Ataques informáticos dejan al descubierto fallas de seguridad y una legislación débil para combatir los delitos online.
“Esta semana nuestro negocio se incrementó exponencialmente”, cuenta un alto ejecutivo de una empresa de seguridad informática, luego de conocerse en Chile la filtración de los datos de 14 mil usuarios de tarjetas de crédito de varias entidades financieras.
Si bien muchas de los números y las claves estaban en desuso, la situación generó alarma pública entre los usuarios y obligó a las empresas a buscar rápidamente aquellos soportes que impidan acciones como las realizadas por el grupo denominado The Shadow Brokers y que involucró a 20 bancos distintos.
Según reveló el portal FayerWayer, los hackers pusieron a la venta a través de Mega (el servicio de alojamiento ya dio de baja el enlace) en su cuenta de Twitter los datos que comprenden: nombre, número de tarjeta, código de seguridad y otros datos vinculados a la privacidad de los usuarios.
La Asociación de Bancos e Instituciones Financieras (ABIF) reconoció que los datos eran reales, aunque confirmó que solo el 10% de las tarjetas filtradas estaban vigentes. Asimismo, el medio publicó una lista acotada con algunos nombres de los afectados y de qué bancos son clientes.
De acuerdo a una publicación en su cuenta de Twitter, los cibercriminales detrás de esta filtración afirman que la información fue extraída de una pasarela de pago (payment gateaway) asociada directamente a los bancos.
Expertos en ciberseguridad, como el gerente general de la empresa Business Continuity, Edwards Cook, sin embargo, creen que no se trata solo negligencia de las empresas comerciales, sino que es un problema a nivel legislativo.
«Hubo negligencias de las empresas en esta filtración, pero el problema principal es con la legislación chilena, que no sanciona con fuerza este tipo de situaciones», afirmó el ejecutivo.
La Ley 19.223, que rige en este tipo casos, está vigente desde el 7 de junio de 1993, cuando ni siquiera existía internet para uso a nivel usuario. Recién en junio de 2015, dos décadas después, ingresó a la cámara un nuevo proyecto, aunque en el 2002 un grupo de diputados quiso “adecuarla a los cambios experimentados por el mundo de la informática desde su dictación”.
“Probablemente por esta razón, dicha ley fue tan escueta y se centró en la penalización de conductas dirigidas a los sistemas materiales de almacenamiento de datos, dando escasa relevancia a la protección del dato mismo contenido en dichos sistemas” decía en 2015 el texto del nuevo proyecto de Ley abordando en él no sólo “las normas penales materiales que tipifican y sancionan las acciones que atentan contra los derechos de las personas en materia informática, sino que ahonda también en algunas normas de carácter procesal penal, que faciliten y hagan más eficiente la investigación y sanción de dichos delitos”. El proyecto aún no es Ley.
DESIDIA EMPRESARIAL
Más allá de la legislación, muchas de las empresas que manejan datos de millones de usuarios solo reaccionan cuando la amenaza se convierte en realidad y ya es demasiado tarde. Y no se trata solo de bancos, también de aquellos que hoy reciben datos de cartas de créditos como medio de pago digital. “Hoy nos llamó un cliente (después del ataque) que hace meses le venimos diciendo que su sistema es inseguro”, cuenta el vendedor de una empresa.
Ya en mayo de este año, el Banco de Chile sufrió un ciberataque lanzado presumiblemente desde Asia o Europa del Este, en que se le sustrajeron más de 10 millones de dólares, sin afectar a clientes en el proceso.
Ambos casos, muy poco comunes en Chile, abrieron el debate sobre la ciberseguridad en el país, y de cómo enfrentarse a los ataques virtuales.
Cook, quien fue entrevistado por la agencia Sputnik, sostuvo además que «las empresas confían demasiado en los servicios de cloud (nube virtual de almacenamiento de información) que no tienen mecanismos importantes de seguridad».
Además, señaló que muchas compañías «no se han preocupado suficientemente de codificar sus aplicaciones, ellos se enfocan primero en que el servicio que se le entrega al cliente sea bueno, y después de eso, se preocupan de la seguridad».
Por último, indicó que falta educación para los usuarios del comercio electrónico, «muchas veces los hackers mandan correos a las personas, estos hacen clic en el link y se le instalan troyanos en el computador».
Kenneth Daniels, gerente general de la empresa de ciberseguridad Widedefense, dijo que el chileno no tiene la misma preocupación para cuidar sus claves virtuales, como sí lo hace con las contraseñas físicas.
«Cuando una persona utiliza su tarjeta de crédito de manera presencial, se preocupa bastante de que nadie vea la clave que está digitado, pero en lo virtual es distinto», señaló.
La Fiscalía abrió al día siguiente del ataque una investigación de oficio para establecer si esta filtración de información contempla también algún ilícito relacionado con delitos informáticos o clonación de tarjetas. El ente persecutor buscará determinar cuántas de las 14 mil 071 tarjetas estaban activas y si alguna de ellas fue utilizada de manera fraudulenta.
El superintendente de Bancos e Instituciones Financieras, Mario Ferren, afirmó a los medios que en Chile «estamos al debe en materia de ciberseguridad».
«Este incidente lamentablemente confirma lo que hemos venido diciendo respecto a la necesidad urgente de ponernos al día en Chile en materia de seguridad», señaló a TVN.
El ministro de Hacienda, Felipe Larraín, realizó una conferencia de prensa llamando a la calma a los usuarios de tarjetas de crédito. «No estamos en presencia de un problema sistémico, no está en riesgo la estabilidad del sistema financiero ni la cadena de pagos», dijo. Además, el ministro agregó que, considerando que en Chile hay 38 millones de tarjetas comerciales, una filtración de 14 mil «es un problema muy pequeño». Finalmente, Larraín señaló que efectivamente, «la ciberseguridad es un tema que tenemos que abordar».
El grupo The Shadow Brokers comenzó a hacerse conocido el año 2016 como un equipo de hackers que se dedica a vender productos para cometer delitos en internet, y su gran golpe fue haber realizado un robo a la Agencia Nacional de Seguridad (NSA, por sus siglas en inglés) de Estados Unidos.
Por eso en Europa y EEUU el tema es de máxima preocupación. El nuevo Reglamento General de Protección de Datos (RGPD) del viejo continente refuerza las obligaciones de las empresas en materia de seguridad, especialmente para evitar pirateos masivos de datos personales, de los que se han dado varios casos espectaculares últimamente.
El RGPD restringirá aún más el uso de datos, para intentar evitar un nuevo caso de Cambridge Analytica, la sociedad de análisis que explotó en su propio beneficio los datos de casi 90 millones de usuarios de Facebook, al que acusaron de negligencia, así como Grindr, la aplicación de encuentros homosexuales que dejó que empresas terceras accedieran a datos sensibles de sus usuarios, incluyendo datos sobre el virus VIH.
Los datos en la mira
La revelación de esos escándalos es menos frecuente que la de los pirateos, cuyos casos principales se enumeran a continuación:
El ciberataque más importante de la historia afectó a Yahoo! en 2013 y alcanzó las cuentas de sus 3.000 millones de usuarios.
Revelado en diciembre de 2016, el alcance del pirateo, que en un principio se estimó en 1.000 millones de cuentas, fue revisado al alza en 2017. No se vieron afectados ni las contraseñas ni las coordenadas bancarias, aseguró el grupo.
El caso puso en riesgo la compra, por parte del gigante de las telecomunicaciones Verizon, de la actividad principal de Yahoo!, que finalmente compró a un precio más bajo.
Una verdadera sucesión de catástrofes para Yahoo!, en la actualidad Altaba, que en septiembre de 2016 ya había dado a conocer un ataque contra 500 millones de cuentas de usuarios ocurrido en 2014, cuya ocultación le costó una multa de 35 millones de dólares.
La compañía de alquiler de vehículos con conductor (VTC), UBER, reveló en noviembre de 2017 que le robaron, a finales de 2016, datos de 57 millones de usuarios (nombre, correo electrónico, número de teléfono) y chóferes (nombre, número de carné).
La empresa fue duramente criticada por haber escondido la información durante varios meses y por haber pagado supuestamente 100 mil dólares a los piratas informáticos para que destruyeran el material robado. Se abrieron varias investigaciones en Estados Unidos y en Europa.
En septiembre 2017, la agencia de crédito Equifax, que se encarga de recabar datos personales de los consumidores que solicitan un crédito, reveló el pirateo de datos sensibles de más de 147 millones de clientes estadounidenses, canadienses y británicos.
A la empresa le cayó una lluvia de críticas en las redes sociales y se abrieron procesos contra ella, pues el fallo fue identificado pero no corregido, los sistemas de seguridad eran insuficientes, la fuga fue revelada tardíamente y los dirigentes son sospechosos de delito de información privilegiada por haber vendido acciones antes de revelar el pirateo.
La empresa de seguridad informática Hold Security afirmó en agosto de 2014 que un grupo de piratas rusos habían robado mil 200 millones de contraseñas en 420 mil páginas web del mundo.
Según Hold Security, el grupo de piratas informáticos, apodado CyberVor, al parecer había podido tener acceso a 500 millones de cuentas de correo electrónico. Un anuncio que no tuvo mayores consecuencias.
La cadena de distribución estadounidense Target fue víctima de un ataque informático a gran escala en diciembre de 2013 que afectó a 110 millones de clientes, a 70 millones de los cuales les robaron datos personales (nombre, dirección postal, número de teléfono y dirección de correo electrónico) y 40 millones de datos bancarios.
Ashley Madison, sin duda, fue el caso más caliente. En agosto de 2015, el grupo de piratas informáticos The Impact Team publicó 30 gigabytes de datos de clientes de la página de contactos adúlteros Ashley Madison, con nombres, correos e incluso preferencias sexuales de los usuarios.
La revelación conllevó el suicidio de algunos de los inscritos en Estados Unidos y Canadá, por lo que el jefe de la empresa dimitió. Ashley Madison ya tenía problemas por difundir publicidad engañosa: el portal ofrecía borrar los datos de los usuarios por unos 19 dólares, algo que no cumplió.
Robin Gremmel/Agencias