ONPE

Alerta en las entidades públicas peruanas por incremento de ciberataques

En los últimos meses nuestro partner Fortinet ha encendido sus luces de alerta por el incremento de ciberataques que se están registrando en las entidades públicas y bancarias en Latinoamérica.

Según los especialistas en seguridad, los incidentes se están registrando en Perú, Chile, Colombia, Bolivia, Venezuela, Ecuador y México.

En el mes de abril se registró en México un ciberatraco fuera de serie, donde los delincuentes se llevaron más de 15 millones de dólares, el mes pasado se registró en chile otro ataque donde los ciberdelincuentes sustrajeron 10 millones del banco central de chile.

El problema es tal, que varios bancos centrales, como el de México, ha dicho que está dispuesto a aplicar sanciones a prácticamente todos los bancos que incumplieron con garantizar la continuidad operativa del sistema de pagos electrónico interbancario durante el ataque.

Vulnerabilidades del sector financiero en el Perú

Según los expertos en seguridad, en el Perú diariamente se registran cientos de ataques cibernéticos a diferentes entidades tanto públicas como privadas y continuarán en aumento para los próximos años, donde se proyectan pérdidas millonarias para todos los sectores afectados.

Estas vulnerabilidades están asociadas a la falta de inversión del sector financiero en la seguridad de la información en donde del 100% de presupuesto para invertir, solo el 15% se invierte en ciberseguridad.

Según los expertos, estos exhortan a las entidades financieras invertir por lo menos 25% de su presupuesto para mantener la seguridad de los datos que manejan.

La clave es que este presupuesto ayude a prevenir consecuencias terribles ante cualquier eventualidad. Lo importante es poder resistirlos y recuperarse rápidamente. Los ataques son inevitables.

Sin embargo un sector importante son los bancos pequeños, ya que los ciberdelincuentes saben que están más desprotegidos por su poca madurez.

Uno de los vectores más desprotegidos en el sector financiero, son los terceros ya que La mayoría de procesos internos de soporte en sistemas transaccionales están basados en un tercero. Este no suele tener los niveles de seguridad que tiene el banco.

El truco es sencillo: hackean al tercero, y una vez dentro de este, pueden ingresar tranquilamente al sistema del banco. Los ataques masivos de bandas criminales encuentran otra forma de entrar: a través de las apps móviles bancarias o sus portales web.

Comprometen la seguridad de la ONPE

Hace pocos días se dio a conocer esta terrible noticia, la organización Hiperderecho.org alertó sobre un error informático de la ONPE que expuso los datos de millones de peruanos durante un periodo de nueve meses.

Hiperderecho.org, afirman que en dicho lapso de tiempo fue posible descargar completamente nombres, apellidos, fecha de nacimiento y sexo de más de 20 millones de peruanos.

Según la organización, esta vulnerabilidad se evidenció en un Hackathon realizado este año llamado “Desafiando la Solución del Voto Electrónico Presencial”. Con la finalidad de probar desde todos los ángulos el diseño y la seguridad del nuevo sistema electrónico de voto para implementarse en las próximas elecciones.

El problema de seguridad surgió desde un formulario de inscripción, donde el único dato que pedía era el número de DNI; Al ingresar cualquier DNI, y presionar el botón “VALIDAR”, o se cargaban los datos de la persona: nombre, sexo, y si son mayores de edad.

No obstante al presionar “Validar”, este formulario recuperaba la información desde una URL que contiene todos los datos del votante en formato Json (el cual es muy usado para transmitir información en la web a alta velocidad).

Esta URL puede ser consultada sin ningún tipo de seguridad de manera libre por cualquiera y esto lo convierte en un hueco de seguridad gigante por donde se filtraron los datos de millones de peruanos.

Los peligros de esta filtración de datos son muchos. Nuestros datos personales ahora podrían estar en bases de datos privadas de empresas de márketing, a la venta en el mercado informal, o quizás en manos de secuestradores o extorsionadores.

¿Quién más podría beneficiarse de una copia completa del padrón electoral? Muy probablemente, los partidos políticos que buscan su inscripción a través de planillones falsificados necesiten también de una lista actualizada de nombres, apellidos y números de documento de mayores de 18 años.

Los responsables

En todo el mundo existen asociaciones de Hackers, conformadas por cientos hasta miles de personas especializadas en programación, seguridad, UX, entre otros.

Sin embargo los últimos ataques a entidades bancarias, las autoridades no tienen responsables directos, se evidencio el uso de algoritmos que fueron sustraídos de una agencia americana hace poco.

Se trata de los Shadow Brokers, un colectivo hacker del que se tiene registro desde el año 2016, uno de sus primeros grandes movimientos públicos fue el de filtrar información sobre herramientas de hackeo empleadas por la NSA en Estados Unidos.

Esto y el hecho de que ellos filtraron datos de las tarjetas de crédito robadas en Chile, no se sabe mucho sobre el origen de este grupo de hackers; no se sabe de dónde salió la información y a que bases de datos accedieron los atacantes, pero sí se sabe quién liberó la información: el grupo The Shadow Brokers.

Soluciones

Las entidades públicas y privadas normalmente manejan datos sensibles y personales, pero sobre todo en grandes cantidades, esto las vuelve en un blanco muy atractivo para los ciberdelincuentes.

Sin embargo, es necesario que los altos directivos y gerentes de estas entidades, estén al tanto de estas incidencias e insten a su personal de TI a tomar previsiones para evitar y contrarrestar cualquier eventualidad que un ciberataque pueda dejar.

Para ellos es necesario que contraten servicios confiables de telecomunicaciones y seguridad que permitan mantener la información fuera del alcance de terceras personas. Además de cultivar las capacidades del personal de TI para que use esos conocimientos para mantener a raya cualquier intrusión.