Ivette Rodríguez, gerente de Mercadeo de CompSec Direct, y José Fernández, fundador y presidente de la empresa, muestran el sistema portatil Kleared4 Edge que permite proveer servicios de ciberseguridad de manera remota a clientes.
Ivette Rodríguez, gerente de Mercadeo de CompSec Direct, y José Fernández, fundador y presidente de la empresa, muestran el sistema portatil Kleared4 Edge que permite proveer servicios de ciberseguridad de manera remota a clientes. (Suministrada)

De 2017 hasta el presente, Puerto Rico se ha convertido en un blanco atractivo para operadores de virus de computadora o personas que buscan cometer fraude electrónico mediante esquemas de “phishing” o a través de la penetración ilegal de sistemas de correo electrónico.

El ejemplo más reciente ocurrió esta semana, cuando el Recinto de Ciencias Médicas de la Universidad de Puerto Rico (UPR) en Río Piedras solicitó la ayuda del Negociado Federal de Investigaciones (FBI) para investigar la manera en que, supuestamente, un malware infectó los sistemas de información de la institución.

Para el fundador y presidente de la empresa de ciberseguridad CompSec Direct, José Fernández, estos ataques demuestran la agresividad que han adoptado estas personas que buscan obtener ganancias financieras o causar daños en las operaciones no solo del gobierno, sino de comercios y compañías en la isla.

Estas personas que están corriendo estas campañas, sistemáticamente, ya han entrado a muchos de los sistemas gubernamentales de Puerto Rico. Si lo ves desde la perspectiva de la inteligencia militar, de cuál es el significado y cómo están vinculados todos estos incidentes, mucho de esto, simplemente, tiene que ver con que estos operadores se han vuelto más agresivos porque han logrado que les paguen tras realizar un ataque”, resaltó Fernández en entrevista con El Nuevo Día.

Ahora existe un derivado dentro del renglón de ransomware donde hay empleados, actuales y pasados, que están vendiendo sus credenciales de acceso a las redes de sus patronos. A nosotros nos gustaría trabajar con otras compañías y establecer esos acuerdos para colaborar y tratar de buscar soluciones a estos problemas difíciles”, añadió.

Hay muchos otros ejemplos de ataques exitosos contra sistemas gubernamentales reportados desde el 2017 hasta el presente.

En marzo de 2017, la red del Departamento de Hacienda fue penetrada y una o varias personas ejecutaron un ataque mediante ransomware que le provocó a la agencia la pérdida de entre $20 a $30 millones diarios en recaudos por espacio de cinco días. Casi al mismo tiempo, otro ciberataque exitoso, aunque no relacionado al de Hacienda, inhabilitó los sistemas de informática del Centro de Recaudación de Ingresos Municipales (CRIM).

Para marzo de 2018, la Autoridad de Energía Eléctrica (AEE) solicitó la ayuda del Negociado Federal de Investigaciones (FBI) tras detectar un ataque a sus sistemas de informática. El entonces director ejecutivo interino de la corporación pública, Justo González, sostuvo que personas intentaron penetrar el sistema de correo electrónico interno.

El año pasado, una campaña exitosa de “phishing” engañó a varios empleados de la Compañía de Fomento Industrial (Pridco) y de la Compañía de Comercio y Exportación (CCE), quienes pulsaron sobre un enlace en un correo electrónico que facilitó la transferencia fraudulenta de remesas para el pago de pensiones que ascendieron a $2.6 millones. El Departamento de Desarrollo Económico y Comercio (DDEC) recuperó el dinero.

Según confirmó la entonces Principal Oficial de Informática (CIO) del gobierno, Glorimar Ripoll, el esquema también involucró a la Compañía de Turismo y a la Autoridad de Carreteras y Transportación (ACT).

Todos estos incidentes se suman a los ataques perpetrados contra pequeños y medianos negocios, quienes no siempre informan sobre penetraciones ilegales, y demuestran tanto la vulnerabilidad de la infraestructura informática de la isla como la falta de educación de la población en general para lidiar con estos tipos de crímenes electrónicos.

La educación, la preparación y ser proactivos son elementos esenciales

Fernández recalcó que la educación, la preparación de profesionales en seguridad informática y ser proactivos son elementos fundamentales para fortalecer la seguridad de las redes de Puerto Rico. CompSec Direct fue una de las empresas que lideró la respuesta al ciberataque de Hacienda en el 2017 y que ayudó en la recuperación de los sistemas de la agencia.

“Hemos trabajado distintos incidentes y de distintas escalas; desde compañías medianas a agencias gubernamentales, como fue el caso del Departamento de Hacienda. Muchos de los factores que contribuyen a esas brechas iniciales son comunes, y la única forma en que se pueden prevenir es siendo proactivo“, resaltó Fernández en entrevista con El Nuevo Día.

Al hablar de ser “proactivo”, Fernández se refirió a que una organización debe realizar pruebas constantes de sus sistemas de informática en busca de vulnerabilidades o vectores mediante los que un atacante puede tener acceso. También se refiere al monitoreo contínuo de la red para detectar posibles intrusos. Y estos elementos requieren del apoyo de empleados de informática entrenados y con los conocimientos necesarios para, primero, evitar que ocurra un ciberataque y, de ocurrir, responder con rapidez y eficacia para erradicar los daños y restaurar la red.

“Es una combinación de educación y que el cliente entienda que se necesita de su cooperación para implementar ciertas recomendaciones. Si no existe ese apoyo de los gerenciales o de los altos ejecutivos, los logros y la devolución en inversión que va a tener el cliente se reduce. Si van a descartar algunas de las medidas que solicitamos, sus empleados tampoco las tomarán en serio”, resaltó Fernández en entrevista con El Nuevo Día.

Egresado de la Universidad del Sagrado Corazón, Fernández se unió al Ejército de los Estados Unidos en 2008, donde brindó apoyo al Departamento de Defensa federal. Una vez culminó su participación en la milicia, Fernández estableció CompSec Direct en el 2013 con la visión de ofrecer servicios especializados en seguridad informática. Hoy día, la compañía es lo que se conoce como una C4ISR, o Comando, Control, Comunicaciones y Computadoras (C4), Inteligencia, Vigilancia (Surveillance) y Reconocimiento.

Fernández resaltó que, una vez los acuerdos de servicio están firmados, CompSec Direct puede responder a un incidente en cuestión de horas mediante herramientas remotas, además de enviar personal al local físico que alberga el o los sistemas afectados. Y en un ciberataque, el tiempo de respuesta es imprescindible.

Fomenta la receptividad a cambios en la cultura de trabajo

Fernández resaltó que resulta difícil convencer a los dueños de pequeñas empresas de limitar sustancialmente la expedición de credenciales de acceso con privilegios de administrador, una cuenta tipo “llave maestra” que le permite a la persona realizar prácticamente cualquier tipo de acción dentro de una computadora o una red.

“Es bien difícil convencer a una compañía pequeña de que sus empleados no pueden tener cuentas de administrador, pues para ellos es conveniente que los empleados puedan instalar cosas por su cuenta y, quizás, no entienden todas las repercusiones y los riesgos que tienen estos tipos de actividades”, explicó.

En compañías medianas y grandes, ellos entienden el propósito de la reducción de riesgos utilizando lo que se conoce como ‘least privilege’ (otorgar los accesos estrictamente necesarios para que un empleado realice sus labores). Es algo que está definido en los documentos del Instituto Nacional de Estándares y Tecnología (NIST), también se establece esa necesidad para manejar datos protegidos por la Ley HIPAA y en el Estándar de Seguridad de Datos de la Industria de Tarjetas de Crédito (PCI DSS), que es para el procesamiento de tarjetas de crédito. Hay una regulación que está atada a esa necesidad para algunas organizaciones dependiendo de su industria. Esos cambios de educación toman tiempo y requieren la participación activa de la compañía”, añadió.

Hoy día, los operadores de virus de informática no necesariamente atacan directamente una red en busca de un punto de entrada, sino que pueden comprar credenciales activas de empleados o exempleados que les abren esa puerta inicial desde donde pueden lanzar sus ataques. Al entrar mediante credenciales válidas, se dificulta la detección de un ciberataque, quizás, hasta que sea demasiado tarde.

“El cliente tiene que ser receptivo a un cambio de cultura y a las maneras en que se usa la tecnología. Lo que vemos con ataques de ransomware es que están contemplando que su acceso inicial, quizás mediante campañas de phishing, sea a través de credenciales de un usuario que no tenga privilegios de administrador. Pero, si logran acceso a un dispositivo que sí tenga permisos para leer y escribir en la mayoría de las carpetas y documentos (en el disco duro), ya con ese acceso sencillo pueden ejecutar código para cifrar los datos sin la necesidad de tener acceso de administrador”, enfatizó Fernández.

Las compañías de ciberseguridad también son blancos atractivos

El presidente de CompSec Direct indicó que las empresas que brindan servicios de ciberseguridad también son blancos atractivos para atacantes y que se encuentran “en el mismo barco” que el resto del mundo.

Estamos expuestos a los mismos riesgos, y para nosotros, como es la manera en la que generamos ingresos, tomamos muy en serio la seguridad para mantener nuestra reputación en este espacio. Ciertamente algunas personas se motivan a llevar a cabo ataques contra compañías de ciberseguridad y, quizás, vandalizar el portal de la empresa y luego decir ’mira que fácil fue atacarlos’”, sostuvo.

De hecho, Fernández indicó que la mayoría de las compañías que laboran en este sector no tienden a hablar sobre las investigaciones que realizan o en los proyectos que laboran para no despertar la “curiosidad” de ciberpiratas o grupos de “hackers”.

“No nos gusta hablar sobre lo que estamos investigando porque, a veces, los operadores de ransomware tienen el respaldo de gobiernos ajenos a los Estados Unidos. Lo que sucede es que si uno demuestra o publica que está persiguiendo activamente a operadores y/o operaciones de ransomware, ellos también muestran ’curiosidad’ de una forma agresiva. Eso lo vemos todos los días; vemos una diferencia entre los escaneos que hacen en contra de nuestros servidores y los tipos de campañas de phishing que recibimos en nuestros correos electrónicos y vemos una variación cuando hacemos algún tipo de comunicado de prensa o alguna publicidad en web”, subrayó.

Puerto Rico necesita más profesionales de seguridad informática

Fernández resaltó la necesidad de contar con profesionales adiestrados en seguridad informática, pues los ataques a las redes de Puerto Rico siguen en aumento. Un informe publicado el 22 de junio por la compañía Fortinet reveló que en los primeros tres meses de 2021, la isla fue objeto de 29 millones de intentos de ciberataques, incluyendo a agencias de gobierno, mientras que en Latinoamérica se registraron sobre 7,000 millones de intentos de ataques.

Nosotros estamos en una posición en donde, debido a la crisis económica, lo que veo es que se está demorando una realidad donde va a haber un paro financiero completo dentro del país. Existe, en estos momentos, una escasez de profesionales de seguridad de informática a nivel mundial, pero en Puerto Rico tenemos una ventaja por ser bilingües y podemos desarrollar y exportar para llenar esa demanda de profesionales”, resaltó.

“Los profesionales puertorriqueños que se preparan en este campo ofrecen mucho talento y dominio en algunas área de este espacio, pero deberíamos ser mejores colaboradores entre nosotros. Lo que veo, a veces, es que las compañías pequeñas no se ayudan mútuamente, cierran y estos profesionales se unen a compañías establecidas, por lo que el servicio que, quizás, vayan a ofrecer, entra en conflicto con los otros contratos u obligaciones comerciales que tengan. Lo que estoy viendo en mi industria es que hay más visibilidad sobre el tema. Viendo a las personas que han nominado para cargos y responsabilidades a nivel federal son personas con las que he tenido el privilegio de trabajar con y debajo de ellos. Aunque el problema, en realidad, no ha mejorado, creo que una buena manera en que podemos combatir situaciones como el ransomware es mediante programas educativos que comiencen a través del gobierno”, dijo.

“En Maryland, donde estamos ubicados, existe un programa (Buy Maryland Cybersecurity, o BMC) donde somos calificados como proveedores aprobados por el Departamento de Comercio del estado, y ofrecen un incentivo a compañías pequeñas que compran nuestros servicios y productos. Sería útil que Puerto Rico adoptara este tipo de iniciativa, porque la seguridad informática en negocios pequeños es casi inexistente al no contar con los recursos para realizar ese tipo de inversiones. Nosotros llevamos años desarrollando una plataforma en línea llamada Kleared4 que te permite operar dispositivos como sistemas computarizados de forma remota, y vemos que cuando iniciamos este producto lo teníamos fichado para uso dentro del Departamento de Defensa y para otras compañías que también proveen pen testing (pruebas de penetración de sistemas de informática), pero nos dimos cuenta que el sistema provee muchos más usos aplicables al sector comercial”, añadió.

💬Ver comentarios