La web del Ministerio de Trabajo y Seguridad Social fue víctima reciente de un ataque informático. Durante varios minutos la página de inicio mostró inscripciones en árabe, el logo del colectivo "hacktivista" Anonymous, una referencia a Arabia Saudita y la firma "Crazy Hacker". En la página apócrifa, se proyectaba un video en árabe.
Este ataque, que fue remediado velozmente y no tuvo consecuencias graves, sí alertó y alteró las prioridades del Centro Nacional de Respuesta a Incidentes en Seguridad Informática (CERTuy), que comenzó a controlar atentamente los sitios web de la red gubernamental, unas 470 páginas creadas bajo el dominio gub.uy.
"Estábamos trabajando hace tiempo en un sistema de monitoreo, incorporando distintos componentes. Uno de los componentes que estaba en la agenda era el monitoreo de los sitios gub.uy. A raíz del incidente del Ministerio de Trabajo hicimos un cambio de prioridades y comenzamos con eso", dijo a Montevideo Portal el ingeniero Santiago Paz, director de CERTuy.
Este sistema fue creado a partir de plataformas de software libre, en las que los técnicos en seguridad informática del CERTuy programaron módulos que permiten detectar actividad anómala en los sitios del gobierno.
"Primero hacemos un escaneo sobre los sitios para detectar si hay errores de configuración, si son vulnerables a ataques, qué tipo de plataforma están utilizando y quién es el administrador de ese sistema, para responder rápido a incidentes", explicó Paz.
Cada diez minutos el sistema arroja datos actualizados de la actividad de las páginas. "Estamos permanentemente monitoreando y cuando detectamos una anomalía se envía una alerta. Puede ser que cambió el contenido de forma dramática, que entró en mantenimiento, que muestra un mensaje de error o que directamente se cayó el servicio. Analizamos contenidos y podemos detectar que un sitio fue hackeado porque dice una mala palabra, o porque tiene un contenido raro", apuntó Paz, quien reconoció que desde que se implementó este sistema, la capacidad del CERTuy de detectar incidentes informáticos aumentó de manera considerable.
Otros ataques, otros países Los gobiernos de Argentina y Venezuela fueron víctimas recientemente de ataques informáticos por parte del colectivo Anonymous. Según reportó a principios de setiembre André Goujon, especialista de Awareness & Research de ESET Latinoamérica, en Argentina resultaron afectados los portales del Ministerio de Economía, del Banco Central y del INDEC. Asimismo, en la web Agro Turismo Misiones se colocó un juego satírico donde la presidenta Cristina Fernández recibía disparos de misil. En Venezuela los ataques estuvieron dirigidos al Ministerio para Relaciones Interiores y Justicia y al Ministerio para los Pueblos Indígenas. |
Asimismo, el haber montado este sistema sobre una plataforma de software libre permitió al CERTuy hacer un aporte significativo al trabajo de otros Centros de Respuesta de la Región.
"Lo bueno que tiene es que es una plataforma abierta que cualquiera puede utilizar, y los módulos los estamos compartiendo con otros CERT, con otros pares nuestros que necesitan un sistema parecido. Hay mucha colaboración entre los CERT, es muy importante trabajar juntos, sobre todo en las cosas prácticas, se comparten entrenamientos y se intercambian experiencias", comentó Paz.
Siempre listos
El sistema de monitoreo gubernamental es sólo uno de los múltiples proyectos que atiende el CERTuy, creado en 2008 con el propósito de acompañar los procesos de informatización del Estado y velar por la seguridad de la red.
Mapa de los CERT en el mundo (OEA) |
Los Centros de Respuesta de Incidentes en Seguridad Informática existen en todo el mundo, y están coordinados por la Universidad de Carnigie Mellon (EEUU) donde se creó el primer CERT, así como por la OEA, que creó la Red Hemisférica de CSIRTs. El CERTuy se creó en 2008 en la órbita de AGESIC. "Aunque posiblemente como usuario final nunca llegue a tener contacto directo con nosotros, trabajamos las 24 horas durante los 365 días del año para que usted y todos los uruguayos puedan disfrutar de las ventajas de la conectividad con el menor riesgo posible" (http://cert.uy) |
"Por el tipo de servicio que se da, muchas veces se compara con el departamento de Bomberos: primero tenés que poder apagar incendios, después ves el resto. Tenés que estar listo: hubo un incidente, como el del Ministerio de Trabajo, hay que apagar el incendio. Pero también hay que poder tener una detección proactiva de los accidentes, para prevenirlos, o entender por qué pasaron", expresó el director del CERTuy.
Además del monitoreo de la red del gobierno, el CERTuy trabaja sobre el espacio de Internet de Uruguay con un sistema de sensores denominado "Honeynet". "Se trata de computadoras que ponemos en las redes globales, que son muy hackeables. Es como cuando uno va a pescar, son carnada. Cada vez que alguien las descubre y las intenta hackear, esas computadoras toman los registros y nos envían la información", explicó Paz.
"Un hacker profesional se da cuenta que está ante una trampa, pero sí sirve para los sistemas automáticos, como los que mandan spam, que lo que hacen es buscar un servidor mal configurado y cuando lo encuentran empiezan a usarlo. Esto lo hacemos en el espacio de direcciones IP de Uruguay y todos los días notificamos la actividad que vimos en los sensores a los administradores", agregó.
Que los hay, los hay
"Nuestra meta es aumentar la cantidad de incidentes que tenemos al año", dice Santiago Paz y la afirmación resulta curiosa en un primer razonamiento, al menos en lógicas en las que se considera positivo que los problemas coticen a la baja. Pero la explicación valida el objetivo y refleja el espíritu del CERTuy.
"Estamos seguros de que los incidentes existen y lo único que pasa es que no los detectamos. Esa es nuestra filosofía de trabajo: el incidente está, lo que pasa que no tenemos la capacidad de detectarlo. Por eso establecimos el sistema de monitoreo. Estamos seguros de que hay más incidentes, tenemos que tener la capacidad de detectarlos", señaló.
"El último año tuvimos unos treinta incidentes. Este año ya sabemos que tenemos más, sobre todo porque mejoramos también los sistemas de estadísticas. Calificamos de incidente a un potencial problema de seguridad, como un error de configuración o un sistema que hallamos vulnerable. Lo consideramos un incidente aunque no se haya consumado como tal", dijo Paz.
Entre los incidentes más comunes y que requieren la mayor atención de los técnicos se identifican las actividades de phishing, defacement, ataques de denegación de servicio y distribución de malware.
Un camino seguro
Cuando Uruguay creó la Agencia de Gobierno Electrónico y Sociedad de la Información (AGESIC) con la meta de avanzar hacia el gobierno electrónico y el comercio electrónico, se notó inmediatamente la necesidad de atravesar este proceso de informatización con el mayor grado de seguridad posible.
Lo más nuevo de lo nuevo En el camino hacia el e-Government, el gobierno uruguayo aprobó en agosto de este año el Plan de Acción de Gobierno Abierto. El plan comprende un proyecto nacional de alfabetización digital, la creación de una agencia de compras estatales, un sistema de expediente electrónico para organismos de la administración central y la implementación de un portal de software público nacional. |
De allí la creación en 2007 del Consejo Asesor Honorario de Seguridad Informática, conformado por representantes de los Ministerios de Defensa e Interior, Presidencia, Universidad de la República y ANTEL, que recomendó la creación del Centro Nacional de Respuesta, que se concretó a fines de 2008.
"Por el momento no hemos visto incidentes que estén directamente orientados a dañar al gobierno. Lo que pasó con la página del Ministerio de Trabajo no fue un ataque dirigido a dañar al gobierno del Uruguay. Era un mensaje que quería ser distribuido en Internet y para distribuirlo utilizaron una vulnerabilidad que tenía la plataforma tecnológica que usaba el Ministerio de Trabajo", aclaró Paz.
De todos modos, auguró, es un panorama que puede cambiar a medida que haya cada vez más servicios de gobierno y de comercio electrónico.
"¿Por qué se roba un banco? Porque hay dinero. Si no, nadie lo haría. Entonces, ¿por qué atacarían a una institución de gobierno? Porque tiene algún servicio del que se pueden sacar beneficios económicos, o políticos, o simplemente por publicidad, por reputación. Claramente va a aumentar la cantidad de ataques asociados a eso. Hay que estar preparados y saber que a medida que se va incrementando la actividad del gobierno electrónico, tenemos que ir mejorando nuestras capacidades de detección y prevención", concluyó.