Andrés Peñailillo, oficial de seguridad de la información de la Universidad de Chile, reveló a Hostname las claves para no sufrir hackeos, crear una buena contraseña y habló sobre el panorama de la ciberseguridad en Chile.
Los hackeos a grandes empresas y el robo de información hoy en día son temas frecuentes en la prensa nacional e internacional. Y es que la seguridad de nuestros datos en Internet se ha vuelto algo tan importante y habitual, como proteger nuestras pertenencias cada vez que salimos a la calle.
Sin embargo, y a pesar de la importancia que reviste esto, aún existe desconocimiento y desprolijidad de parte de los usuarios al resguardar su información en la web.
Por esto es que en Hostname quisimos hablar con Andrés Peñailillo, oficial de seguridad de la información de la Universidad de Chile y conocer así el panorama de la ciberseguridad en nuestro país, el conocimiento que existe por parte de la ciudadanía en el tema y cuáles son los desafíos que se avecinan en la materia.
Un estudio de Novared publicado en las últimas semanas, indicaba que los usuarios utilizan la misma contraseña para diferentes sistemas. ¿Qué tan malo es esto, en términos de seguridad?
El problema de tener la misma contraseña para muchos sistemas es que si alguien llega a adivinarla, o de alguna forma, tiene acceso a un sistema, con ese mismo acceso podría vulnerar otros accesos. Es como tener una sola llave para abrir diferentes casas. Lo ideal, a pesar de que no es muy práctico tampoco, es que por cada aplicación tenga una contraseña. De esta forma minimizo el riesgo de que si alguien adivina mi contraseña pueda ingresar a otros sistemas.
Varios especialistas recomiendan no utilizar el autoguardado de la contraseña en el navegador y crear claves complejas. Pero, ¿cómo se puede complementar esto, considerando que se torna un poco engorroso escribir a cada rato una contraseña larga y compleja sin la opción de guardarla?
Yo hago clases y hay una fórmula que es bien buena y siempre se las recomiendo a mis alumnos, si es que hay que establecer una contraseña alfanumérica, que tenga mayúscula, caracteres especiales, etc., es que se elijan una frase que uno conozca o que resulte familiar. Cualquier tipo de frase que contenga varias palabras. Entonces tomo la primera letra de cada palabra de esa frase y la combino con algún número, entonces voy a recordarme de esa frase, que para mí es algo común, pero lo voy a transformar en una contraseña que es bastante ilegible o difícil de adivinar incluso para alguien que me conozca.
¿Cuál es el principal problema de las personas, al crear una contraseña?
Uno de los problemas habituales es que muchas personas pueden adivinar la contraseña de alguien por el nombre de su mascota, por los nombres de sus hijos, por el segundo nombre o las clásicas contraseñas más vulnerables que son 1234, que están declaradas como muy inseguras. Entonces, esa técnica, de tener una frase, y ocupar la primera letra de cada palabra, es una buena práctica que debería usarse y que no muchas personas saben.
A pesar de las recomendaciones de los expertos por evitar estas contraseñas fáciles de adivinar, la gente no lo hace. A tu juicio, ¿cuál es la explicación para esto? ¿Falta cultura en cuanto al tema?
Yo creo que son dos cosas. La primera tiene que ver con falta de cultura y de cuidado en la información que se maneja; y la segunda tiene relación con la comodidad: para qué voy a estar acordándome de una contraseña que es difícil, cuando para mí es mucho más simple poner 1234 y entrar a un sistema. Pero esto también va de la mano con la concientización, en el fondo, que se le diga al usuario o a la persona que tiene una clave para resguardar información, que es súper importante que proteja la información y que tenga una contraseña que no sea fácil de adivinar.
Una de las técnicas más frecuentes de robo de información es el phishing. ¿Cómo un usuario puede identificar cuando está ante este escenario y en riesgo de sufrir una vulneración de su cuenta?
El phishing comúnmente llega como un correo electrónico, disfrazado de spam. En realidad, aquí se combinan dos ataques, uno que es el spam y otro que es el phishing. Normalmente llega un correo falso, fraudulento, que me hace ingresar a una URL falsa y colocar datos, como el nombre de usuario y mi contraseña. Con esto el atacante captura el dato de la contraseña y seguido de eso, entra a la aplicación por la cual se está haciendo pasar y la primera acción que realiza es cambiar la contraseña, para que el usuario válido no tenga acceso al sistema, mientras él está ejecutando el ataque.
Entonces, los patrones que hemos notado es que si yo recibo un correo sospechoso, nunca hay que hacer click, ni menos entregar información a una página web en donde yo no digité la URL, sino que llego a través de un link directo.
Lo segundo es que si el atacante entra a una cuenta a través de una contraseña, lo primero que va a hacer es cambiar esa contraseña para que el usuario real no tenga acceso. Entonces, el primer problema es que yo hago click en enlaces que son sospechosos, entrego información que no debería entregar y lo otro es que si yo quiero ingresar a mi cuenta, me indica que la contraseña no es correcta. Esos son síntomas claros de que fui víctima de phishing.
Hay mucha gente que comparte sus contraseñas, como ocurre con Netflix, por ejemplo. Según tu experiencia, ¿nunca es bueno compartir nuestras contraseñas, a pesar de tener total confianza en otras personas?
No es recomendable, en el sentido de que por mucho que yo confíe en la persona algo puede hacer que esa contraseña llegue a personas equivocadas. Si yo confío en pasarle mi contraseña a alguien, quizás esa persona puso en su dispositivo recordar contraseña y después entró otra persona, un tercero que no era mi amigo y así voy abriendo el espectro para que alguien pueda vulnerar mi cuenta, y acceder a mi información.
Con el caso de Cambridge Analytica también se vio que la información que yo entrego en Facebook, es valiosa para una compañía. Entonces, si yo le entrego mi contraseña de Facebook a un amigo y él instala una aplicación y da los permisos para que esa aplicación acceda a los contactos, eso también está entregando mi información sin que yo me entere. Eso es súper crítico, porque una de las fallas que tiene una persona es que no resguarda su información, porque si yo quiero resguardar mi información lo primero que tengo que ver es dónde la voy a publicar.
Tengo que ver a qué cosas le estoy dando accesos cuando instalo una aplicación, ya sea en el teléfono o de Facebook, o donde sea, porque la información que yo manejo la tengo que tener bajo mi control, porque si no es así y se la paso a un tercero, éste puede hacerlo mal uso de mi información, como ocurrió con Cambridge Analytica.
Si me percato que ya fui vulnerado o hackeado, cuáles son los pasos que debo seguir. ¿Qué debo hacer?
Un usuario normal, lo primero que debe hacer en caso de sufrir de phishing es intentar recuperar la contraseña. Siempre hay métodos de recuperación de contraseñas en el correo y en las aplicaciones, donde me llega un mail, al correo alternativo. Una vez que recupero el acceso a la aplicación, tengo que cambiar la contraseña inmediatamente.
Siempre se dijo que es bueno cambiar la contraseña periódicamente para darle más seguridad. ¿Esto es así o es sólo un mito?
No, hasta hace un tiempo atrás, se pensaba que cuando yo cambiaba regularmente la contraseña, era más seguro. Hoy en día, hay estudios que indican que si yo cambio la contraseña de forma recurrente o tengo la misma contraseña por uno o dos años, tengo el mismo factor de riesgo a que alguien me adivine la contraseña. Lo que sí es importante es poner una contraseña fuerte, difícil de adivinar incluso para los ataques de fuerza bruta, que son automatizados y que tienen un diccionario de usuarios y contraseñas, vale decir, que no estén en esos diccionarios de ataques.
Ahí están las contraseñas más comunes, los top 10 del ranking de contraseñas más vulnerables, que son los típicos 1234, asdfg y otras que son clásicas. Entonces, si yo tengo una contraseña difícil de forzar, y no la cambio, con eso debería bastar.
Si tuvieras que dar algunos tips simples, para reforzar una contraseña, ¿cuáles serían?
Usar letras y números, es decir, que sea alfanumérica y que contenga caracteres especiales. Eso es lo más recomendable para una contraseña y que sea de un largo razonable, entre ocho a quince caracteres.
En 2017, vimos algunos casos de ataques ransomware, como WannaCry. ¿Qué son estos ataques y cómo se producen?
Los ransomware son aplicaciones que encriptan la información de mi computador y me piden un rescate. Lo que hace la aplicación, cuando se ejecuta en el pc, es que encripta información, que pueden ser documentos de Word, Excel, fotos o cualquier información que encuentre, la encripta y la hace ilegible y la única forma de volver a acceder a esa información es con una contraseña que el secuestrador me pide a cambio de un pago.
El ransomware siempre está asociado a un pago de dinero por recuperar la contraseña que no siempre me da la seguridad de que voy a tener acceso a la información tampoco.
Este pago suele ser en criptomonedas…
Sí, por lo general es con criptomonedas, porque es más difícil la traza. En cambio, hacer una transferencia directa a una persona, se va a saber de inmediato el nombre, el rut y los datos, pero con las criptomonedas es mucho más difícil hacer la traza de quién va a hacer el retiro de ese dinero, que va a llegar a una cuenta en la nube, por ejemplo.
Y respecto al tema de Wannacry, hasta ese ataque el ransomware llegaba por correo electrónico y se infectaba una persona cada vez. La diferencia con WannaCry es que estaba combinado con un ataque de red, entonces se infectaba una persona y buscaba vulnerabilidades en todos los equipos que estaban en la red y los infectaba al mismo tiempo, sin que las otras personas hicieran nada. El impacto era mucho más grande, porque bastaba que una persona se infectara en la red y el resto que era vulnerable, caía de inmediato.
Esto se dio básicamente por la ausencia de parches de seguridad. ¿Cómo se explica esto? ¿Hubo desconocimiento?
Hubo desconocimiento y un poco de irresponsabilidad de no aplicar los parches cuando los fabricantes los liberan. Si el fabricante libera un parche para corregir una debilidad, es obvio que hay que instalar el parche. Ahora si yo no lo instalo, porque se me olvidó o porque me da lata, es un poco mi responsabilidad de que el equipo no esté actualizado.
Entonces, volviendo un poco al tema, el ransomware se aprovechaba de un parche que no estaba actualizado en Windows, para infectar a los otros equipos que estaban en la red.
Una de las tendencias en materia tecnológica tiene que ver con el Internet de las Cosas. ¿El hecho de que los artefactos estén conectados unos con otros, hace que seamos más vulnerables en cuanto a la seguridad?
Lo que pasa, es que hasta el día de hoy estamos acostumbrados a que se nos infecte con algún virus o malware el computador o el teléfono, que en el último tiempo es más común, pero no así verlo, por ejemplo, en el Internet de las Cosas, en un refrigerador que está conectado a Internet, en una cámara de vigilancia, en un aire acondicionado, incluso en los vehículos que son autónomos. Como la tecnología avanza tan rápido, siempre va un paso delante de la seguridad, que a su vez va quedando un poco relegada. Es decir, la tecnología avanza no a la velocidad que requiere la seguridad. La seguridad también tiene que ir de la mano con el avance de la tecnología y en el caso del Internet de las Cosas estamos muy al debe.
El otro día hubo un incidente con el vehículo autónomo de Uber que atropelló a una persona, aunque no está comprobado que haya sido por un malware. Pero imagínate que está la posibilidad de que alguien inserte un malware en un vehículo o en un artículo casero y empiece a hacer cosas extrañas, eso es algo muy factible. Y como digo, estamos muy al debe en aplicar medidas de seguridad en el Internet de las Cosas.
En este sentido, ¿cuál serían los próximos desafíos en materia de ciberseguridad a corto y largo plazo?
Uno de los desafíos más grandes es concientizar a la ciudadanía. Hay que concientizar a la población en materia de ciberseguridad, que entiendan que la seguridad es importante, que tenemos que proteger la información, que tenemos que estar preocupados de los parches, que no tenemos que entregar información a cualquiera. Cuando demos ese paso en que los usuarios se preocupen realmente por su información, yo creo que vamos a estar en el nivel siguiente que es ya proteger a nivel país temas de ciberseguridad.
No sirve de mucho avanzar en temas de ciberseguridad, en aplicar políticas, aplicar leyes si las personas no hacen caso de las recomendaciones que muchas veces se hacen. De acuerdo a lo que yo veo, una proyección que yo esperaría que se diera de aquí al corto o mediano plazo es que se concientice más a la población, se creen políticas para que las empresas puedan establecer controles de seguridad, se cree algún ente regulador que verifique temas de seguridad.
El mismo tema que pasó con el apagón de Transbank, si bien es cierto está la Superintendencia de Bancos e Instituciones Financieras (SBIF) encima, no sé si después de eso habrá una multa, si es que la empresa tendrá que hacer algún descuento, no he visto que haya mucha información al público en general. En el caso del Banco Santander tampoco he visto algún comunicado en la página web, no sé si en sus redes sociales habrá. Pero falta mucho en torno a darse cuenta de que estoy cometiendo una falta o que cometí un error y decir OK, cometí un error, asumo la responsabilidad, pero vamos a mejorar a futuro.
¿Cuál es el panorama de la ciberseguridad en Chile, si se le compara con otros países de Latinoamérica y de Europa?
En Chile, desde que empezamos a hablar de temas de seguridad, cuando se lanzó la Política de Ciberseguridad -ahora hace poco se lanzó la Política de Ciberdefensa-, demostramos que se está dando pasos en la materia. Ahora, igual no estamos a la par con otros países de la región, como Brasil, que están un poco más adelantados que nosotros.
Hay otros países que no tienen ningún interés en velar por temas de seguridad, lo cual en Chile sí ha quedado establecido. Hace poco también se hizo una consulta pública para hacer una modificación al Decreto Supremo 83, que es el que regulariza o norma temas de seguridad en instituciones públicas. Entonces, teniendo todos esos instrumentos de alguna forma, Chile sí está dando pasos en ciberseguridad, pero todavía falta concientizar a la ciudadanía, que es en lo que estamos al debe.
Otro punto en lo que hacen hincapié diversos especialistas, es en la escasez de profesionales chilenos en tecnologías de la información. ¿Cómo se fomenta la especialización de jóvenes en ciberseguridad y se resuelve este problema?
Hace poco, un instituto profesional creó una carrera de Ingeniería en Ciberseguridad. No sé cómo será ese experimento, tengo la mejor de las esperanzas en que dé frutos y de alguna manera, empiecen a salir nuevas generaciones de ingenieros en ciberseguridad o de ingenieros en informática, que sepan de ciberseguridad.
Pero eso también indica que hay una necesidad en Chile, faltan especialistas en ciberseguridad en Chile, falta que cada empresa tenga un encargado de ciberseguridad. Desde un tiempo a esta parte, he visto que se requieren especialistas de seguridad en las empresas, en los servicios públicos también, pero siento que falta gente que se dedique a ese tema y falta educación en ese tema, tanto para la ciudadanía como para especialistas.
Para quienes tienen una tienda virtual, la mejor forma de proteger los datos que ingresan sus clientes, son los certificados SSL. ¿Qué tan efectivos son estos certificados?
Los certificados SSL lo que permite es identificar el servidor, por eso si un servidor tiene certificado SSL, yo confío en que ese servidor es seguro y no uno malicioso. En ese sentido, sí hay razón. Pero la aplicación que corre dentro del servidor, si tiene vulnerabilidades, por mucho SSL que tenga, igual va a ser vulnerable.
El SSL lo único que me indica es que la comunicación que hay entre el cliente y el servidor, es una comunicación cifrada, por ende la contraseña estaría resguardada.
Según indican algunos estudios, la inversión que se hace en Chile en investigación y desarrollo de este tema es del 0,3% del Producto Interno Bruto (PIB), mientras que en los países de la OCDE es de 2,4%, en promedio. ¿Falta inversión de parte de las autoridades?
Tanto en el hecho de capacitar a especialistas, como en el hecho de inversión en temas de ciberseguridad. Si lo llevamos al hecho de invertir en tecnología, las empresas siempre invierten más en tecnología que en temas de seguridad. Siempre se piensa que si algo no me afecta o si mi trabajo lo hago relativamente bien, entonces no me preocupo de la seguridad.
Finalmente, ¿en qué hay que enfocarse en trabajar ahora? ¿Qué es lo que más urge actualmente?
Lo que más urge en este momento es concientizar a los usuarios, el tema básico. Por muchas cosas que nosotros intentemos hacer, si no concientizamos y no logramos transmitir esa preocupación a los usuarios, que son los que manejan la información, se hace bastante difícil seguir avanzando con otras cosas.
