-->

Escribe y presiona enter

On
Hacker ético explica cómo pudo ser el ataque a BancoEstado
La primera vez que Lilio Tapia Zagal incurrió en el mundo del hacking fue como a los 14 años, cuando hackeó la cuenta de un vecino para usar su internet. Luego corrigió esa maldad dedicándose al hacking ético, un perfil de hacker que apoya a instituciones y empresas a resolver sus problemas de seguridad, las ponen a prueba.

Partió como autodidacta, luego cursó ingeniería de sistemas, se perfeccionó en España y actualmente trabaja con empresas del área minera, de aviación y contable. Sobre el ataque a BancoEstado, que fue detectado el sábado en la mañana y que este lunes obligó a cerrar las sucursales (ver recuadro), advierte que no puede asegurar 100% de qué intrusión cibernética se trata. "Es muy probable que sea un ransomware llamado Sodinokibi, por lo que se habla en círculos que conozco. Es bastante nuevo, la primera vez que se vio fue a fines de 2019, cuando atacó a Travelex. El dominio por donde pasaba el pago era chino, eso da luces de dónde podría venir, pero no es seguro. Aunque no garantiza que sea ese malware, su explicación es idéntica a la que dio el Presidente de BancoEstado, Sebastián Sichel, en cuanto a que es un malware que secuestra datos. Aquí Tapia explica lo que pudo haber ocurrido.

-¿Cómo opera este malware?
-Por phishing, mandan un link idéntico a uno verdadero y la persona cae y clickea. Entonces ingresa a los servidores del banco, en este caso de la red interna y una vez hecho esto toma los datos, los agrupa y encripta. La forma habitual es que cobran por entregarlos y el pago es en bitcoins, pero no puedo decir que eso haya ocurrido ahora con BancoEstado, solo hablo de la forma de operar, hay que ser responsables con eso.

-¿Qué tan sofisticado es?
-Bastante, es el virus del momento. Utiliza AES y algoritmo Salsa20 para encriptar datos individuales y los que van al servidor de control. El algoritmo Salsa20 le da seguridad al proceso. Además usa el algoritmo de intercambio crucial Diffie-hellman de curva elíptica para crear y proliferar claves de cifrado. Una vez que se infiltra en un dispositivo borra cada uno de los documentos de la carpeta de respaldo.

-¿Y en sencillo?
-Básicamente lo que hacen es capturar las claves secretas y crear una nueva. Algún informático con ciertos conocimientos podría tratar de descifrarla, pero el encriptado AES lo evitará y no se podrá acceder a los datos. Entonces la forma en que operan es permitir el acceso a cambio de un rescate.

-¿Qué lo hace tan peligroso?
-A diferencia de otros, que operan con servidores propios que montan la gente, que no son reconocidos, este trabaja con servidores contratados a empresas importantes de manera legal, por lo que tienen certificados que lo avalan, hasta que ataca, por eso es muy difícil pesquisarlos. El antihacking no los detecta.

-¿Cómo se resuelve el problema?
-Lo primero es detener la propagación identificando el origen. Esto es igual que el coronavirus, hay que colocar en cuarentena los computadores infectados para que no se expanda, porque no basta con cortar internet, ya que los equipos están conectados entre ellos. Esa desconexión puede afectar al sistema general, por eso cerraron las sucursales. La complejidad está dada por el número de equipos, pero para haber cerrado las sucursales debe ser algo complejo. Hecho eso, podrían desencriptar, que a mi juicio es tiempo perdido. Lo más probable es que esté todo respaldado, por lo que se limpian los equipos desde cero, se restaura la información y se cambian los puntos de acceso.

-¿Cuánto tarda la solución?
-Depende del número de computadores infectados y de la capacidad de quienes trabajan ahí, que es alta, por lo que no debería pasar de hoy. Se tomaron desde el sábado 24x7, por lo que si mañana sigue, esto sería muy complejo.

-¿Por lo que dices esto fue un error humano?
-Claro, alguien hizo click. Algo muy importante que hay que explicar es que esto es un problema de seguridad interna que sobrepasa lo técnico, porque tiene que ver con la poca educación que tenemos como país en ciberseguridad. Un hackeo es 20% habilidad técnica y 80% ingeniería social.

-¿Cómo así?
-Estudian el comportamiento de las personas en internet y en base a eso captan las debilidades y arman el ataque.

-¿Qué tan buena es la ciberseguridad de los bancos?
-En general es bastante buena, están constantemente preocupados pero, como dije, esto trasciende lo técnico.

-¿Podrían sacarle la plata a la gente?
-Es difícil que un banco no esté preparado para esto, no creo que se vean afectados los fondos y de ser así probablemente actuarían los seguros.

Click para comentar