Otro Ciberataque a una entidad gubernamental Argentina y van…

Este no va a ser mi típico post sobre tecnología, vamos a hablar sobre problemáticas sociales en Argentina en lo referente a ciberseguridad.

Hoy browseando twitter encontré un reporte de Birmingham Cyber Arms informando que el Ministerio de Salud de la provincia de la Rioja habría sufrido un ciber ataque.



Este Ciberataque se sumaría a una serie de ciberataques a organismos gubernamentales Argentinos en el los últimos tiempos, como ser la Comisión Nacional de Valores (atacada por el grupo Medusa), la Legislatura Porteña el año pasado, el INTA o el Registro Nacional de Las Personas (RENAPER) por mencionar algunos. (Noticias de diversos medios vinculados a todos los ciberataques más abajo)



Saliendo del meme, este fenómeno cada vez se está volviendo más común, y me deja pensando: ¿cuáles son los factores que llevan a que esto suceda? ¿Qué podemos hacer los Argentinos para que estas situaciones dejen de ocurrir?

Antes de empezar con el análisis técnico de este problema, me parece importante mencionar que en Argentina está vigente la ley 25.326 de protección de datos personales (la cual acabo de leer al detalle y no vamos a analizar acá ya que no tengo conocimiento jurídico alguno) pero me parece importante este artículo de la ley.


ARTICULO 9° — (Seguridad de los datos).

1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

2. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.


Dicho en criollo: “El que tiene tus datos, es responsable de mantenerlos seguros”.

¿Cuáles son los factores que llevan a esta situación?


Factor Humano



Ya lo hemos hablado y es sabido, más del 80% de los ataques informáticos suceden por error humano. Puede no ser intencional o con malicia, simplemente por ignorancia o desconocimiento.
Muchas organizaciones hacen entrenamientos de ciberseguridad continuos para todos los usuarios explicando las políticas y controles de seguridad para que puedan entender que pasa en cada caso.
Es importante destacar, la ciberseguridad no solamente son factores humanos, también son factores políticos y cultura organizacional.


Factor Técnico


Antes de empezar a hablar de factores técnicos me gustaría repasar el ABC de la ciberseguridad para cualquier industria.

1. Usar contraseñas complejas y cambiarlas frecuentemente.
2. Mantener todo tu software actualizado.
3. Pensar antes de clickear.

Y si quisiéramos hilar un poco más fino podríamos incluir cosas como:

  • Usar Hardware con soporte
  • Usar software con licencias originales
  • Activar controles de acceso.
  • Aplicar micro segmentación
  • Usar tecnologías de detección como SIEM, EDR o XDR.
  • Usar antivirus Enterprise
  • Tener un equipo dedicado de ciberseguridad.
  • Emplear gente idónea para la posición.
  • Usar controles de cambios y normas ITIL


Ahora, con conocimiento de causa por haber trabajado en varias agencias gubernamentales como consultor puedo confirmar que hay el ABC ya no se está cumpliendo.

DISCLAIMER: No digo que pase en todas las agencias gubernamentales,  ni pretendo desmerecer colegas. Esta parte es la voy a hacer en base a dos agencias gubernamentales (Una a nivel GCBA y otra a Nivel Nación) y en base a mi experiencia ahí. Invito a cualquier lector que este en desacuerdo a compartir su opinión.

Algunas de las cosas que son grandes errores a nivel ciberseguridad que vi y seguramente siguen presentes:

ProblematicaDescripcionExplicación para gente no técnica
Falta de control de accesosLa mayoría de los usuarios tienen administrador local en sus computadoras.Sin permisos de administrador local los usuarios no pueden instalar programas o ejecutar tareas que puedan ser perjudiciales para la organización (Por ejemplo instalar un virus)
Falta de control de accesosLa mayoría de los usuarios no cambian sus contraseñas.Cambiar las contraseñas regularmente es una medida de seguridad importantísima para evitar posibles ataques relacionados con data leaks.
Falta de control de accesosLos usuarios que se van de la organización siguen teniendo sus usuarios activos, incluso años después.Las mejores practicas dicen que cuando un usuario deja la organización el usuario se bloquea inmediatamente.
Me llego la historia de una persona que tuvo un servidor de counter strike en una dependencia del gobierno corriendo por 8 años sin que nadie se diera cuenta.
Software DesactualizadoDesde los paquetes de ofimática hasta los servidores de mail, todo desactualizado.Cuando sale una actualización de cualquier programa o aplicación por lo general corrige vulnerabilidades de seguridad.
Software pirataSi, en las dependencias de gobierno hay software crackeado.Cuando compramos una copia pirata de cualquier programa o app, ese programa puede estar modificado y alterado teniendo malware.
Falta de antivirus Enterprise (o falta de antivirus)Tener un antivirus actualizado es la primera línea de defensa para cualquier computadora, ahora, para empresas u organizaciones gubernamentales se suelen usar versiones Enterprise (Pagas) que tienen mejores características
Firewalls mega permisivosReglas Allow Any-Any en los firewallsUn firewall permite o deniega la comunicación de dos equipos en una red.
Las mejores prácticas dicen que todas las comunicaciones deberían estar denegadas por defecto y solo las comunicaciones aprobadas deberían estar permitidas.
Falta de medidas de seguridad avanzadasNo se habla de Micro segmentación, XDR, EDR, IDPS, etc.Son productos de seguridad más avanzados que permiten detectar y frenar posibles ciber ataques.


Cómo siempre digo a la hora de entrevistar candidatos, lo técnico se corrige con entrenamiento y experiencia, si bien es algo que deberíamos corregir y cuanto antes mejor el problema subyacente pasa por los motivos políticos.


Factor Político:

No quiero caer en la fácil y decir: los empleados estatales son todos vagos.
Eso es un estereotipo trillado y a veces no es cierto. En esta parte de mi análisis, voy a tratar de ser lo más apolítico posible ya que este problema trasciende distintos entes gubernamentales, con distintas banderas políticas e incluso distintas presidencias.

1. Inestabilidad económica en Argentina:
Esto no es nuevo, tengo 29 años y desde que tengo uso de razón Argentina esta en crisis.
2001, 2008, 2013, 2021, siempre hay algo nuevo.

Esto es un factor importante ya que los insumos, productos y servicios  de IT suelen estar cotizados en dólares. Al subir la cotización del dólar estos se vuelven más caros.
Por otro lado se vincula con el bienestar de los empleados.

2. Precariedad en las relaciones laborales:
En el GCBA muchos de los empleados son monotributistas, es una forma del GCBA de ahorrarse cargas sociales, esta relación “precaria” puede perdurar por años incluso más de lo establecido por la ley, este factor también aplica a las dependencias de Nación.
Por ejemplo, para nación sobre un total de 197234 empleados solo 127040 estaban en planta permanente dejando casi un tercio como monotributistas

Esto significa que los monotributistas no tienen aumentos de sueldo, sus contratos se actualizan año a año sin tener la seguridad de si van a ser renovados (causando una especial incertidumbre en años de elecciones)
Entendamos también que si bien el estado es el mayor empleador de la argentina, no es el que mejor sueldos paga. Esto causa que los empleados carezcan de motivación.

Acá me tomo un segundo para una opinión personal: tengo varios amigos y colegas que trabajan para el estado en Argentina, y varios colegas que trabajan para el estado en otros países.
En Argentina trabajar para el estado no es considerado un servicio público, simplemente es considerado una forma de hacer buen dinero por poco esfuerzo. En cambio, en otros países es una forma de hacer un bien a la sociedad a cambio de reconocimiento.
Creo que en sistemas y ciberseguridad es donde más se puede mejorar el bienestar de la ciudadanía, sin embargo, la gente que está en esas áreas no tiene interés en hacerlo, no tiene los medios o la burocracia gubernamental lo impide.
 
3. Idoneidad:

Según la RAE la definición de Idoneidad es:
“Gral. Cualidad de idóneo, adecuado o apropiado para algo.”

Mi profesor de programación en el colegio, probablemente la persona que más sabe de C++ que conozco, tiene título de óptico y daba clases de programación. Por no considerarlo idóneo (falta de título habilitante) el GCBA lo destituyo del puesto.
La persona a cargo de la Subsecretaría de Tecnologías de la Información es una ABOGADA.  
Siendo Argentina un semillero de talento IT tan importante, ¿no sería más idóneo un Ingeniero?

Escribiendo esto, también encontré que la directora nacional de ciberseguridad es Ingeniera Electronica con un master en regulación de telecomunicaciones.
De igual manera no conozco a estas personas y no quiero hacer un juicio de valor sobre su trabajo, estoy usando este concepto como puente para ejemplificar un concepto.

Así como esta Abogada está a cargo de una Subsecretaría que debería ser técnica, algunos de mis colegas tenían profesiones bastante lejanas a la informática, como ser: sociólogos, profesores de música, psicólogos, bioquímicos, etc.
Esta gente no estaba del todo capacitada para administrar los productos suministrada y muchas veces no comprendía los conceptos básicos que te da haber estudiado informática.


4. Agencias gubernamentales como espacio de militancia política.
Es sabido que en el estado los altos puestos son asignados a dedo por los gobernantes de turno. Y estos nuevos directorios traen consigo gente de confianza, asi cada 4 años hay un recambio de directivos y se genera un clima de incertidumbre en la gente (van a seguir teniendo trabajo? Van a sacar al sindicato? Van a cerrar el ministerio?)

Al haber una grieta política tan grande en Argentina, muchas veces los mismos empleados tiran en contra del directorio de turno, tratan los activos de IT con desidia o no cumplen sus funciones para no “beneficiar al otro” sin entender que a quien deberían beneficiar es a la ciudadanía.

Al tener recambios de gobierno cada 4 años, por otro lado, muchas de las iniciativas iniciadas por un gobierno, son descartadas por el otro.
Un ejemplo muy simple: El cepo cambiario del gobierno de Cristina Kirchner que fue removido en el gobierno de Macri para ser restituido en los últimos días de su gobierno.
Es muy difícil establecer políticas de ciberseguridad e IT a largo plazo si no tenés una continuidad.
Un buen ejemplo de esto es lo que pasa, por ejemplo en Alemania: donde los distintos partidos se propusieron atacar la crisis del cambio climático y formaron una coalición para atacar esa problemática independientemente del partido.

 5. Corrupción

No hace falta que diga mucho acá, no?

Posible solución

Nobleza Obliga, acá me lleve una grandísima sorpresa. Esto está encaminado por el gobierno actual para bien, encontré que hay una Dirección nacional de ciberseguridad que, por lo que veo, tiene un plan de acción bastante claro.
 
Algunas de las sugerencias que yo daría y las respuestas desde la Dirección Nacional de Ciberseguridad a continuación


– Estandarizar las medidas de seguridad a nivel nacional mediante entes reguladores, auditorias y controles de compliance


Investigando encontré que ya hay una decisión administrativa que define los Requisitos mínimos de Seguridad de la Información para Organismos.
Acá hay una presentación sobre los requisitos mínimos:
Cabe destacar que esto fue firmado en 2021 y no pude encontrar datos sobre el estado de la implementación.

– Establecer un SOC nacional para monitorear incidentes de seguridad y responder de la manera mas eficiente
Otra grata sorpresa, en 2021 se creó cert.ar

No pude encontrar información de si ya se encuentra operativo, pero todos los ciberataques que mencioné pasaron de 2021 a hoy así que, en mi opinion, de estar operativo hay cosas que mejorar.


– Establecer un plan de infraestructura critica

Seguimos por el buen camino:
El plan de infraestructura crítica esta definida desde 2019
Encontré la política de infraestructura critica, pero a decir verdad es bastante genérica
Habrá que ver cómo se definen internamente las politicas de protección para cada área.


– Establecer un plan de educación para ciberseguridad
Sigo sorprendido, está incluido en la estrategia nacional de ciberseguridad.


– Incluir educación básica de ciberseguridad en las escuelas desde la primaria.
Esta información no la encontré en ningún lado.


Conclusión:

 Me lleve una lindísima sorpresa con ver que hay un plan y está en marcha.
Lamentablemente no pude ver la parte técnica (por ejemplo, que estándares usan o que productos o medidas técnicas recomiendan) ni tampoco el progreso que se está haciendo.
Como un juicio de opinión, todo lo que encontré me pareció escrito a nivel políticos y no tanto a nivel técnico (queda claro el por qué, me encantaría explicarle a Cafiero que es un metasploit, aunque no creo que vaya a pasar).


Referencias:


Ley de protección de datos personales:
http://servicios.infoleg.gob.ar/infolegInternet/anexos/60000-64999/64790/texact.htm

Ciberataque al Renaper:
https://www.lanacion.com.ar/stories/sociedad/hackeo-filtran-miles-de-datos-personales-del-renaper/
https://eleconomista.com.ar/tech/hackean-renaper-hablo-hacker-asegura-tener-copia-datos-planea-venderlos-filtrarlos-n47003

Ciberataque al INTA:
https://news.agrofy.com.ar/noticia/204770/hackeo-inta-argentina-lidera-ranking-ciberataques-region

Ciberataque a la CNV:
https://www.infobae.com/economia/2023/07/01/hackeo-a-la-cnv-ya-circulan-500000-archivos-filtrados-con-datos-confidenciales-de-bancos-y-empresas/
https://www.ambito.com/economia/hackeo-la-cnv-el-grupo-hacker-difundio-informacion-no-recibir-el-pago-rescate-n5757458

Ciberataque a la Legislatura:
https://www.eldiarioar.com/sociedad/legislatura-portena-sufrio-hackeo-sistemas-internos_1_9309498.html
https://www.clarin.com/ciudades/hackearon-legislatura-portena-piden-usar-computadoras-internas-red-wifi_0_1vF4Jky2Xv.html
https://www.infobae.com/politica/2022/09/12/la-legislatura-portena-sufrio-un-hackeo-que-afecto-sus-sistemas-internos/

Año nuevo, vida nueva… Contraseña vieja.

Hace un par de meses leí que durante 2020 los ciberataques aumentaron un 70% con motivo de la pandemia, algunos de los titulares que más resonaron en Argentina fueron el ataque de Ransomware a Migraciones de Argentina, El “ataque” al Streaming del día de la lealtad peronista y el que más revuelo tuvo a nivel mundial el ataque al Tesoro de EEUU, según se cree por parte de otro país.
No obstante, estos fueron los ataques más relevantes, el phishing se incrementó casi in 80% y el robo de datos aumentó considerablemente.
(Para más información vean este informe de Interpol)

Ahora, en estas épocas del año nos ponemos objetivos para cumplir durante el nuevo año, me gustaría proponerte que en 2021 uno de tus objetivos sea “estar más segurx digitalmente”.  En las próximas líneas te voy a contar un poco que podés hacer para estar más seguro en el ciberespacio.

Actualizar tus contraseñas.

¿Hace cuanto que no cambias la contraseña del mail? ¿Y la contraseña de Facebook? ¿Cuánta gente sabe tu contraseña de Netflix? ¿Y la del Wifi?
Una buena idea para empezar este 2021 más seguros es cambiar la contraseña de nuestras cuentas. Algunos consejos:

  • Que tenga mayúsculas y minúsculas.
  • Que tenga números.
  • Que tenga caracteres especiales (¡, $, #, @, . , etc)
  • Que no sea fácil de adivinar (Evita cosas como clubes, bandas, direcciones, nombres de seres queridos, etc)

Un punto para empezar a cambiar las contraseñas y un ejercicio regular que podes hacer es entrar a haveibeenpwned que chequea tu mail contra filtraciones de datos reportadas abiertamente.

Activa el doble factor de autenticación

El doble factor de autenticación (2FA) es una medida de seguridad extra que se suele usar en entornos corporativos, pero que está disponible en una gran variedad de servicios.
Así como la contraseña es la respuesta a la pregunta a “Algo que sé” el doble factor de autenticación es la respuesta a una de dos preguntas “Algo que tengo” como puede ser un token o “Algo que soy” como podría ser un sensor de huellas dactilares o un scanner de retina.

Mi recomendación es activar un token de Google Authenticator que tiene una gran variedad de servicios disponibles.
Acá podes ver como instalarlo y configurarlo.

Usar un Password Manager

¿Tenés la contraseña anotada en la agenda? ¿En un archivo de Excel?
Te propongo una alternativa mucho más segura, usa un password manager.
Estos servicios son como una base de datos, completamente cifrada, para tus contraseñas y usuarios.
En cuanto a opciones 1Password es un servicio cloud en el que vas a tener todas tus contraseñas sincronizadas en el celu y la compu por 3 US$ al mes.

Mientras que Keepass es un servicio completamente gratuito https://keepass.info/ (la implementación para MacOS se llama MacPass)
todas las contraseñas se van a almacenar en un archivo .kdbx al que podemos darle una medida extra de seguridad poniéndolo en nuestro servicio de nube (Google Drive, One Drive, Dropbox, etc)
Acá te dejo un tutorial de como instalarlo.

Actualizar el Sistema Operativo y las Aplicaciones

Si tu PC lo permite, siempre es buena idea tener el sistema operativo con los parches al día y las aplicaciones lo más actualizadas posible.
Si hace rato que no actualizas tu PC te invito a que este año actives el Windows Update y bajes los últimos parches. Si no sabes cómo, buscar un técnico de PC para que lo haga por vos es dinero muy bien invertido, de paso optimizas la PC un poco.
En cuanto a las aplicaciones es un espectro muy amplio, pero ya el hecho de tener el navegador Web (Chrome, Firefox, Edge, Safari) al día es un punto importantísimo.

Tener el antivirus activado y actualizado

En cuanto al antivirus podemos hablar un rato largo cual es el mejor y cual tiene mejores prestaciones.
A mí me gusta Malwarebytes que por 3.33 US$ al mes tenés protección Premium para un dispositivo.
Ahora, en cuanto a antivirus gratuitos podemos usar Windows Defender que está incluido en la licencia de Windows 10 y trae varias funciones de seguridad avanzadas (Firewall Avanzado, Inspección de tráfico, etc), Avast es otra buena opción que es Gratuita.
Cualquier opción paga o gratuita lo importante es tenerlo activado y actualizado, así reconocen las nuevas amenazas.

Espero que este articulo te haya orientado con algunas ideas para estar mas segurx en 2021.
Felices fiestas!

Nacho

¿Cómo preparar el VCP-Data Center Virtualization 2020?

Después de más de un año sin rendir certificaciones me decidí a ponerme al día y prepararme para el VCIX-DCV.
Lamentablemente, por los cambios en las políticas de certificación de VMware me di cuenta que mi VCP-DCV6 estaba vencido y no iba a servir.

Al tener una certificación VCP-DCV6, no me era necesario rendir el examen vSphere 6.7 Foundations ni asistir a ningún curso. Por lo que directamente agendé el examen delta de vSphere 6.7. Con esto ya tenía una fecha limite, a partir de eso empecé a trabajar.

Lo primero que hice fue descargar la guía de del examen. En base a esa guía separé los temas en 3 “pilas”: Lo sé, no lo sé, hace falta un repaso. Entonces, por ejemplo: SIOC y NIOC entraron en la pila de lo sé, Fault Tolerance entró en la pila de repaso y temas como vCenter HA o VM encryption en la pila de no lo sé. Siendo la ultima pila la de mayor prioridad.

Desde la documentación oficial de VMware leí la teoría para cada tema en las pilas de repaso y no lo sé, también aprovechando la oferta de VMware Learning Zone gratis por seis meses elegí ver los videos de Exam Prep (hay uno para el foundations si tuvieras que prepararlo), hay un video por cada objetivo.
Entonces, por ejemplo, Para el objetivo 1.2 – Identify vCenter high availability (HA) requirements leí todo lo referente a vCenter HA hasta estar seguro de que lo había entendido y después me vi el video relacionado del Exam Prep donde un instructor te da tips del estilo de:
¿En qué se diferencian vCenter HA y vSphere HA? ¿Cuántos componentes tiene? ¿Cuáles son los requisitos?


El día del examen rendí remoto con el modo proctored de Pearson Vue (en otro post te cuento la experiencia). El examen son 40 preguntas multiple choice y es en inglés, tenes 90 minutos para rendirlo (la página dice 75, pero te dan unos minutos extra por no ser un país donde el inglés es el idioma oficial). Por referencias de conocidos, el nivel de inglés puede afectar tu performance en el examen. Personalmente no me pareció dificil, muchas de las preguntas vienen desde vSphere 6.0 y al tener experiencia con la solución salen fácil. Una vez terminas con las preguntas podes revisarlas todas o directamente ir a la devolución.
Al temrinar el examen sabes la nota, yo me saque 462/500 y la nota minima para aprobar es 300, también te podes imprimir el resultado. Más o menos a las 24 horas VMware me mandó el badge de la certificación mediante YourAcclaim.

VMware Certified Professional - Data Center Virtualization 2020

En esta crónica te conté mi forma de preparar esta certificación, que en mi caso puntual ya había rendido antes y es un producto con el que tengo experiencia. Como siempre digo, es mi forma de hacer las cosas, no quiere decir que sea la única, simplemente es la que a mi me funciona.

Gracias por leer
Por favor contame que te pareció el articulo.

Nacho

Estimado Recruiter…

En mi mente siempre prima el ayudar al pójimo en cualquier circunstancia, si por cederte 10 o 15 minutos te ayudo con tu trabajo, bienvenido sea.
Por eso es que siempre, incluso cuando no estoy buscando trabajo (como es este caso) me tomo un ratito para escuchar las propuestas laborales que me llegan o aunque sea responder los mails (Siempre aclarando que no estoy interesado) . Sea por ayudar, por cortesía, por simple curiosidad o para ver como está el mercado.

Te cuento una historia:
Hace una semana me acercaron una oferta que no me resultaba tentadora, ni me interesaba demasiado, (ya que estoy verdaderamente contento con mi trabajo actual). Desde una consultora de RRHH que vuelta a vuelta me contacta con busquedas que no dan con mi perfil. Como esta vez más o menos le pegaron decidí escuchar la propuesta y agendar una call.

El entrevistador se conectó 10 minutos tarde a la call, y durante la call sólo preguntó cosas que estan en mi CV (y linkedin) por ejemplo: ¿qué tecnologías manejo?, ¿dónde trabajo?, ¿donde trabajé?, etc.
Al terminar esta “entrevista” que duró unos 10 o 15 minutos, me comentó que no tenía posiciones para mi. Y me dio las gracias por los datos que cargó en el sistema y que seguíamos en contacto.

Esto me lleva a pensar que somos todos profesionales y nuestro tiempo (si, incluso en cuarentena) vale.
A los entrevistados muchas veces se nos “evalúa” por la puntualidad, presentación y por supuesto los requisitos técnicos.
Sin embargo a vos muchas veces no podemos darte un feedback.
Por favor, ponete en nuestro lugar, no pedimos demasiado:
– Lee el CV (que nos lleva horas mantenerlo actualizado y presentable) y tratar de entenderlo.
– Si no llegás al horario pautado, mandame un mensaje que no me voy a enojar.
– No me hagas perder el tiempo.
– Tené en claro que buscas.
Suena loco tener que pedir estas cosas hoy en día, ¿no?

No es la primera vez que pasa algo así, y creo que la mayoría de la gente de IT pasó por una situación similar.
También está bueno aclarar que por cada desprolijo de estos, hay personas serias que hacen su trabajo con dedicación y compromiso. Gracias a ellos.


Si llegaste hasta acá. Gracias por leerme.
Comentame que te pareció.