Machete, campaña de ciberespionaje. Nota de CIOAL publicada el 21-8-2014: “Kaspersky Lab anunció el descubrimiento de una nueva campaña de ciberespionaje con el nombre clave

de ‘Machete’, la cual se ha dirigido a víctimas de alto perfil, incluyendo gobiernos, fuerzas militares,

embajadas y las fuerzas del orden desde hace por lo menos 4 años.

El campo principal de su operación ha sido América Latina: la mayoría de las víctimas parecenestar ubicada

en Venezuela, Ecuador y Colombia. Entre otros países afectados se encuentran Rusia, Perú, Cuba y España. El

objetivo de los atacantes es recopilar información sensible de las organizaciones comprometidas - hasta

ahora es posible que los atacantes hayan podido robar gigabytes de datos confidenciales exitosamente.

“A pesar de la simplicidad de las herramientas utilizadas en esta campaña, son muy eficaces, dado a los

resultados. Parece ser que los cibercriminales de América Latina están adoptando las prácticas de sus

colegas en otras regiones.

La campaña Machete parece haber comenzado en el 2010 y actualizada con la infraestructura actual. Los

ciberdelincuentes utilizan técnicas de ingeniería social para distribuir el malware. En algunos casos, los

atacantes utilizaron mensajes de phishing dirigidos (spear-phishing), en otros phishing dirigido combinado

con infecciones vía la web, especialmente por medio de la creación de blogs falsos previamente preparados.

Por el momento no hay indicios del uso de exploits de vulnerabilidades de día cero.

La herramienta de ciberespionaje encontrada en las computadoras infectadas es capaz de realizar diversas

funciones y operaciones, como la copia de archivos a un servidor remoto o un dispositivo USB especial (si

está insertado), el secuestro del contenido del portapapeles, clave de registro, la captura de audio desde el

micrófono del equipo, realizar capturas de pantalla, obtener datos de geolocalización, realizar fotos con la

cámara web en las máquinas infectadas.

La campaña tiene una característica técnica inusual: el uso del código de lenguaje Python compilado en

archivos ejecutables de Windows - esto no tiene ninguna ventaja para los atacantes, excepto la facilidad de

la codificación. Las herramientas no muestran signos de soporte multiplataforma ya que el código es

fuertemente orientado a Windows; sin embargo, los expertos de Kaspersky han descubierto varias pistas que

dan un indicio a que los atacantes han preparado la infraestructura para víctimas que utilizan OSX y Unix.

Además de los componentes de Windows, señales de un componente móvil para Android ha sido descubierto

también.”

El tipo de ataques masivos como este, reviste una extrema dificultad en lo que hace a la seguridad

de nuestros activos TI, y fundamentalmente lo que debemos proteger: nuestra información y la

continuidad de los procesos de la organización. Es decir la confidencialidad, integridad y

disponibilidad de la información.

En nuestras políticas de gestión de riesgo y en nuestra estructura de seguridad integral no pueden

ignorarse las posibilidades de este tipo de ataques, pensados para robar información sensible, sino

también para conocer la logística general de la organización.

Es importante tener siempre actualizadas nuestras políticas de seguridad, tener información de

primera mano a cerca de las tendencias de los ciberdelincuentes de todo tipo, ya sean individuos,

que incluso pueden provocar ataques por mera diversión, o propósitos delictivos; a organizaciones

terroristas muy presentes en nuestro tiempo. Pensar que estas solo actúan en contra de los países

centrales, caso Reino Unido o EEUU, es ser poco realista. América latina no está fuera de riesgo, y

por ser quizá la región menos protegida, es un blanco fácil y no menos deseable, cuando lo que

buscan las organizaciones terroristas es desestabilizar el fino equilibrio mundial.

Se requiere como primera medida un comité de seguridad y gestión de riesgo, con funciones

proactivas que evalúen estas tendencias y sugieran e implementen las contramedidas que se

consideren necesarias. Muchas veces se habla del famoso “costo – beneficio”, al que en casos

como este yo definiría como “RIESGO – Beneficio – costo” , porque el costo parece ser grande

mientras no ocurre nada, pero me gustaría saber que costo enorme puede tener para una

organización estar una semana sin poder acceder a sus sistemas informáticos. Ni hablar si se

perdiera toda la información. No tener establecidas políticas serias de respaldo de la información

(back up) es suicida. Pero aun teniendo el back up del día anterior, me gustaría ver cuánto tiempo

se tarda en ubicar, recordar, y reprocesar lo que se puede perder de lo hecho en las últimas 24

horas. Nunca me pasó, pero imagino que puede ser tremendamente difícil, y puede demorar

mucho más de lo imaginable, y entre tanto???? Se detiene la actividad de la organización por otras

24, 48 o quizás más horas?

La definición y aplicación de políticas proactivas es indispensable.

Incorporación de técnicas forenses, reactivas, es cierto; pero son fuente indispensable para

alimentar la definición de estrategias proactivas.

Vamos a este caso:

- Personal proactivo y capacitado formando un comité de seguridad y gestión de riesgo,

información permanente de nuevas tendencias, tomada de sitios serios, como por ejemplo

el FIRST, CERT, laboratorios especializados, MIT, etc.

- BIA claro, definido, y funcional. Es muy importante que esta función se cumpla, porque si

no hay actualización permanente acerca de amenazas y soluciones, el resto no puede

mantenerse en funcionamiento coordinado con la realidad cambiante de nuestro tiempo.

- BCP Políticas claras e implementaciones certeras dentro de un BCP definido con

COHERENCIA. Y probado, esto es como los simulacros de evacuación en caso de

incendio o desastres a los que tanto nos obligan las ART. Si es necesario (*) “duplicar” un

entorno de trabajo, se lo duplica sin importar el costo ni el esfuerzo. DRP realista y

actualizado permanentemente.

(*) En función de la complejidad de la organización y la importancia de la información

almacenada.

- Concientización permanente de todo el personal. Desde el presidente de la empresa, hasta

el personal de vigilancia.

- Seguridad física, control de accesos monitoreados permanentemente. Seguimiento de los

movimientos del personal mediante dispositivos RFID o GRPS. Accesos restringidos a

todos los sitios sensibles de la instalación. Limitar actividades de ingeniería social

- Control de activos mediante dispositivos RFID. Es importante saber permanentemente

donde esta cada dispositivo, particularmente los móviles.

- Seguridad lógica. Firewalls, IDS, IPS, anti-amenazas (o virus, como gusten), consolas de

control centralizadas, en lo posible en la nube; de modo tal que se puedan monitorear of-

site (con las medidas y permisos de ingreso que se requieran). Solida política de control de

accesos, y autenticación de usuarios, con permisos de acceso muy estrictos.

- Separación de ambientes. Cuando menos los ambientes tradicionales de desarrollo,

testing, y producción. Donde el ambiente de testing debiera realizar al menos 3 pruebas

anuales simulando posibles desastres, y probando los planes de contingencia. Antes de

efectuar una prueba general.

- Análisis permanente de vulnerabilidades.

- Capacitación constante del personal del área de seguridad, de sistemas en general; y de

todo aquel que tenga acceso a una terminal, por mínimo que sea.

- En cuanto a la aplicación de técnicas de ingeniería social es importante por último

comentar que, la entrada de malware a una organización a través de medios físicos puede

incrementarse de manera considerable a raíz de nuevas tendencias en alza que se están

arraigando en las organizaciones que consisten en bien fomentar o permitir el uso de

dispositivos personales (portátiles, tablets, smartphones, etc.) en el entorno de trabajo, es

decir que los empleados se traigan sus dispositivos al trabajo y trabajen con ellos, es la

denominada tendencia BYOD (Bring Your Own Device), o bien que además de sus propios

dispositivos también aporten su propio software ,BYOT, (Bring Your Own Technology), y

además existe una variante emergente, BYOC (Bring Your Own Cloud), en estos casos los

empleados aportan su propia ‘nube’. Estas tendencias, si no son bien gestionadas pueden

suponer una importante brecha de seguridad en las organizaciones facilitando la tarea del

atacante puesto que la información privada de la empresa entra dentro de una red cada

vez más difusa y difícilmente protegible.

Describir punto por punto las medidas a tomar es difícil, porque dependen de la organización, la

criticidad de los procesos, el valor de la información y su clasificación, etc.

Veamos ahora la aplicación de algunas leyes y sus artículos:

En primera instancia aplica la ley 26388 de delitos informáticos:

Art.5 Acceso no autorizado. Que agrega el art. 153 bis en el Código Penal

(http://blogsdelagente.com/itsb/2008/7/2/ley-26-388-delito-informatico-acceso-autorizado-hacking-/)

Art. 8 Sustituye el art 157 bis del código penal.

(http://www.infoleg.gov.ar/infolegInternet/anexos/15000-19999/16546/texact.htm#19)

También la ley 25326 de protección de datos personales o Habeas Data (Ej. Art 5)

Aunque esta se refiere exclusivamente a los datos individuales de cada ciudadano, y poco dice

sobre la información general de una cia.

En casos como este, perpetrado por delincuentes “internacionales”, existe legislación internacional

regulada por el pacto de San José de Costa Rica.

En mi caso particular el análisis de las implicancias legales de los delitos informáticos perpetrados

o posibles, los consulto con un abogado especialista en derecho informático, profesor de la USAL.

Pero a decir verdad es poco lo que puedo agregar personalmente.