Katherina Canales, Directora Operacional CSIRT: Hoy hay mayor conciencia con respecto a la ciberseguridad

Por Vanessa Arenas | Digital Trends

El CSIRT fue creado en Chile durante el año 2019 para poder identificar, frenar y dar solución a los incidentes cibernéticos dirigidos a instituciones de gobierno y privados en convenio con el organismo. Además, fomentan la participación de la mujer en el mercado de la ciberseguridad, como en el caso del evento Cyberwomen Challenge.

La cifra de incidentes por ciberataques que registra el equipo de respuesta a ataques informáticos en la Red de Conectividad del Estado de Chile (CSIRT) aumentó un 56,8% en el año 2020 (15.231) con respecto al 2019 (9.816) y, en el primer semestre de 2021, ya lleva un reporte de 10.383 casos.

Estas cifras se refieren a la relación con incidentes que afectaron a instituciones de gobierno y privados en convenio de colaboración con el CSIRT, no a intentos, tal y como lo explica Katherina Canales, Directora Operacional del organismo fundado formalmente en el año 2019.

La aceleración de la digitalización ha traído mayor ciberdelincuencia. Era de esperarse. Sin embargo, Canales también señala el aumento de conocimientos y conciencia de ciberseguridad en las instituciones como uno de los principales pasos para sincerarse e identificar los incidentes.

Desde Digital Trends conversamos con Canales para profundizar en la evolución del CSIRT y cómo hicieron frente a la pandemia.

-Con la llegada de la pandemia, que evidentemente provocó una acelerada digitalización en todas las industrias y organismos, ¿cómo fue el comportamiento de los ciberataques con respecto al 2019? Al compararlo con el primer semestre de 2020 y 2021, ¿qué año tuvo más intentos de ataques cibernéticos?

Ciertamente la pandemia produjo una aceleración del proceso de digitalización en nuestra sociedad, además de provocar una amplia aceptación del teletrabajo, demostrando todos los beneficios que aporta en términos de calidad de vida. Pero la presente Administración del presidente Sebastián Piñera venía impulsando la transformación digital de las instituciones públicas desde antes de la emergencia sanitaria. Este impulso a la digitalización se inició, porque el Gobierno la vio como un factor clave para la modernización y mayor eficiencia y eficacia de los procesos gubernamentales de cara a la ciudadanía.

Es importante señalar, asimismo, que como CSIRT hemos impulsado la asimilación de una taxonomía de incidentes que sea común tanto nacional como internacionalmente. Sin este lenguaje común, cada institución entendería de manera diferente lo que es un incidente y, en consecuencia, genera cifras que no son comparables.

Por eso decidimos impulsar la adopción entre los organismos públicos y privados con los que generamos acuerdos, las definiciones de incidentes que utiliza ENISA, la Agencia para la Ciberseguridad de la Unión Europea. Así, de acuerdo a nuestras bases de datos en 2019 se registramos 9.816 notificaciones de incidentes y durante 2020 observamos 15.321, mientras en lo que va del primer semestre de 2021 hemos generado 10.383 notificaciones. Es evidente un alto crecimiento en los números, ya que el volumen anual de 2020 aumentó en un 56,8 respecto de los incidentes reportados en 2019, y las cifras del primer semestre 2021 superan a los incidentes anuales notificados en 2019.

Hay muchos factores que pueden explicar este fenómeno. Por un lado, cada día hay mayor conocimiento y conciencia por parte de las personas instituciones y empresas de qué es un incidente, por lo que sus registros deben ser hoy más realistas que los de años pasados. Pero la más importante, radica en la madurez que el equipo CSIRT ha adquirido permitiéndonos reportar brechas de ciberseguridad a las instituciones, las cuales se reflejan en las vulnerabilidades que reportamos, con ello se genera una real prevención, y ello es necesario, dado el mayor interés de los delincuentes que tienen como objetivo a Chile.

-¿Qué tecnologías han implementado y consideras que son tendencia a la hora de protección contra ciberataques?

Hemos fortalecido las tecnologías SIEM, implementando correlacionadores con integración de Machine Learning (IA) para análisis de conductas, incluyendo conductas de usuarios, de sistemas y de los tráficos de red, entre otras. Esto no quiere decir que dejemos de lado los análisis estáticos, pues siguen siendo efectivos para un número importante de malware que son conocidos.

Indudablemente, para que la correlación y los aprendizajes de las IA sean un aporte, deben contar con acceso a buenas fuentes de información y bases de datos. Por eso contamos con versiones mejoradas de antivirus y equipamiento de seguridad de última generación, permitiéndonos identificar anomalías respecto de situaciones base o comportamientos anómalos.

Todo lo anterior se debe conjugar con la introducción de técnicas de automatización, para que la mayor cantidad de tareas rutinarias sean realizadas por estos procesos IA y que los analistas concentren su tiempo en realizar análisis de resultados finales, en la comunicación con las instituciones y el fortalecimiento de la divulgación y difusión del conocimiento adquirido.

Esto último, la divulgación y difusión, seguimos fomentándola siempre, pues las personas, que siempre han sido consideradas el eslabón más débil en la cadena, cuando están bien informadas y sensibilizadas respecto de las amenazas a activos y los de sus empresas e instituciones, se convierten en defensores activos de la ciberseguridad y producen un efecto amplificador en la capacidad de vigilancia y observación de anomalías, lo que finalmente rompe ese estigma y las eleva hasta el rango de piezas clave en un esquema de ciberseguridad robusto.

-Hace poco se realizó la cuarta edición Cyberwomen Challenge, en la versión de Chile, coméntanos cuál es el papel del CSIRT en este evento y cómo ha sido la incursión, oportunidades e interés de las mujeres en el tema de ciberseguridad?

Este es un evento que me encanta y que llevamos desarrollando ya en cuatro ediciones con la OEA. Nosotros estamos a cargo de toda la organización y realización del evento en Chile, en el que equipos de chicas, con conocimientos en ciberseguridad, compiten y a las ganadoras se las invita a disputar la final internacional. Incluso, fuimos sede de esta final cuando se hacía presencial, algo que no se ha podido volver a realizar por la pandemia.

Varias de las chicas han sido invitadas a trabajar con nosotros en el CSIRT de Gobierno tras participar del certamen, que les abre las puertas al mundo laboral de la ciberseguridad, que muchas ni siquiera habían considerado o no sabían si podrían participar en él. Y esa es la gracia y el valor del Cyberwomen, es tener a mujeres participando, compitiendo y demostrándoles a otras chicas, como ellas, que se puede ser parte del mundo cyber, que no es exclusivo de los hombres, algo muy importante para la inclusión y la equidad de género y también porque existe un déficit de profesionales de la ciberseguridad en todo el mundo que sólo podrá ser llenado si las mujeres nos atrevemos a ser parte de este rubro, tan demandado y con tanta expectativa de crecimiento.

-¿Cómo asumió el CSIRT el trabajo remoto tras la llegada de la pandemia? ¿Qué medidas tomaron para mayor protección en equipos y redes?

Desde su conformación formal, en 2019, el equipo CSIRT es consciente de la importancia de la resiliencia, tanto de los servicios tecnológicos como de sus recursos humanos, y en esto ponen énfasis las directivas normativas, tales como ISO27001 e ISO22301 y es parte de lo que los modelos de madurez evalúan, tales como SIM3.

Con esto en mente, la posibilidad de poder responder a incidentes en medio de situaciones adversas relevantes fue una de las misiones que la dirección puso como meta. Es así como los servicios tecnológicos se diseñaron con criterios de alta disponibilidad y se posibilitaron a los accesos externos mediante la conformación de extranets seguras y el uso de VPN’s para todos los integrantes.

En complemento, los miembros del equipo en sus puestos de trabajo contaban con un equipo portátil, con el cual desarrollaban sus actividades cotidianas, pero con la externalidad positiva de que la oficina y sus herramientas de trabajo las podían mover a cualquier lugar con conectividad internet, incluyendo en esto las de sus propios hogares y eventualmente las de sus Smartphone. Entonces, cuando llegó la pandemia y en el contexto de que en el congreso ya se discutía la actual Ley N° 21220, que modificaba el código del trabajo en materia de trabajo a distancia (con foco en el sector privado), el equipo CSIRT tenía las herramientas adecuadas y el personal sensibilizado para un trabajo a distancia de manera natural. Por tanto, sólo restaba organizar el equipo humano para que, integrando todas las normas sanitarias que fueron apareciendo y evolucionado en la medida que aprendíamos de la pandemia, se armonizaran los aforos y la seguridad de las personas sin afectar la operación y la vigilancia habitual que ejerce el CSIRT en las redes de Gobierno.

En ese escenario, gran parte del equipo se desplegó en sus hogares, utilizando sus “oficinas portátiles” y accediendo a los servicios centrales mediante una extranet en base a VPN´s. Ciertamente fue necesario en la marcha establecer instructivos para normar la actividad, debidamente autorizada por la CGR y el Subsecretario del Interior y se desarrollaron políticas de teletrabajo que fueron adoptadas por el equipo y traspasadas a toda la Administración del Estado vía los encargados de ciberseguridad de cada institución.

En cuanto a medidas concretas para la protección de equipos y redes podemos mencionar que:
· Se estableció que las oficinas portátiles sólo se conformaban en equipos notebook institucionales, razón por la cual esos equipos tenían las medidas de seguridad en un nivel igual o superior al de la oficina física.
· Dichos equipos cuentan con herramientas antivirus, sistemas operativos con soporte vigente y actualización de parches de seguridad.
· Se amplió la capacidad de las VPN para dar cobertura a todos los que la necesitaran y se reforzaron las recomendaciones para control de mensajería tipo phishing.
· Se reforzó el uso de RRSS como mecanismos de comunicación en la medida que la seguridad mínima garantizara el cifrado extremo a extremo de las comunicaciones, incluyendo varios canales tales como, por ejemplo, WhatsApp, Telegram y Signal.
· Las redes internas incorporaron en su nueva realidad reglas para este escenario donde existiría un aumento de conexiones externas de manera importante y se reforzaron las reglas que alertasen sobre conexiones sospechosas (con muchos intentos fallidos o sesiones establecidas desde zonas o países no habituales). Complementariamente se levantaron estructuras honeypot que nos ayudaban a detectar potenciales actividades maliciosas para alimentar nuestros sistemas de seguridad con IP’s maliciosas o con metodologías o CVE utilizados por los ciberdelincuentes.
· Naturalmente, las reuniones que habitualmente se producían en instalaciones físicas, pasaron a realizarse en espacios virtuales con múltiples herramientas de videoconferencia, pues la realidad de las múltiples instituciones con las que interoperamos e intercambiamos información es diversa y había que ser flexibles, sin perder seguridad.

En resumen, se buscó implementar oficinas portátiles seguras (AV institucional) con comunicaciones seguras (correo electrónico seguro y mensajería instantánea segura) y redes seguras mediante el establecimiento de extranets en base a VPN (Redes Privadas Virtuales que cifran las comunicaciones entre los nodos cabecera). Buena parte de las políticas, instructivos, guías, consejos e infografías están disponible en nuestro sitio web.

-¿Cómo han logrado detener los ataques a la banca y cuál es el desafío para la banca chilena?

Impedir que los ataques que tienen como objetivo la banca tengan éxito es un trabajo constante que corresponde realizar a cada institución bancaria, por la responsabilidad que tienen de cara con sus clientes, pero también bajo las directrices de la CMF, que cuenta con una nueva normativa de ciberseguridad recientemente implementada y que comienza a regir en noviembre.

La banca tiene el desafío, en Chile y el mundo, de desarrollar y mejorar continuamente sus equipos de respuesta ante incidentes de seguridad informática, entendiendo que, como han demostrado anteriores ataques de alta notoriedad, que la ciberseguridad es hoy tanto o más importante que la seguridad física de sus bóvedas y sucursales.

El endurecimiento de estándares por parte de entes reguladores, es una forma clave en la que el CSIRT de Gobierno está impulsando la adopción de mejores prácticas de seguridad informática, formando alianzas, no sólo con empresas privadas y organismos públicos, los cuales se comprometen con mejorar su seguridad y comunicar de forma oportuna los incidentes y ataques que puedan sufrir, sino también con entes reguladores, como la Superintendencia de Casinos y la de Seguridad Social, para que éstas, tal como hace la CMF con los bancos, establezcan requisitos de ciberseguridad a las entidades que son reguladas por ella.