Entrevista: Recomendaciones de Ciberseguridad para el Sector Público

Teniendo en cuenta el ciberataque sufrido por el Invima hace algunas semanas y la Directiva Presidencial emitida el pasado 25 de febrero que justamente hace referencia a la Ciberseguridad de las entidades públicas, consultamos a Andrés Guzmán Caballero, experto en tecnología y CEO de la firma Adalid Corp especialista en Seguridad de la Información para conversar sobre la situación y escuchar sus recomendaciones para las entidades públicas. A continuación la entrevista

Colombia Digital: ¿Qué pasó con el Invima?

Andrés Guzmán: La información pública ha sido confusa, hay una especie de Ransomware que secuestró la información y hay una parte de la misma que no se deja ver; normalmente lo que hacen los ciberdelincuentes es que cifran o encriptan por decirlo así la puerta de entrada a su información entonces si no paga un rescate que normalmente es un dinero en bitcoins, no puede ingresar para verla. ¿Qué tienen que hacer las entidades o las empresas? normalmente buscar un sistema de Backup, recurrir al que hayan generado, pagar el rescate o contratar una empresa que pueda descifrar esa puerta de entrada que fue encriptada.

Entonces lo que hemos entendido es que técnicamente lo que sucedió fue un Ransomware que cifró la puerta de información al Invima y por eso no se puede acceder a ella de forma correcta.

Colombia Digital: Vimos en los medios que el identificado en este ataque se llama Blackbyte, ¿Cómo funcionan estas modalidades?

Andrés Guzmán: El Ransomware es un software que cifra la información del cliente, los temas operativos tienen unos archivos de ingreso, de entrada. Piense en la llave de la puerta, pero lo que hacen los ciberdelincuentes por decirlo así y entenderlo muy fácil, es que cambian las guardas de la puerta para que cuando meten la llave pues no entre y el único que sabe la clave es el delincuente que cifra la información.

Entonces en realidad el no se roba la información ni se la lleva, ahí está todo, lo que sucede es que le crea una puerta de ingreso muy compleja para que quien quiera entrar de forma correcta no pueda.

Esto normalmente puede tener varios delitos contemplados en la ley 1273 que es la ley de delitos informáticos, en lo particular aquí hay un delito que técnicamente es una denegación de servicio y es que quien quiera acceder a la información no puede acceder a ella. Digamos que esto es algo complejo, descifrar esta información puede llevar mucho tiempo y tiene un trabajo gigantesco por parte de ingeniería. Lo demás es recuperar Backup y copias de seguridad que se hayan hecho.

Hoy en día la mayoría de las compañías funcionan con algo que tienen al aire y otra información que tienen guardada de Bakcup, que normalmente se hacen de manera diaria o semanal, dependiendo del flujo de trabajo.

Lo que hacen las entidades es recuperar esos Backup es subirlos, volver a prestar sus servicios y que al final la ejecución de su objetivo misional no se vea afectado.

Colombia Digital: ¿Uno ve que esto sucede en Colombia y a otras entidades a nivel mundial, se percibiría que el Sector Gobierno tiene más vulnerabilidad a este tipo de ataques?

Andrés Guzmán: Creo que es un tema de dos cosas unidas, la primera es que siempre el eslabón más débil de la cadena es humano y no técnico. Lo que hacen las entidades públicas hoy en día, aunque la verdad es que esto no solo les pasa a las entidades públicas. Las entidades públicas lo tienen que contar, las entidades privadas se quedan calladas, pero a esta compañía nos llegan muchos incidentes diarios de compañías privadas que les pasa exactamente lo mismo

Entonces las compañías piensan que haciendo grandes inversiones de tecnología al comprar unos contrafuegos o unas puertas de entrada gigantescas para la información, lo hacen todo y es mentira.

En la vida real, es eslabón más débil es el usuario y es donde más se debería invertir. En que sea más desconfiado, que revise todos los días las políticas, que entienda que es un Ransomware y cómo funciona, cuáles son esos correos falsos y como entender cuando llegan esos mensajes o qué hacer cuando hay visitas falsas en el servidor. La inversión debe ser equiparada entre la parte tecnológica y humana, sin embargo, en la parte humana las entidades se han relajado mucho y no han invertido lo que deberían lamentablemente.

Colombia Digital: Cómo entrenar a la parte humana y a los equipos de TI para que sean filtro frente a ese tipo de vulnerabilidades

Andrés Guzmán: Por pensar que el equipo de TI es solo la parte humana que tiene que ver con esto es que suceden estas cosas. ¿Por qué? Porque las entidades solamente capacitan a su equipo de TI y se olvidan de que hoy en día, desde el portero de una entidad maneja un equipo y en ese equipo registra el ingreso de todas las personas que entran a la compañía, hay teléfonos móviles en todas las personas y manejan información de la compañía por ahí, entonces las puertas de ingreso a la información de la compañía son gigantescas y son todos los usuarios.

Cuando el delincuente logra entrar a la red y llega a las puertas de entrada, por decirlo de esa manera, es muy sencillo y cualquiera con un conocimiento básico o técnico lo puede hacer, entonces el tema de capacitación debe ser completo, se debería capacitar y entrar a un proceso de sensibilización en toda la entidad desde el más bajo hasta el más alto de los cargos, cada uno a su nivel. Hoy en día la portabilidad se maneja en el celular personal hace que acceda a temas laborales desde ahí como el correo institucional, o se hablen cosas de la entidad por Whatsapp por ejemplo.

Colombia Digital: ¿Se podría decir que la situación de la pandemia y el trabajo remoto han incrementado este tipo de ataques y de situaciones que vulneran la seguridad de las empresas?

Andrés Guzmán: Considero que no, los ataques siguen siendo más o menos los mismos y las vulnerabilidades siguen siendo similares, yo creo que lo que ha hecho la pandemia es masificar el uso. Antes era excepcional verse por Teams o hacer una teleconferencia por Meet, pero hoy en día lo diferente es encontrarse. Cambiaron las cosas, eso hace que entre más consumo más vulnerables estemos todos. Ya es inconcebible que a uno le envíen una carta, ahora todo te lo envían por correo, por Whatsapp, por un chat, es más fácil, más ágil, y digamos que técnicamente seguro y esa masificación ha hecho que todos seamos mucho más vulnerables, y es un tema que aprovechan los delincuentes.

Colombia Digital: ¿Cómo se pueden prevenir este tipo de ataques, y en caso de que sucedan cómo se pueden mitigar?

Andrés Guzmán: Hay varias políticas que tiene MinTic de ciberseguridad, en particular creo que la implementación de la norma ISO 27001 es muy recomendado y hoy en día no debería haber una entidad sin ella. Lo otro es que, aunque no lo creamos, en Colombia aún existen entidades que no tienen oficial de la seguridad de la información.

El oficial de la seguridad de la información es una figura sumamente importante que debería no depender de la oficina de tecnología sino de la alta gerencia para que sea quien audita la oficina de TI, y tiene presupuesto para hacer todas las implementaciones en seguridad informática. Esto es sumamente importante para que en las entidades, el tema de seguridad de la información funcione.

Hay entidades pueden parecer arcaicas desde el punto de vista técnico, ya que todo el tema de seguridad informática depende de TI, del Director de Sistemas que es una persona que no está preparada para eso y además debe cuidar sus desarrollos y eso está muy mal.

Creo que, con esas dos bases, la de crear el del oficial de seguridad de la información, darle poder, implementarlo, dejarlo trabajar y ponerle como primera tarea implementar ISO 27001 es un super comienzo. Ese debería ser el norte de todas las entidades e incluso certificarse en 27001 la Norma ISO de seguridad informática, que funciona a nivel mundial, con políticas y mejores prácticas que son la base para implementar unos buenos lineamientos y estándares de seguridad.

Y finalmente creo que es muy importante hacer todo transversal, que no solamente sea para el equipo de TI sino para toda la entidad.

Colombia Digital: ¿Qué fortalezas y debilidades puede identificar en el sector público frente al tema de ciberseguridad?

Andrés Guzmán: La fortaleza que ya tenemos es que hoy en día somos muy conscientes, hay un presupuesto para seguridad informática, las personas ya tienen algunas bases de seguridad de la información, hay una inversión en temas de antivirus o en TI que hacen de la seguridad informática algo realmente de las entidades.

Y en las falencias la falta de continuidad en los procesos, eso es un tema técnico que requiere capacitación y gerencia y esa gerencia debe estar pensada a largo plazo, hacer planes de seguridad informática a un año es muy poco. Se deberían hacer planes de alto rendimiento y anualmente renovarlos porque a las personas se les olvidan.

A uno todos los días como usuario le dicen cambie sus claves y el primer día las cambia o cuando lo roban o le pasa algo, pero a los dos meses se le olvida y vuelve a poner la fecha del cumpleaños, el nombre de los hijos, el número de teléfono que se acuerda y es lo mismo.

Entonces esto es algo que tiene que ser de recordar y recordar todos los días para que funcione y tratar de hacerlo divertido para que al usuario le quede.

Colombia Digital: Un mensaje final para los lectores

Internet no es inseguro, los inseguros somos nosotros. Internet está diseñado como una red para comunicarse, pero como cualquier forma de comunicación, puede tener unas falencias. Uno puede conocer delincuentes en un restaurante, en la calle, en la cocina, en donde sea y debe tomar sus precauciones. En Internet pasa lo mismo, utilizar todos los medios tecnológicos, pero tratar de utilizar toda la seguridad que podamos, esa es la recomendación.

Agradecimientos: Adalid Corp