En este último año, en Argentina los ataques informáticos aumentaron más de un 270%. Si bien importantes empresas privadas como Globant, Mercadolibre, Osde y Artear también fueron víctimas de los ciberdelincuentes, el sector más comprometido por este accionar fue el Estado. Los objetivos vulnerados fueron tanto dependencias nacionales como provinciales y municipales a lo largo y ancho de todo el país.
Entre los casos más resonantes de los últimos días se encuentra el ataque al Estado Mayor Conjunto de las Fuerzas Armadas. Afortunadamente, en este caso la Dirección de Comunicaciones e Informática del EMCO logró identificar actividad inusual en algunos equipos de la red y -actuando con rapidez- evitó la propagación de software malicioso dedicado a la modificación de archivos y posterior filtración de información.
Pero este caso de éxito es tal vez la excepción. Otros ciberataques recientes resultaron satisfactorios para los agresores, como el caso del Ministerio de Salud, donde tras acceder con las credenciales hackeadas de trabajadores de la cartera, los atacantes divulgaron información sensible de algunos ciudadanos a través de una serie de correos electrónicos. Los ciberdelincuentes también accedieron al Registro Único de Audiencias, una plataforma pública bajo la órbita del Ministerio del Interior. Allí crearon falsos registros de reuniones de figuras del espectáculo con funcionarios del Ministerio de Salud,que viralizaron malintencionadamente teniendo como único objetivo la desinformación.
El caso del ciberataque a Aerolíneas Argentinas es peculiar. Los piratas informáticos accedieron a documentación confidencial, logs en el servidor FTP y datos de más de 66 mil clientes de la aerolínea estatal. Nombres, direcciones, teléfonos, correos electrónicos y otra información, que fue publicada gratuitamente en un foro especializado. “Su seguridad es una mierda”, escribió el generoso hacker en el posteo donde compartió los links de descarga de todo este material. Aparentemente había resultado tan sencillo acceder al sistema que ni siquiera merecía la pena pedir dinero a cambio.
A estos casos podemos sumarle los incidentes sufridos en el Poder Judicial de Santa Cruz, ataques con ransomware al Senado de la Nación a comienzos de este año, al Ministerio de Economía, a la Legislatura de la Ciudad de Buenos Aires, al Poder Judicial de Córdoba, al Tribunal Superior del Chaco, la intrusión al Ministerio Público Fiscal de la Ciudad de Buenos Aires, el Conicet, el Hospital Garrahan y muchos casos más, solo para enumerar algunos de los más recientes. ¿Qué es lo que pasa con la ciberseguridad que depende del Estado?
Para el Ing. Fernando Villares, Director Provincial de Tecnologías del Ministerio de Seguridad, estas fallas son consecuencia de una combinación de elementos, entre los que se encuentra la falta de inversión.
“La gente pide que el Estado no gaste. Pero el Estado tiene mucha información importante que custodiar, y al no gastar, la falta de inversión se traduce en que tenés aplicaciones de misión crítica con información sensible que no es debidamente mantenida, y con servidores y sistemas que no son convenientemente actualizados”, explica Villares.
“A esto lo que le tenés que sumar que el sueldo que propone el Estado está tan retrasado con respecto al de los privados válidos, que no tenés profesionales que quieran trabajar con vos. Entonces no tenés profesionales, no tenés sistemas, no tenés presupuesto... Es una receta perfecta para el desastre”, ilustra.
Estamos soportando más de 200.000 ataques de denegación de servicio por hora, aunque no lo creas
“El sueldo de un buen perfil en el área de ciberseguridad está en el rango de los 5 mil dólares mensuales, mientras que un empleado con categoría 8 de la provincia, con todos los beneficios está cobrando $400.000 de bruto, un tercio de sueldo que puede conseguir en una empresa privada. Y te estoy hablando de la categoría más alta que se puede tener en la provincia. La mayoría de los trabajadores de la Secretaría de Tecnologías se han ido por sueldos de tres, cuatro mil dólares de base, es más de un millón de pesos limpios de impuestos, cuando en la provincia cobraban menos de la mitad”, agrega Villares.
Ciertamente, es imposible retener un recurso humano valioso cuando los números que se manejan por fuera del estado son extremadamente tentadores. “Tenemos un problema crítico con respecto a lo humano. Los sueldos de la provincia, a pesar de que existe una categoría que se llama Servicio Provincial de Informática que cobran casi el doble que el resto, aún así los sueldos son bajísimos. Eso nos genera un problema humano gigante, nos estamos quedando sin gente. Yo intento contratar gente y no puedo contratar porque no les interesa, el sueldo del Estado es muy bajo. Así es muy difícil, realmente muy difícil”, concluye el Director de Provincial de Tecnologías.
“La infraestructura del Estado está vieja, obsoleta, no se invierte”, reflexiona Villares. Pero no solo no se desembolsa en hardware, “tampoco se capacita al empleado público, en mejorarlo como usuario del sistema. Esa persona es propensa a cometer cualquier error y poner en riesgo la estructura”, agrega.
En el mundo de la ciberseguridad es una perogrullada que el eslabón más débil en la cadena es el usuario, frecuente víctima de phishing o fraudes basados en ingeniería social que buscan obtener sus credenciales de acceso o hacerlos ejecutar malware que permita a los atacantes ingresar remotamente a un sistema. “Muchos empleados no se lo toman en serio, y además la capacitación no es algo que mucha gente se tome a bien. Eso es algo que me llamó la atención”.
Así y todo, Santa Fe en particular parece -al menos hasta el momento- estar a salvo de los ciberataques que golpean al resto de las provincias y organismos nacionales. “Esto es porque tenemos la Ley de Software Libre”, indica Villares. “Al estar utilizando Linux como sistema operativo primario, con servidores Linux y con la mayoría de las aplicaciones críticas funcionando bajo este sistema operativo, nos deja una superficie de ataque que es bastante más pequeña que la de otros sistemas”, precisa.
“Además la arquitectura de red no está desarrollada solamente por nuestra gestión, viene de atrás, principalmente hecha por la planta permanente, bajo políticas de Estado que se mantienen de un gobierno a otro. Estas permiten que tengamos una infraestructura robusta que en este momento está soportando más de 200.000 ataques de denegación de servicio por hora, aunque no lo creas. A esto le tenés que sumar ataques de todo tipo, tanto internos y externos”, especifica el ingeniero que tiene a cargo los sistemas del Ministerio de Seguridad.
“En el Estado Nacional todavía hay muchos sistemas legacy [NdR: sistemas antiguos, heredados o desactualizados aún en uso] que siguen usando Windows y que están hace rato sin capacidad de actualizaciones. Son muy vulnerables y en algún momento se la van a pegar. Es una cuestión de tiempo nada más. De hecho, todos los sistemas son vulnerables, hay que estar preparados”, alerta Villares. “O el robo de credenciales a través de alguna macana que se mande alguna persona, eso hay que tenerlo en cuenta. Es cuestión de tiempo, como te digo”, advierte.
A principios de julio de este año, el diputado provincial Oscar Martínez (FR-PJ) ingresó en la Cámara Baja un proyecto que procura establecer un Centro Provincial de Ciberseguridad que brinde servicios proactivos y reactivos, tanto para prevenir incidentes de seguridad o, en caso de producirse, reducir su impacto y actuar en la respuesta. Algo que en la industria de la ciberseguridad se conoce como CERT o CSIRT, un equipo de respuestas ante emergencias informáticas. Villares es un tanto escéptico sobre la posibilidad concreta de llevarlo a la práctica.
“Un CSIRT bien hecho requiere equipamiento, software de gestión de incidentes, sistemas de información de incidentes... Sale millones de dólares, porque no lo podes hacer así nomás. Necesitas cambiar la infraestructura de la provincia, crear todo una estructura que funcione lateral y transversalmente a todos los ministerios y a todas las áreas. Eso sin tener en cuenta los sueldos. ¿Qué va a pensar la gente cuando vos le pones empleados con salarios que son del nivel de un ministro o de un gobernador?”, explica.
Por diversos motivos, el escenario de la ciberseguridad estatal es complicado. Las últimas informaciones indican que el Comité Federal de la Función Pública quiere pedir una Ley de Emergencia Informática. ¿Servirá de algo? Poco probable. No es más que una formalidad burocrática que corre detrás de hechos que necesitan proactividad, y sobre todo, financiación. La ciberseguridad es un tema mucho más complejo que eso.