“Lamentablemente durante el último año se incrementaron los casos de pérdida de información y robo de identidad digital. Y la Ley de Protección de Datos Personales pareciera que aún no ha dado los resultados esperados”, analiza Claudio Doller, socio de BDO.
Añade que: “No sólo a los gobiernos o grandes bancos les pasa, también a la información de las personas físicas y empresas en general”.
Pablo Silberfich, socio de Aseguramiento de Procesos Informáticos de BDO Argentina, lo contextualiza: “En estos últimos años, la noción de seguridad informática ha sufrido cambios sumamente significativos. Aquella imagen del hacker solitario, encerrado en su laboratorio, tratando de ingresar en zonas prohibidas con el único objetivo de mostrar que se puede, dio paso a una actualidad en la que organizaciones delictivas de alcance global toman como objetivo puntual la información de las empresas, siendo la Seguridad de la Información el nuevo objetivo”, explica.
Robo de dinero por hackeo
La ministra de Seguridad, Patricia Bullrich, en persona, intervino recientemente en un procedimiento que permitió desarticular una organización criminal de hackers que había robado $3.500.000 de la municipalidad bonaerense de 25 de Mayo. Efectivos de la Policía Federal Argentina (PFA), con la colaboración de autoridades bonaerenses, hicieron 12 allanamientos simultáneos y detuvieron a 8 integrantes de la banda: 6 hombres y 2 mujeres, todos argentinos.
La investigación comenzó cuando directivos municipales descubrió que un grupo de hackers había obtenido fraudulentamente las claves de las cuentas comunales introduciéndoles un virus invasivo a las computadoras de la Tesorería.
Así, el desvío de fondos estatales hacia cuentas particulares permitió al personal de la División Fraudes Bancarios de la PFA detectar la existencia de 24 "falsas transferencias a proveedores".
El dinero había sido dirigido a titulares de cuentas de distintas sucursales del Banco Provincia, emplazadas tanto en la capital federal como en el Gran Buenos Aires, cuyos domicilios y las personas involucradas en la maniobra criminal quedaron al descubierto.
Los 8 involucrados fueron detenidos y se incautaron $442.000 en efectivo, que estaban distribuidos en cuatro fajos termosellados; 18 teléfonos celulares, 3 CPUs, 2 notebooks, 3 tarjetas de débito y tickets de extracción bancaria.
A instancias de la UFI Especializada en Delitos Complejos de la Ciudad de Mercedes, a cargo de Juan Ignacio Bidone, se instruyó a secuestrar también documentación de interés para la causa. El objetivo: recuperar la totalidad del dinero robado de las arcas del Estado.
El intendente de 25 de Mayo, Hernán Ralinqueo, contó que vieron en vivo cómo "iba desapareciendo el dinero del sistema" de las cuentas comunales del Banco Provincia.
Para cuando las autoridades denunciaron el hecho, y el Banco Central ya había emitido la orden de bloquear las cuentas a diversas entidades financieras, diferentes personas ya habían cobrado por ventanilla sumas de entre $100.000 y $250.000, por unos $3 millones en total. Los investigadores buscan determinar ahora desde qué computadoras actuaron, cómo se eligieron las cuentas para girar el dinero público y en manos de quiénes están.
La proliferación del uso de redes de internet, tanto con fines particulares como comerciales y hasta científicos, fomentó la especialización de programadores en violar la privacidad con fines de espionaje o robo de datos.
La práctica se extendió de tal modo que en 2008 se incorporó la tipificación del delito de cyberhacking, también conocido como hackeo informático con la ley 26.388. Abarca márgenes muy amplios, ya que considera delito o infracción cualquier clase de acceso no autorizado por el usuario. El hackeo se agrava si contiene actividades tales como es el borrado de información, robo de documentos, o cuando la intromisión en la red tuvo fines tales como estafas, spawn o envío de virus.
“Según la ley penal argentina, quienes encargan esas acciones podrían ser considerados “partícipes necesarios” de diversas figuras. Y la Ley 26.388 prevé penas que van de 15 días a 6 meses de prisión, aunque son delitos excarcelables”, detalló Daniel Monastersky, experto en derecho informático. “Además –agregó– pueden configurarse otros delitos, como suplantación de identidad, fraude o calumnias”.
Pero Monastersky también aclara: “Lo que vemos todos los días en la práctica es que en la sociedad hay un enorme desconocimiento sobre el hecho de que entrar a una cuenta de e-mail ajena o interferir en la red social de otro es un delito”.
Oferta y demanda transparentes
Como hecha la ley, hecha la trampa, conseguir los servicios de un hacker y encargarle un trabajo ilegal actualmente es en Argentina extremadamente fácil.
Se los contrata para entrar al e-mail de un familiar, violar el Facebook de un socio, el Twitter de un competidor o “voltear” el blog de una ex. Basta con buscar unos minutos por internet, elegir un “proveedor” y, tras pagar una cifra de alrededor de US$ 30, sentarse a esperar el resultado. Sin embargo, según los expertos, éstos pueden inútiles e incluso riesgosos para el contratante, advierte un artículo publicado en Perfil.
“Los servicios más solicitados son contraseñas de correos para espiar a parejas, hijos, empleados y socios”, contó vía mail un hacker que aceptó ser entrevistado. “También nos piden bloquear ciertas páginas web, espiar conversaciones de WhatsApp, conseguir passwords de Facebook o de otras redes similares”, añadió.
Otro de los que ofrecen este tipo de prestaciones agregó: “Si bien lo que más nos piden es acceder a redes sociales como Facebook, Twitter e Instagram de otras personas; también recibimos muchos encargos para hacer cambios de notas en sitios de universidades o de escuelas”.
Las organizaciones también se globalizaron a tal punto que uno de los entrevistados por Perfil dio indicios de tener la base en Perú y detalló que integra un equipo de hackers de diversas partes del mundo. Según dijo, “tenemos un promedio diario de 10 clientes que nos llegan desde Argentina”.
Hackers a tu Servicio describe la negociación: “Una vez acreditado el pago, pedimos los datos del servicio que desean. Como tenemos cientos de encargos diarios, nuestra respuesta puede demorar de 1 a 3 días. Y si alguien duda de nosotros, le comento sobre la gran reputación que tiene nuestra página, ya que estamos trabajando desde 2012 y no van a encontrar una sola queja sobre nuestros servicios”.
Según el experto en seguridad Gabriel Zurdo, director de la consultora BTR Consulting –especializada en Ethical Hacking y auditoría digital–, las razones del aumento de esta oferta son varias: “Estos servicios se ofrecen porque realizarlos es fácil gracias a que los programas que facilitan ese tipo de ataque se han masificado. Además, se volvieron muy simples de usar, incluso por parte de gente que no tiene conocimientos profundos de informática”.
Zurdo detalló: “Tenemos muchos clientes que nos comentan haber pasado por esa experiencia, y el 80% de las veces quien concreta ese pedido ilegal termina siendo estafado: paga y no recibe nada”.
Incluso el interesado puede pasar de victimario a víctima, tal como le explicó al bisemanario Perfil, Sebastián Bortnik, gerente de investigación en ESET, una organización dedicada a seguridad digital. “Como se están contratando servicios prohibidos, en un mercado ilegal, no hay ninguna garantía para exigir resultados. Y es bastante usual que quien lo encargue termine siendo estafado. Por ejemplo, vimos casos en los que hackers truchos le daban al cliente evidencias falsas de sus “logros”.
Bortnik da otra razón para desconfiar de estas ofertas: “Los realmente expertos en estas temáticas se dedican a hackear en forma silenciosa a grandes corporaciones, por cifras millonarias. O trabajan en la seguridad informática legal, asesorando en ‘hacking ético’, a empresas que buscan mejorar su seguridad”.
Semillero de hackers
Sinan Eren, ejecutivo de Avast Software, una empresa de seguridad ubicada en Praga, señaló en oportunidad de desarrollarse la conferencia Ekoparty, del miércoles 26 al viernes 28 de octubre en el Centro Cultural Konex de la ciudad de Buenos Aires, que "Argentina se ubicó en el mapa como el país que produce los mejores hackers".
Mucho antes de que las empresas extranjeras empezaran a convocarlos, el hackeo era una habilidad de vida en Argentina, una manera de moverse a lo largo de décadas de gobierno militar represor y una economía volátil.
Precisamente, este encuentro internacional sobre el tema de seguridad informática convoca por tres jornadas a la flor y nata del profesionales.
"Son alrededor de 2.500 que saben mucho del tema y vienen a ver qué es lo último que está pasando en el mundo de la seguridad. Todos nacimos con el hacking y hoy estamos trabajando en alguna compañía o con un emprendimiento propio", dijo Leonardo Pigñer. Agregó que muchos de sus colegas argentinos lograron convertir su pasión en una profesión.
Hoy Pigñer está al frente de una empresa de seguridad informática con 30 empleados que ofrece servicios a empresas de Argentina, Chile, Perú y Brasil que los contratan para que hackeen sus propias redes o aplicaciones para poder comprobar sus fallas.
Cada año, los organizadores reciben propuestas de especialistas de todo el mundo que quieren participar como expositores, de los cuales finalmente un comité elige un grupo de 25. Entre ellas, charlas Zero-day, sobre un tema de seguridad que aún no fueron dados a conocer por otros canales.
Los talentos nacionales abundan en la temática. Raúl "Yuyo" Barragán es considerado el primer hacker del país. En 1978 logró saltar restricciones en un sistema de ventas de tickets aéreos por Telex (tecnología previa al Fax), lo que le permitió recorrer el mundo.
En 1995, con su apodo "El Gritón", Julio Ardita se infiltró en los sistemas de la NASA y el Pentágono utilizando líneas de teléfono convencionales 0800 de Telecom. Por entonces tenía 21 años. Enfrentó un juicio en Estados Unidos y otro de la empresa de telefonía, y tuvo que pagar multas leves y hacer trabajos comunitarios, pero no fue a prisión.
El primer hacker argentino en llegar a un juicio oral fue Emanuel Ioselli, mejor conocido como Camus Hacker, que fue condenado a 3 años de prisión en suspenso.
Fue acusado de extorsionar a figuras de la farándula como Fátima Florez, Verónica Lozano, Noelia Marzol, Coki Ramírez, Diego Korol, Sergio Maravilla Martínez, Jorge Zonzini, Ileana Calabró y Annalisa Santi, entre otros damnificados.
Dentro de los delitos penales informáticos que están tipificados en el Código Penal, el hackeo informático es el más común de todos. Aun así, de las empresas consultadas en el relevamiento de BDO, sólo un 13% revela tener un Responsable de Seguridad (CISO) en un cargo gerencial y que reporte directamente al directorio; la mayoría (41%) deriva el tema en el Área de Sistemas y Tecnología.
“Si consideramos que hoy en día la seguridad de los datos está, entre otros, íntimamente relacionada con el control de acceso, tanto virtual (permisos y restricciones en servidores y dispositivos), como físico (biometría, tarjetas magnéticas o electrónicas, cámaras de vigilancia), la seguridad no debería estar restringida al departamento de TI”, sugiere Silberfich.
El 50% de los encuestados manifiesta que el desarrollo de la estrategia de seguridad de la información que tiene su empresa se basó en buenas prácticas del mercado y sólo un 30% basó su estrategia en un Análisis de Riesgos de TI con impacto en el Negocio, realizado previamente.
“Hoy en día, hablar de seguridad en una empresa implica establecer una política de seguridad transversal a toda la organización en la que no sólo el departamento de tecnología está involucrado, sino toda la cadena de mandos. Desde el celular preferido del gerente general hasta la PC del empleado administrativo; todos los dispositivos deben estar registrados dentro de una política de seguridad general. Y eso incluye la apropiada capacitación, no sólo de los productos sino de una actitud de administración y gestión de los riesgos, teniendo en cuenta amenazas, vulnerabilidades, contramedidas e impacto”, explica Silberfich y suma: “Ya no se habla de virus que destruyen, sino de malware que roba información. Palabras como rootkits, botnets o ransomware se están haciendo, lamentablemente, cada vez más populares entre los responsables de la seguridad de las empresas”.
La muestra se realizó sobre mandos altos y medios. El 42% de los encuestados trabajan en empresas de más de 1.000 empleados, el 34% lo hacen organizaciones de menos de 200. Por el otro lado, el 26% corresponden a aquéllas que facturan más de $1.000 millones al año y el 16%, a las que facturan menos de $50 millones.
