Una pesadilla, como la llama la propia policía: esta semana un hacker robó los nombres, direcciones de correo electrónico y puestos de los 62.000 agentes de policía. Por ahora, parece que no se ha filtrado ningún dato privado o de investigación. Pero, ¿cómo llegaron los piratas informáticos maliciosos a una organización como la policía? ¿Y qué tan malo es eso?
No está claro cómo entraron los piratas informáticos. Dave Maasland, director de la empresa de seguridad ESET, cree que el acceso pudo haberse proporcionado a través de la cuenta de un empleado que respondió a un correo electrónico de phishing. No es seguro. Según él, también podría tratarse de un hacker inteligente, que puede estar o no en los Países Bajos. “Puede que incluso haya gobiernos extranjeros detrás de esto”.
¿La policía tiene tantas goteras como una canasta? Yo no diría eso, dice Maasland. “Pero la ciberseguridad para una organización como la policía es compleja. Deben protegerse contra los adolescentes aburridos, contra el crimen organizado y contra los piratas informáticos del extranjero, donde a menudo se utiliza mucha experiencia. Se puede concluir que necesitan protegerse mejor”.
lista de contactos
La policía comparte tan poca información sobre el hackeo que es difícil evaluar su gravedad, afirma el experto en ciberseguridad Rickey Gevers. Según la información actualmente conocida, parece que un compromiso del correo electrónico empresarial (BEC) muy probablemente, piensa. Esta es una forma de delito cibernético en la que un pirata informático malicioso ingresa a un buzón y descarga la lista de contactos. El objetivo es generar correos electrónicos de phishing convincentes o enviar facturas falsas que sean difíciles de distinguir de las reales.
Un ataque BEC ocurre muy a menudo, afirma Gevers. Su empresa Responders ayuda a las empresas que se han convertido en el objetivo de un ataque. Esto suele implicar un ataque BEC. No se dispone de cifras exactas porque no todas las empresas revelan que se han convertido en víctimas. Para los ciberexpertos es bastante fácil saber si se trata de un ataque BEC o de un ataque dirigido específicamente a una empresa concreta, en este caso a la policía, afirma Gevers.
Practicante en la verduleria
Una buena ciberseguridad es importante para todos, pero aún más importante para algunas organizaciones, afirma Maasland. “Si eres una pequeña PYME, debes organizar la seguridad de manera diferente a como lo hace un despacho de abogados. En una verdulería no está tan mal que el pasante pueda acceder a todos los datos de la dirección. Puede que no sea útil para una gran firma de abogados si cada pasante puede descargar todos los datos de dirección”.
Es importante asegurarse de que no avancen más. Entonces no en la sala de estar. No en el dormitorio. Y ciertamente no cerca de la caja fuerte.
Dentro de estas organizaciones, los expertos en seguridad deben actuar como si hubieran sido hackeados, afirma Maasland. “Tienen que trabajar todos los días para detectar ataques y apagar incendios digitales”. Entrar nunca es un problema para un hacker, explica. Al igual que con un robo normal, puedes hacerlo si realmente lo deseas. Fuerzan una puerta o rompen una ventana. Por ejemplo, un hacker puede ingresar con relativa facilidad al departamento de administración, donde los empleados están constantemente ocupados abriendo archivos adjuntos en correos electrónicos. Maasland: “Es importante garantizar que no avancen más. Entonces no en la sala de estar. No en el dormitorio. Y ciertamente no cerca de la caja fuerte.
Un ataque peor que el otro
Gevers cree que la policía debería ser lo más clara posible sobre lo sucedido. “Un ataque BEC es muy molesto pero menos grave que muchos otros ciberataques. Eso ya puede quitarnos mucha ansiedad”. Maasland también destaca la importancia de proporcionar la mejor información posible. “Ahora los agentes quieren saber principalmente: quién, qué y por qué. Deben estar y permanecer bien informados, especialmente los equipos sensibles. Eso no se detendrá pronto. Porque los datos pueden aparecer en Internet. Especialmente si se combinan con datos de otros hackeos, puede surgir una imagen más completa que resulta peligrosa para los agentes de policía individuales. Entonces se deben tomar más medidas”.
El ataque demuestra que la policía también puede ser víctima, afirma Rejo Zenger, asesor político de Bits of Freedom. Según él, esto significa que la policía debe tener cuidado con los datos de los ciudadanos y no almacenar más de lo estrictamente necesario. “Porque ahora son datos de agentes de policía los que se han filtrado. Se vuelve aún más molesto si en la calle hay información sobre sospechosos, testigos o víctimas”.
No existe una seguridad del 100%, afirma también Zenger. Como país, debemos invertir en fortalecer una infraestructura digital segura. Eso no siempre ocurre, afirma, y señala una propuesta europea para combatir el abuso sexual digital de niños y jóvenes. “En sí mismo es un esfuerzo noble”, dice Zenger. Pero parte de eso es debilitar el cifrado de datos digitales al incorporar una puerta trasera. Esto plantea un riesgo importante, porque debilita el sistema. “Este hackeo policial muestra cuán frágil es la infraestructura. Ciertamente no deberíamos tomar medidas que debiliten esa infraestructura”.