Tras las dos filtraciones que el grupo de ciberdelincuencia Maze realizó en los últimos días muchas preguntas quedaron en el aire. La ciudadanía no ha terminado de entender qué pasó, cómo puede evitarse y si debe o no preocuparse.

La narrativa del BCR en torno al evento fue evolucionando a medida que pasaban los días. De un “aquí no ha pasado nada” se pasó eventualmente a aceptar que en efecto estaba circulando información delicada de forma “pública”, por lo que tomó las medidas del caso.

Las dos decisiones más importantes (a criterio de este redactor) del banco, en ese sentido, fueron. #1. Asegurar que respondería en caso de cualquier agravio sufrido como consecuencia del actuar de Maze. #2. Reemplazar de forma gratuita la tarjeta de cualquier persona que pudiera haber sido comprometida.

Bien por eso, sienta un precedente que esperamos sea el estándar en esta y cualquier otra institución financiera nacional que enfrente un episodio similar. Si en algo coinciden los distintos expertos en ciberseguridad consultados por Delfino.CR (y no coinciden en mucho) es en que la comunicación del banco pudo ser más eficiente y oportuna. Esa es otra lección que queda a futuro.

En cualquier situación que genere incertidumbre la mejor respuesta es ofrecer certeza y cuanto antes. Especialmente en torno a la seguridad del dinero de los clientes. Esto, además, ayudará a evitar que queden vacíos en el camino que terminen llenando terceros no autorizados por el banco, como sucedió en esta ocasión con la polémica decisión de ATTI Cyber, empresa de ciberseguridad local que desarrolló una plataforma en la que los tarjetahabientes podían revisar si la numeración de su tarjeta había sido divulgada.

Distintos expertos en el tema nos contactaron indispuestos y nos dijeron que esa práctica podía resultar peligrosa. Algunos incluso insinuaron que era una estafa. Dispuestos a denunciarlo en caso de que así fuera pedimos evidencia por un lado y acciones legales por el otro. Ninguno de esos dos caminos prosperó, lo que no dejó de llamar nuestra atención. Tampoco estuvieron dispuestos a asegurar lo que sugerían “on the record”. Pero sí quedaba la duda en torno a la legalidad del gesto de Atti Cyber, por bien intencionado que fuera.

Sin ir muy lejos, Bernardo Alfaro, jerarca de la SUGEF, aludiendo a la herramienta (sin especificar que hablaba de esta en particular) dijo a La Nación: “Es una trampa para capturar sus datos mediante un malware y causarles un perjuicio”. Es una declaración muy fuerte, y habría sido oportuno que la hubiera sustentado y aterrizado aludiendo a la empresa particularmente, pero no lo hizo. Quedó ahí. “En el aire”. Igual que tantos otros temas concernientes a este caso cuando fueron abordados desde la institucionalidad.

El tema es que Alfaro también dijo, “on the record” (al mismo medio) que la numeración completa de la tarjeta (fitrada por Maze) no bastaba para perpetrar estafas. Esto contradecía la información que varios de los expertos consultados por este medio nos dieron. Pero fue más allá: aseguró que la documentación no incluía códigos CCV. Esto también contradecía la información que nosotros pudimos corroborar.

Así las cosas, estuvimos claros en dos temas. Primero, es importante determinar el alcance legal del gesto de Atti Cyber y corroborar si en efecto la herramienta se prestaba para lo insinuado por el jerarca. Segundo, es importante aclarar si en efecto la información filtrada por Maze era inocua como sugirió Alfaro: “es muy difícil que estos datos sirvan para cometer fraudes”.

Naturalmente hay mucho más que discutir, ¿qué pasó?, ¿por qué pasó?, ¿qué implica?, etc. Pero estamos claros en que todo eso se está investigando y por ende comprendemos que nadie puede todavía ofrecernos esas respuestas. Así que trabajamos con “lo que hay”. Y nos alegra muchísimo que expertos del International Information Systems Security Certification Consortium Costa Rica (mejor conocido como ISC2 Costa Rica Chapter) hayan tenido la amabilidad de atender y contestar nuestras consultas “en on”.

Esperamos que este intercambio sea muy valioso para todas las partes interesadas y aludidas. Previo al cuestionario...

Vamos con las introducciones

Óscar Monge España, miembro fundador de ISC2 capitulo Costa Rica, tiene 16 años de experiencia en múltiples campos de la ciberseguridad, como lo son la Respuesta de Incidentes, Inteligencia de Amenazas, Manejo de Riesgos y Manejo de Vulnerabilidades a nivel corporativo y en la nube,  metodologías ágiles e ITIL,  es experto en seguridad de la información y profesional en seguridad en la nube. Su trabajo en el campo, le llevó a obtener el galardón  como el mejor practicante de seguridad para America (America’s ISLA) otorgado por la reconocida organización ISC2 en el 2017.

Actualmente trabaja para Rabobank en Holanda como Arquitecto de Soluciones de ciberseguridad para el Cyber Defense Centre encargado de la implementación de la estrategia de ciberseguridad, estandarización de procesos e implementación de prácticas alineadas a la industria. En su tiempo libre es instructor para ISC2 de sus certificaciones CISSP y CCSP.

Monserrat Guitart, CIPP/E, Directora Regional de Propiedad Intelectual y Tecnología de Dentons Muñoz. En 2011, Monserrat se incorporó a BSA The Software Alliance como asesora legal para el programa antipiratería de América Latina en Washington D.C y en 2014 se unió al equipo de cumplimiento global donde, entre otros, analizó el impacto de la legislación de protección de datos en el programa en Brasil, México, India, Tailandia, Polonia y Rusia.

En 2016 se unió a Dentons Muñoz como Directora de la Oficina de Costa Rica y desde 2018 está a cargo de toda la región centroamericana. Desde el año 2017 Monserrat posee una certificación de IAPP - International Association of Privacy Professionals – como Certified Information Privacy Professional/Europe - CIPP/e.

En diciembre de 2018 fue nominada por el Financial Times por su contribución a la innovación en la profesión legal a través de la implementación de la plataforma Dentons Direct IP, una solución en línea que otorga a los clientes de Dentons acceso a un sitio personalizado que ayuda a estructurar grandes proyectos, como las evaluaciones de impacto de privacidad (PIA) que realiza en grandes empresas.

Algunas de sus publicaciones sobre protección de datos personales se pueden encontrar en Data Guidance  y el sitio de ItechLaw.

Kenneth González es actualmente consultor en pruebas de seguridad ofensiva y miembro de la junta directiva del capitulo de profesionales en ciberseguridad ISC2 Costa Rica.  Tiene varias publicaciones en blogs de ciberseguridad y un libro relacionado con herramientas y metodologías de monitoreo que utilizan tecnologías de detección de amenazas cibernéticas. También es instructor de clases de seguridad cibernética, incluidos hacking ético, seguridad ofensiva y ciberseguridad en general. Con 12 años de experiencia en productos y servicios relacionados con la ciberseguridad, amenazas de seguridad, tácticas de defensa de ciberseguridad y seguridad ofensiva. Kenneth posee certificaciones tales como OSCP, eCPPTv2, CISSP, PENTEST +, CISM, CISA, CEH, CSX, CPTE, MCSA, MCITP, MCTS, CySA+ Project +, Sec +, ITILv3, COBIT 4.1

Preguntas y respuestas

¿Qué es ISC2?

Es la asociación sin fines de lucro de especialistas de seguridad de la información más grande y reconocida a nivel mundial, presente en más de 135 países y agrupa a más de 60.000 profesionales. 

Existen diferentes versiones de diferentes grupos de expertos en seguridad (la mayoría de los cuales nos han solicitado el anonimato) en torno al alcance de las dos filtraciones que ha hecho Maze. La versión oficial, avalada por el jerarca de la SUGEF, Bernardo Alfaro, asegura que la información que se filtró no es suficiente para perpetrar estafas, pues en principio se limitaría a la numeración entera de las tarjetas. Dijo, inclusive, que la filtración no incluía el CCV. En concreto ¿Pueden confirmar ustedes que la numeración entera de la tarjeta no es suficiente para perpetrar estafas? ¿Pueden confirmar que ese fue el único dato que se filtró? Diversas fuentes nos han indicado lo contrario, pues dicen haber confirmado casos donde se incluyó el track 2 de la tarjeta, o el ccv, etc. 

La información publicada es un registro de transacciones que contiene el número de la tarjeta y el track2, este último contiene la información incluida en la banda magnética, lo cual podría facultar el que se impriman y “clonen” las tarjetas, sin embargo el riesgo no es tan alto por lo siguiente:

  • Para compras por internet la gran mayoría de sitios requieren del cvv3, conocido como código de seguridad y que usualmente va impreso en la parte trasera de la tarjeta, el cual no fue publicado.
  • Es importante aclarar que el cvv2 es un valor que se genera utilizando una llave criptográfica almacenada en equipos de seguridad conocidos como HSMs y la posibilidad de generar esos valores a partir del número de tarjeta es prácticamente imposible. Además esos valores no deben ser almacenados por las entidades Bancarias, el valor se calcula cada vez que se realiza una transacción, se utiliza únicamente para validar la tarjeta utilizada. 
  • Si bien es cierto, algunos comercios podrían realizar transacciones sin el código de seguridad, son los menos y en teoría, por no utilizar los mecanismos de seguridad, ante una transacción fraudulenta estos comercios deberían hacerse responsables por los cargos.
  • El clonar las tarjetas se vuelve poco rentable para los delincuentes porque no tienen el PIN requerido para sacar dinero de los cajeros automáticos (ATMs) y son pocos los países y comercios que siguen utilizando la banda magnética. Precisamente la mayoría de los Bancos vienen desde hace varios años sustituyendo esa tecnología. 

La Asociación Bancaria Costarricense, al día de hoy, sigue hablando de “información supuestamente vulnerada”. ¿Están de acuerdo con ese discurso oficial? ¿Podemos seguir hablando de supuesta vulneración? 

Recientemente las autoridades del Banco y de la SUGEF reconocieron que la información es válida, con lo cual podemos decir que si se vulneró, lo que no está claro es cómo se vulneró, si se debió a una fuga de información o si existió una intrusión. 

Esto deberá ser aclarado tanto por el Banco como por el OIJ en su investigación, existe la posibilidad de error o incluso dolo de parte de un funcionario. Hay que tener en cuenta también que estos grupos de cibercriminales trabajan con esquemas extorsivos, eso quiere decir que por la propia naturaleza de su negocio pueden llegar a alterar la veracidad en términos de como se obtiene la información, por ejemplo ataques a terceras partes o bases de datos antiguas de transacciones de tarjetas que no necesariamente pertenecen a una entidad financiera.

¿Cómo se puede fugar o exfiltrar la información de una organización? En este caso se ha sostenido que no fueron los sistemas del BCR propiamente los que fueron vulnerados. Y aunque eso sería una buena señal, el punto principal de esta conversación lo resumió muy bien Susana Soto cuando dijo: “Hay una filtración de información que no debería estar en ningún otro lugar que en los sistemas del banco. Punto”. Sabemos que las investigaciones recién inician pero, ¿qué versiones se manejan de lo que pudo hacer sucedido y cómo se pudo evitar?

Es importante indicar que no existe seguridad absoluta, la posibilidad de que los sistemas hayan sido vulnerados existe, ataques muy bien planeados y ejecutados podrían vulnerar prácticamente cualquier empresa, las empresas reciben cientos de ataques diarios y claro siempre existirá además el factor humano, un error, un funcionario que exportara la información en un disco duro o medio externo de almacenamiento o incluso la posibilidad de que fuera con dolo, ya sea un empleado resentido o incluso pagado por las redes de delincuentes.

Existen múltiples vectores de ataque, lo más usual es el uso de malware e ingeniería social, con la cual logran que usuarios internos bajen archivos o acceden a sitios en donde son contagiados del malware que luego hace su trabajo, de hecho el malware MAZE que es un tipo RANSOMWARE (cifra información y pide rescate) funciona de esa manera, ataques a usuarios y por medio de técnicas de engaño se propaga por la red, realizando revisiones a otros equipos y servidores. Además este software malicioso MAZE (que está activo desde mayo de 2019 según investigaciones internacionales) ha sido utilizado en múltiples ataques a compañías financieras, de “retail” y otros sectores en otras partes del mundo, así que se conoce ya su metodología de ataque y comportamiento.

Evitarlo requiere de una serie de controles que están definidos en estándares como ISO27001, el framework de seguridad de NIST (National Institute of Standards and Technology) y en el caso particular de las tarjetas de crédito y débito en el PCI/DSS.

¿Qué pasa con los controles de seguridad? ¿Son los bancos seguros o no lo son?

Los Bancos son de las empresas que más han invertido en seguridad y por razones obvias, sin embargo el tema es realmente complejo, los vectores o vías de ataque son muchas, además la constante evolución de la tecnología requiere de actualización constante. No existe seguridad absoluta y podríamos hablar de niveles de seguridad y una empresa será más, o menos segura dependiendo del nivel de cumplimiento de las normas y buenas prácticas internacionales que ésta aplique. 

En el caso de los Bancos en Costa Rica, existe incluso un “modelo de Madurez” emitido por la Cámara de Bancos en donde se especifican los controles adecuados a implementar, el cual fue revisado y avalado por el Capítulo ISC2 Costa Rica. Ahora bien, esto es un proceso integral, cíclico y continuo, no se trata acá solo de comprar sistemas de seguridad o realizar una serie de procesos de consultoría para validar posibles brechas de seguridad o mejoras, es un tema que se aplica día a día e involucra a toda la organización, e indudablemente debe iniciar con el respaldo e involucramiento de los niveles más altos y abarcar toda la organización. 

¿Son las medidas de seguridad muy costosas?

El costo varía mucho, existen herramientas muy costosas, pero también existen herramientas gratuitas.

Por ejemplo empresas de alto renombre brindan servicios y sistemas que son bastante costosas, pero muchas de ellas tienen versiones de estos productos libres sin pago alguno. 

Así también existen servicios de inteligencia de amenazas gratuitas y de fácil acceso para que especialistas en ciberseguridad puedan implementar sistemas de detección temprana en las empresas sin aun ser atacados. Esto facilita el proceso de detección y control de amenazas en caso de que algo suceda.

Uno de los temas más importantes en el punto del costo de la ciberseguridad es que la comunidad de especialistas y expertos comparte mucha información de análisis de ataques en otras latitudes. Podríamos hacer una semejanza en términos de la industria aérea, en donde una falla en un avión da hincapié a que toda la industria mejore, es igual en ciberseguridad, un ataque nuevo hace que la industria comparta información y mejores los sistemas de defensa y detección. Pero nuevamente es un proceso continuo que no termina, si no madura con el tiempo.

¿Existe algún estándar o norma de seguridad a seguir para garantizar la seguridad de las empresas?

Si claro, dependiendo de la industria existen normas o estándares, por ejemplo NIST (National Institute of Standards and Technology) tiene diferentes marcos de referencia uno de los más amplios es el “framework de cyberseguridad”,  otro de los más utilizados a nivel internacional es el ISO 27001 conocido en la industria como el estándar dorado en la seguridad de la información y particularmente en el caso de las tarjetas de crédito y debido el cumplimiento de la norma PCI/DSS, entre muchos otros. 

En el gremio de seguridad informática existe un consenso que sin duda parece ser el más oportuno: la recomendación es no digitar ningún tipo de información en sitios cuya seguridad no nos consta. Estamos todos claros en que de forma directa o indirecta han aludido a la plataforma desarrollada por ATTI Cyber, empresa de ciberseguridad local. El propio Alfaro dijo (sin aludir directamente a la empresa) “es una trampa para capturar sus datos mediante malware y causarles un perjuicio”. La pregunta es concreta pues ISC2 es autoridad en la materia. ¿Pueden ustedes confirmar que este sitio en efecto hacía eso? Adicionalmente: ¿Qué debemos entender cuando el jerarca de la SUGEF dice que 16 números de una tarjeta no son suficientes para perpetrar una estafa pero 10 sí?

Nosotros verificamos el sitio de ATTI Cyber y pesé a que éste en particular no capturaba información adicional, indirectamente promovió a que los usuarios utilizarán medios no oficiales y de paso, posiblemente sin intención, facultó a los grupos de delincuentes a publicar sus propias plataformas en donde sí se capturaba información que no estaba publicada y con la que sí era posible cometer fraude.

Plataformas de este tipo si bien pueden ser en su idea base útiles, representan un riesgo ya que la información procesada o capturada por estos sitios (sea completa o no) puede presentar un nuevo riesgo de exposición, ya que al ser una empresa privada no se tiene conocimiento de donde se procesan estos datos, donde se almacenan y tampoco si existen metadatos que son almacenados y pueden representar un riesgo alto en caso de estos sean expuestos al público, por ejemplo IP de donde se hace la consulta, información del navegador, cookies, etc.

Respecto a la afirmación del señor Alfaro, no tenemos clara la afirmación, excepto que efectivamente el número de tarjeta sin el código de seguridad no es tan valioso, aunque si podría cometerse algún nivel de fraude o algún tipo de estafa, especialmente telefónica o por correo electrónico. 

Lo que nos lleva a una pregunta muy importante: ¿Qué implicaciones legales puede tener el afirmar que una empresa ha sido vulnerada, a partir de una información publicada aunque, esta sea válida? Es decir: ¿No debió ATTI Cyber confirmar lo que después el propio banco aceptó? 

Brechas de seguridad ocurren todos los días, todos los días la empresas alrededor del mundo se exponen a ataques y muchos de ellos son mitigados (la última estadística por parte de la universidad de Maryland indica que existe un ataque informático una vez cada 39 segundos) esto representa un reto importante para todos los especialistas y profesionales en ciberseguridad, ahora existen procesos de investigación que en muchos casos duran meses y hasta años. El que un grupo de cibercriminales indique que logro ejecutar exitosamente un ataque y se valide inmediatamente no es algo normal. 

Existen en la industria conceptos de IOC’s (Indicadores de compromiso) que permiten a los investigadores y también a los analistas de ciberseguridad validar si la organización está experimentando algún tipo de ataque, estos datos normalmente son confidenciales y son tratados a nivel interno por la mayoría de empresas ya que pueden exponer información importante y confidencial. 

Investigaciones forenses y procesos de respuestas a incidentes son claves para asegurar o no que una empresa fue atacada. Estos procesos  son ejecutados sobre sistemas internos de las empresas, a no ser de que la empresa ATTI fuera contratada por el banco para validar estos temas, no es correcto indicar que existe la empresa fue vulnerada o “hackeada” de forma tan categórica.  

Respecto a las implicaciones legales por ser un tema con posibles implicaciones penales y no tener en el grupo especialistas en ese tema, preferimos no referirnos.

La empresa tica asegura haberse asesorado legalmente y haber previsto las implicaciones legales y técnicas de su herramienta. También que el sitio no capturaba información indebida y que no tenía malware. Sin embargo, el gesto (este entrevistador en particular parte de la buena voluntad) de querer ayudar a la ciudadanía fue interpretado por sus colegas como precipitado, negligente y peligroso, posición que entiendo el ISC2 comparte. Lo que nos lleva a la consulta: ¿Qué implicaciones legales tiene el uso de información robada, como la utilizada para validar el compromiso de las tarjetas? 

Es importante aclarar que nuestro criterio a título personal y como miembros de “ISC2 Costa Rica Chapter” y efectivamente los miembros del grupo compartimos que la herramienta de validación incremento el riesgo para los usuarios.

Respecto al tema de las implicaciones legales de utilizar información robada y publicada, que consideramos muy diferente a ser información pública, hemos solicitado colaboración a la abogada especializada en el tema Monserrat Guitart, quien nos indica lo siguiente:

Para poder tratar datos personales, incluyendo la información de tarjeta de crédito, siempre se requiere una base legitima, que en este caso es el consentimiento del cliente del banco. Así las cosas, solo el Banco y dentro de los límites marcados por el propio cliente puede utilizar esta información. El hecho de que la base sea divulgada por terceros o el que la misma este ahora presumiblemente disponible en internet, por las razones que sea, no proporciona esa base legitima ni el derecho a utilizar la base de ningún modo. 

En las redes, se produce el efecto “Rolling Stone” y cuando algo empieza a rodar, es muy difícil frenarlo, por ello lo recomendable como usuarios es evitar divulgar algo que en primer lugar, no debió estar allí. Esto es muy palpable con fotos o videos que se filtran sin la anuencia de los participantes, nosotros podemos hacer nuestra parte y no compartir para de algún modo preservar la privacidad de los involucrados.”

¿Estamos hablando entonces de un vacío legal que deja a la gente en una situación de indefensión cuando la autoridad responsable deja pasar los días sin aludir al tema y la información ya es de uso público? Pregunto esto con genuina preocupación. ¿Por qué? Porque aquellas personas que tenían amistades con el conocimiento debido en la materia en cuestión de horas pudieron confirmar (de forma “off the record”) si su tarjeta había sido comprometida, mientras que el resto de la población no. La diferencia es que Atti Cyber hizo sus servicio público, el resto de expertos operaron “desde la clandestinidad”, pero hicieron lo mismo: procesar la información y ayudar a la gente a confirmar si aparecía su tarjeta. Yo mismo tuve la suerte de contar con este beneficio pero… ¿no debí? ¿no debieron ayudarme mis amigos? Porque  entonces, además del “vacío legal” por el cual les pregunto, estamos ante un dilema ético. ¿Consideran ustedes que es incorrecto lo que hizo Atti Cyber pero no lo que hicieron quienes hicieron lo mismo sin hacer público su trabajo? 

Respecto al tema del vació legal y la eventual responsabilidad de las empresas a comunicar un incidente a los afectados, indicamos la respuesta dada por la señora Monserrat Guitart:

Lo primero que hay que aclarar es que la información no es publica, si no, que por un potencial acto ilícito fue revelada, a pesar de las medidas tecnológicas adoptadas. Está allí porque hubo un ataque deliberado a los sistemas de resguardo de la información. 

 Lo que correspondería es no hacer uso de esos datos, pues nadie más que el Responsable de la Base de Datos estaba autorizado a hacerlo, quien además debe, realizar un análisis de riesgo y establecer las medidas de mitigación. 

No todo lo que está en Internet es público o de libre acceso por estar disponible y esto se aplica no solo a películas y música, sino también a bases de datos.”

Lo cierto del caso es que en términos de seguridad hay cosas que parecen buenas, en este caso en particular la verificación de las tarjetas, pero indudablemente fue precipitado y aumento el riesgo de los usuarios, en el mejor de los casos debió enviarse la herramienta al ente competente, en este caso al Banco, para que éste decidiera si la utilizaba o no. En seguridad es indispensable acceder a sitios que sean oficiales, esto elimina situaciones como las que se presentaron con otros sitios que sí capturaban datos adicionales de los usuarios. Agregando el hecho de que se genera pánico en la población y se podría irresponsablemente poner en riesgo a una empresa, en este caso al Banco de Costa Rica. 

Operar desde la clandestinidad es un término que se puede tomar de mal manera, es decir, un profesional no puede salir y publicar: “EL BCR fue “hackeado””, eventualmente se podría indicar que existió una fuga de información y que pudo haberse debido a una brecha de seguridad y que está en investigación, además de ser más objetivo con el riesgo real de esa información, si es cierto que se puede cometer fraude, curiosamente no parecen haber casos de clientes defraudados al menos a la fecha, por otro lado está la clara responsabilidad de la entidad de responder por un eventual fraude, con lo cual quien tiene realmente el riesgo es el Banco de Costa Rica y no sus clientes. 

Consideramos que si hay errores graves en la forma de la comunicación que magnificaron el incidente y aumento el riesgo para los usuarios, para la empresa e incluso para el sector Bancario.

Lo que nos lleva a otra consulta importante. La lista de tarjetas, como tal, ya era pública. ¿Es ilegal para cualquiera de nosotros poseerla incluso si la persona la baja para confirmar que su tarjeta está comprometida? ¿Es ilegal compartirla con una amistad con el objetivo de ayudarle? 

Tal y como se indicó el hecho de que una información se publique, no la hace pública,  más allá de la legalidad que se explicó en la consulta anterior, los riesgos en que se incurren son varios, en esos sitios fraudulentos, tal como la página de Maze, usualmente se colocan virus para que las personas curiosas al acceder al sitio sean contagiadas, a esos sitios solamente debe ingresar personal especializado y utilizando equipos debidamente asegurados, el que una persona baje la información de esos sitios y además la comparta incrementa el riesgo y magnifica el incidente. 

Nota del redactor: Yo estaba hablando de “pública” aludiendo a que la información en vez de estar protegida como corresponde, circulaba libremente. No estaba utilizando un término “legal” ni dando a entender que la liberación de información confidencial la “legaliza”. Aludía al hecho público (pun intended) y notorio de que cientos de miles de numeraciones de tarjeta fueron “liberadas” en la red.

¿Dirían ustedes entonces que la mejor forma de manejar esto como cliente, a futuro, es siempre esperar a la respuesta oficial del banco (sea cual sea y tome el tiempo que tome) incluso si se tiene certeza de que la información es sensible y vulnerable y permite el compromiso de la tarjeta?

El incidente definitivamente tiene que llamar la atención de todos, porque sí es importante tener transparencia y dar una comunicación clara y oportuna, para evitar que otros saquen provecho de la situación. 

Es posible que el Banco haya determinado que la información era de bajo riesgo y que decidiera antes de comunicarlo analizar el incidente para poder actual de la forma más conveniente. Sí consideramos que el Banco y las autoridades tomaron mucho tiempo para referirse al caso, no era necesario conocer la forma en que se dio la fuga, porque esa investigación es compleja, pero si era necesario saber que el Banco consideraba que el riesgo era bajo, que cambiaría sin costo alguno las tarjetas que se requieran y que luego determinaran la causa de como se dio el incidente.

¿Existe algún código de ética, entre los profesionales de Seguridad de la Información en Costa Rica? ¿Está nuestra legislación completamente blindada para atender casos como este? ¿Existe una entidad que pueda auditar, por ejemplo, que el sitio de Atti Cyber no tenía malware ni capturaba información indebida?

Existen agrupaciones como ISC2 que sí cuentan con un código de ética, que se basa en los siguientes principios:

  • Proteger la sociedad, el bien común, la confianza pública y la infraestructura.
  • Actuar honorablemente, honestamente, justamente, responsablemente y legalmente
  • Proveer un servicio diligente y competente.
  • Avanzar y proteger la profesión.

Esto es muy importante porque independientemente de la situación, ésta debe manejarse de manera profesional evitando generar problemas adicionales a las partes en general, no se trata de proteger a una u otra parte, sino a todos.

Muchos profesionales pueden hacer la validación de la no existencia de malware en el sitio, de requerirse una certificación consideramos que el ente a realizarlo es la unidad de delitos informáticos del OIJ, pero suponemos que ellos no actúan si no existe una denuncia previa.

Respecto al blindaje legal, al igual que el caso de la seguridad es un tema con muchas aristas que puede ser abordado desde la responsabilidad y procedimiento que deben seguir las empresas vulneradas, la responsabilidad de las empresas y especialistas de seguridad respecto a la publicación de este tipo de incidentes y su aporte para minimizar los daños de todas las partes y la de otros actores que será muy importante validar, particularmente la Prodhab debería analizarlo y pronunciarse al respecto. 

¿Cómo queda el tema de ciberseguridad luego de este ataque?

El escenario debería cambiar, en un mundo basado en la tecnología, la seguridad es un elemento indispensable y en empresas como los bancos en donde su negocio se basa en la confianza de la gente, el tema se vuelve mandatorio, las empresas deben analizar la importancia que realmente le están dando a la Cyberseguridad, tener claridad, control y seguimiento de los riesgos que están relacionados al uso de la tecnología. 

La Cyberseguridad no es un tema técnico, es un tema estratégico, porque impacta directamente en la operación del negocio de muchas empresas y por tanto debe tener la importancia que requiere. 

En el caso del sector bancario sabemos que existen foros de seguridad a nivel sectorial, además instituciones como el Micitt vienen trabajando en temas como la Estrategia Nacional de Cyberseguridad, pero es indispensable dotar a las áreas de seguridad del empoderamiento y de los recursos que requieren para poder potencializar el uso de la tecnología que tantos beneficios nos aporta.

¿Qué recomendaciones darían ustedes a empresas y usuarios?

Recomendaciones hay muchas, pero resumiendo podríamos decir lo siguiente:

A empresas:

  • Adopten un standard o marco de referencia de Seguridad.
  • Contraten personal con experiencia, preferiblemente certificado o procuren que se certifique. 
  • Controles básicos: equipos debidamente “parcheados” y actualizados. Sistema antimalware y firewall debidamente configurado, filtrado de navegación con restricción exclusivamente  a sitios laborales, bloqueo de uso de dispositivos externos, en caso de requerirlos utilizarlos solamente al interno, evitar el almacenamiento de información en equipos de los usuarios, separar y controlar los accesos desde y hacia los diferentes segmentos de red. 
  • Utilizar mecanismos de autenticación de doble factor, especialmente para usuarios con privilegios o sistemas sensibles. 

A usuarios:

  • Equipos provistos por las empresas, utilizarlos únicamente para efectos laborales.
  • No instalar aplicaciones no requeridas, ni de fuentes que no sean confiables.
  • Nunca abrir mensajes y mucho menos archivos recibidos por correo de fuentes no conocidas o no esperados.
  • Nunca acceder a enlaces recibidos por correo electrónico.
  • Verificar que cuentan con un Sistema antimalware y firewall personal, debidamente actualizado y configurado.
  • No utilizar las claves de acceso a sistemas laborales, en aplicaciones o servicios  personales, las de acceso a la banca por internet también deben ser diferente y exclusivas.

Volvamos a Maze. Ellos han indicado que seguirán compartiendo información. Esto parece no preocupar a nadie, quizá porque el discurso oficial sigue siendo “la información que ha circulado es incompleta y desactualizada, con dos o tres años de antigüedad, en muchos casos obsoleta”. Incluso el BCR dijo en La Nación que un 70% de las tarjetas “comprometidas” ya están vencidas pero no habló de cantidad de tarjetas, solo de porcentajes. El tema es que según la data publicada por el investigador Bernardo Corrales se han filtrado hasta el momento 871.766 tarjetas del BCR, lo que implica, según los números del propio Banco, cerca de 261.529 vigentes… hasta ahora. ¿Le estamos dando su debida importancia a este tema? 

La historia de un incidente como este puede cambiar de la noche a la mañana, la fuga publicada no puede minimizarse, la cantidad de tarjetas a sustituir es importante y tendrá su costo, así como todos los trabajos de validación de controles que deberán efectuarse; será de suma importancia para el sector bancario determinar el origen de la fuga y que controles no fueron adecuadamente aplicados o vulnerados y por qué.

El incidente a hoy pareciera que podría ser de bajo impacto, pero esto es un tema de nunca acabar, las empresas como los Bancos reciben cerca de 100 mil ataques al mes desde Internet, esto no es nuevo y se puede decir que es usual, el gran error podría ser acostumbrarse a eso y asumir que no nos va a pasar nada, en seguridad no podemos relajarnos.  

Voy a ser muy directo: entiendo perfectamente bien que la herramienta de Atti Cyber debe de ser cuestionada e investigada y los límites éticos y legales de su actuar revisados, y ampliamente discutidos. Pero ¿es prudente que la discusión se centre significativamente en torno a la herramienta de la empresa tica y no en torno a lo que está pasando y sigue pasando con Mase? Hay mucha contundencia en lo primero y muchos vacíos en torno a lo segundo...

La herramienta de validación es uno de los problemas, que lamentablemente aumento el riesgo para los usuarios. El incidente dejará mucho aprendizaje al sector de la seguridad de cómo realmente se debe manejar un incidente de este tipo y efectivamente deberán las autoridades identificar los vacíos que existan y procurar eliminarlos. 

Maze es solo un tipo de malware/esquema de ataque (usado por grupos). Así como MAZE existen cientos, todos los días hay nuevas campanas de ataques, nuevas amenazas y nuevas posibilidades. Pero también todos los días se trabaja fuerte tanto en metodologías como sistemas de defensa para proteger a las instituciones, es un típico juego del gato y el ratón, donde hay una lucha constante. Otro ejemplo de ataques fuertes y complejos durante los últimos meses han sido los temas COVID y todo lo que tiene que ver con la pandemia.

Vuelvo al discurso oficial. Se ha hecho énfasis en que es información “vieja”, pero no se tiene certeza de cuánta más tiene Maze dado que no sabemos cuántos liberaciones más harán y hasta dónde llegan, podrían, por ejemplo, haber arrancado de atrás para adelante. ¿Existe el riesgo de que tengan información más actual y de que sea liberada en futuras filtraciones? 

Inicialmente Maze mencionaba tener cerca de 11 millones de registros,  los cuales si sumamos las últimas dos entregas realizadas de 2 y de 1.9 GB coinciden con esa cantidad, podríamos suponer que no tienen más información, sin embargo el riesgo evidentemente existe y no lo sabremos hasta que termine el incidente.

Lo que se hace mandatorio es identificar inequívocamente la fuente de la fuga y verificar la efectividad de los controles de seguridad existentes.

Otro tema importante es que no solo estamos hablando de tarjetas del BCR. Hay números de tarjetas de otros emisores en claro. ¿Cumple esto con el PCI DSS? Pensando que los sistemas de seguridad internos del BCR en efecto lograron evitar una vulnerabilización, ¿podría o debería ser este otro tema la mayor preocupación del banco en este momento?

La norma PCI/DSS sugiere el uso de cifrado en el transporte y almacenamiento de los números de tarjeta, sin embargo, habilita el uso en claro o no cifrado en situaciones debidamente documentadas por la empresa. 

Es importante tener claro que la implementación de PCI/DSS, no es de aplicación obligatoria en Costa Rica, aunque evidentemente sí debería ser una buena práctica implementada en todo el sector Bancario. 

Definitivamente, la mayor preocupación para el BCR debe ser validar la efectividad de los controles de seguridad definidos y evidentemente identificar el origen de la fuga de la información. 

Bonus track

Hace tres años Mario Robles Tencio ofreció un webinar que hoy resulta más que prudente repasar. Conversamos con él y nos comentó “Tal vez la moraleja para mí es que ese tipo de cosas se saben desde hace años”. En efecto, si prestan atención a la clase corroborarán que tiene una similitud más que notable con la situación actual, “lo dicho hace 3 años creo que es imparcial de la situación actual”, agrega Robles.

Aprovechen porque incluye consejos muy puntuales de como una empresa de cualquier tamaño podría abordar un incidente de ciberseguridad. En la clase podrán repasar lecciones aprendidas del pasado y que se repiten en la actualidad, como dice Robles, “lo que sucede antes, durante y después de una brecha de ciberseguridad”.