilidades que se tienen que tomar al habilitar sistemas informáticos, a través de los cuales se brindan servicios muy relevantes para las personas y/o se recolecta información que se puede catalogar como privada o personal.
Esta semana, el miércoles 14 octubre, el diario online “El Mostrador” publicó un artículo titulado “Vulnerabilidad de los sistemas de seguridad de Gobierno Digital permiten a hackers sustraer las Claves Únicas de todos los chilenos“ que detalla cómo un grupo de hackers (prefiero llamarlos crackers o black hat), el 08 de octubre recién pasado, violaron los controles de seguridad de la plataforma de autenticación nacional “Clave Única”, utilizada para realizar distintos tipos de trámites en muchas reparticiones públicas del país como una identidad digital, y accedieron al código fuente de la plataforma, a las bases de datos y a las claves de todos los ciudadanos que utilizamos este servicio.
Si bien la División de Gobierno Digital, unidad dependiente del Ministerio Secretaría General de la Presidencia, responsable de la administración tecnológica de la plataforma, emitió un comunicado público indicando las acciones legales que había tomado y transmitiendo calma con respecto a lo poco útil que les sería a los atacantes el tener los password por lo “sofisticado que era el algoritmo con el cual se guardaban dichas claves”, lo cierto es que se levantaron alarmas por todos lados sobre todo, en nosotros los profesionales de la computación, cercanos a temas de seguridad informática, por lo grave del ingreso y lo profundo que podrían haber llegado los atacantes hacia los datos personales de los ciudadanos.
Y, es que, si bien es muy bueno que se confirme que las claves o “passwords” de los usuarios de Clave Única no se guardaban en texto plano, no queda claro que tan robusto es el hash criptográfico con el cual se codificaron las password.
En la medida que las capacidades de cómputo han aumentado con el tiempo y se han vuelto más baratas, algunos algoritmos que ya no entregan ninguna garantía de no descifrar la password original, como es el caso de MD5, sha-0 y sha-1.
Al parecer las “passwords” de los usuarios fueron codificadas y almacenadas con algún algoritmo de la familia de los sha-2 (siendo el sha-256 el más utilizado pero el más recomendado el sha-512) lo cual le da mayor dificultad al atacante, pero sigue sin ser garantía absoluta.
No obstante toda la atención estuvo sujeta durante las primeras horas del día en lo grave que era que se hubiese accedido a las “passwords” de las personas que utilizan esta plataforma y lo potencialmente fácil que podría ser, por técnicas de diccionario o rainbow table, que los atacantes pudieran llegar a las claves, a mi parecer este tipo de brechas de datos si son prontamente comunicadas pueden ser remediadas de manera simple: con una campaña amplia solicitando el cambio de password de todos los usuarios, o bien haciéndolo de manera centralizada y forzando el cambio sin intervención de los usuario.
Si asumimos que los atacantes ya no tienen acceso al sistema, podríamos decir que obtuvieron una “foto” de las passwords codificadas con hash no más allá del miércoles 14 de octubre; si todos nosotros cambiamos nuestras claves de manera posterior podemos mitigar muchos riesgos. Pero debemos ser claros en este punto, por muy robusta que haya sido el hash utilizado, si no se aplicó técnicas de salt se puede asumir que el atacante está en estos momentos descifrando nuestras “passwords”.
Sin embargo, lo que no se ha discutido aún en detalle, es qué tan profundo pudieron llegar los atacantes, a qué información personal tuvieron acceso y lograron robar. La información personal no la podemos cambiar como lo hacemos con las “passwords” y si en ella aparece información delicada o incluso detalles de las “transacciones” que hemos hecho en cada visita a los distintos sitios web del gobierno en donde hemos utilizado nuestra clave única, entonces estamos frente a una situación mucho más grave y delicada: nuestros datos privados están en manos incorrectas y las instituciones que debían velar por protegerlas fracasaron en sus intentos.
La mala noticia viene ahora: a las pocas horas el usuario @elturista_1 en Twitter compartió enlaces con gran parte de la información extraída.
Y la sorpresa es grande al descargar los archivos y darse cuenta que hay gran cantidad de respaldos o dumps a base de datos en texto plano donde se aprecian muchas transacciones de usuarios con un nivel de detalle muy grande en su información personal.
Complementariamente a lo anterior, se aprecia mucho código fuente de los sistemas escrito en Python, como también archivos de configuración a servicios Cloud con el detalle de usuario/password escrito en código duro.
Entonces, nos damos cuenta que el impacto en la exposición de nuestros datos es aún mayor.
Esta es aún una noticia en desarrollo y en la medida que pasan las horas, más personas que han descargado los archivos, efectúan declaraciones de los hallazgos con que se han encontrado al revisar la información que contiene. Por lo tanto, la gran pregunta es ¿Quién o quiénes fallaron en este incidente?
Y en la respuesta no debemos ser ni arrogantes ni sumisos en identificar los errores. El único propósito debe ser mejorar nuestros procesos y evitar que esto suceda nuevamente:
La División de Gobierno Digital, no tuvo medidas de seguridad más robustas que evitaran que el corazón de la identidad digital de los ciudadanos fuese vulnerado. Mucho ayudaría la implementación de un doble factor de autenticación (2FA) para no dejar a las password como el elemento único y esencial de la autenticación de los usuarios.
La Segpres y el CSIRT, no realizaron un comunicado inicial el 08 de octubre entregando más información a la población e invitando, al menos, al cambio inmediato de la password.
Los usuarios de Clave Única, que insistieron en utilizar password fáciles de adivinar en vez de aprender a utilizar gestores de claves que les generen password de al menos 15 caracteres, con letras mayúsculas, minúsculas, números y caracteres especiales.
Las personas que difunden y almacenan la información, que se hicieron parte de un ilícito replicando, a través de las redes, información personal de personas y exponiendo datos sensibles que no les pertenecen.
El Gobierno, que aún no entiende que una política nacional de ciberseguridad requiere de un rol responsable políticamente para articular en todos los ministerios estrategias y políticas claras en el corto, mediano y largo plazo.
El poder Legislativo, que todavía no le da mayor prioridad a la discusión de iniciativas legales claves para la prevención y la penalización de estos crímenes, como son el proyecto de Ley que modifica la ley 19.628 sobre la protección de la vida privada y el proyecto de Ley 19.223 sobre delitos informáticos.
En este último punto legal es donde quiero llamar la atención, las iniciativas legales que descansan en el Congreso, tienen objetivos muy importantes para nuestro país y una vez que sean aprobadas e implementadas, nos permitirán no sólo tener un poco más de tranquilidad, sino que además, podremos realizar mejores negociaciones en mercados globales, dando señales de mayor madurez en temas de ciberseguridad.
El proyecto de Ley 19.223 se encuentra en estos momentos con suma urgencia y tiene como objetivo aumentar las penas por delitos informáticos. Por tanto, este tipo de reforma busca generar un mayor desincentivo a los criminales para que no cometan estos ilícitos, dado que arriesgan sentencias efectivas más altas de las que actualmente existen en nuestra legislación. Si bien es muy necesaria, su impacto es limitado dado que apunta a los criminales por lo que la superficie de exposición es muy reducida y por tanto, el impacto final en generar cambios y disminuir riesgos no se logra del todo.
El proyecto de ley 19.628 se encuentra en estos momentos sin urgencia y tiene como objetivo generar una mayor protección de los datos personales de las personas, a través de obligaciones hacia las empresas y organizaciones del Estado, creando además la Agencia Nacional de Protección de Datos. De esta manera, se generarán regulaciones e imposiciones más estrictas en el manejo, procesamiento y almacenaje de nuestros datos que obligan a subir los estándares, aumentar la inversión e implementar controles que aseguren que nuestros datos no son modificados, ni robados, ni se pierden sin la autorización correspondiente. Este proyecto de ley logrará que al proteger mejor nuestros datos personales también se están extendiendo dichas protecciones al resto de la información que se encuentra en mano de las instituciones o empresas. Claramente, tiene un impacto más rápido y amplio en la protección y defensa de la ciberseguridad.
Los temas tratados en este artículo no son de fácil entendimiento y la extensión detallada de la información puede causar incluso una confusión mayor, pero los Ingenieros Civiles en Computación tenemos que asegurar el espacio para la difusión de estos temas, acercando las cosas difíciles a la ciudadanía.
En el mes de la Ciberseguridad, extendemos la invitación a todas las personas, empresas e instituciones gubernamentales a prestar atención a las campañas, estudiar con más ahínco el tema, dejarse asesorar por profesionales expertos e idóneos, invertir en tecnología.
Es clave acercarse a conversar con los diputados y senadores de su distrito para que apuren los proyectos de ley antes mencionados, para que nuestra identidad digital no esté nuevamente arriesgada por mentes criminales que ven en Chile, una arena fértil donde desplegar sus crímenes.
Ingeniero Civil Computación
Gerente TI senior
Presidente Especialidad Computación e Informática, Colegio de Ingenieros de Chile A.G.