Crónica de un posible ataque cibernético

Muchos piensan actualmente que la pandemia ha traído consigo un sin número de protagonistas en una historia que parece incompleta, esto con relación a lo sucedido en recientes eventos sobre ciberataques, contando con lo ocurrido en EEUU, Fireye y la reserva federal.

Recientemente se maneja una teoría fantástica frente a este tipo de sucesos, y esto tiene que ver con los antagonistas de esta pequeña crónica: El pasado septiembre de 2020 se produjo una infección por medio de malware a un cajero del Banco de Estado de Chile, correspondiente a eso se liberó un comunicado indicando los servicios activos y la gestión que adelantaba el Banco en su momento.

Por otra parte está el comunicado del CSIRT Gob de Chile que indica que estaba circulando un ransomware llamado Sodinokibi dirigido al sector privado de la economía del país y que se tenían los posibles indicadores de compromiso del ataque o infección.

Estos dos escenarios hay que mirarlos con cierta lupa de objetividad, por una parte el banco atiende una infección y por el otro lado el CSIRT argumenta que está circulando una malware que hace parte de una amenaza a nivel global llamada REVil con su ransomware Sodinokibi. En ese orden de ideas se liberaron varias noticias, entre ellas, "Banco de Estado de Chile bajo ataque cibernético", ó "Ataque al banco de Estado de Chile", estas dos palabras conjugadas en #Ciberseguridad permiten crear zozobra y pánico en todo el sentido de la palabra; pero también permite crear desinformación y errores conceptuales. Por ende ante este tipo de escenario; se pueden hacer la siguiente pregunta: ¿Cómo debe pensar y actuar un Equipo de Respuesta a Incidentes o CSIRT?.

Un CSIRT debe entender que no está para generar pánico, ni tampoco para provocar prensa, al contrario, está para actuar en tres sentidos:

1. Criterio técnico al momento de liberar alertas

2. Divulgación responsable de notificaciones públicas o privadas

3. Responsabilidad y respeto social y ético ante la comunidad técnica (partes interesadas) en seguridad

Cuando el día 10 de septiembre se iba aclarando por fin esta situación varios investigadores de ciberseguridad concluyeron que se trataba de REVil, una amenaza global que hace aproximadamente más de un año estaba actuando en LATAM, con incidentes concluidos en TELECOM (Argentina) y México.

Entonces esto nos lleva a varias reflexiones y cuestionamientos; Por una parte entender la dinámica de un CSIRT o Equipo de Respuesta a Incidentes no es notificar únicamente o aseverar lo que dice una noticia, por el contrario se trata de poder convalidar y verificar con rigor técnico la gestión de una amenaza.

Por otro lado entender que existen varios errores conceptuales que pueden ser materializados, como las siguientes diferencias:

1. Una amenaza es diferente a un Incidente
2. Un ciberataque es diferente a un evento de seguridad
3. Un riesgo cibernético es diferente a un ciberataque
4. Una crisis cibernética es diferente a todas las anteriores

Entonces, la reflexión que todo esto conduce es poder entender que cada una de las organizaciones poseen dinámicas propias de seguridad y de gestión de incidentes, respetables dentro de todo punto de vista, de tal manera que no se puede especular ni crear una opinión amarillista sobre la afectación a un tercero sin antes validar todas las fuentes, incluida la del mismo Banco. Esto sin duda permite que haya un respeto por los equipos de seguridad y permite que la credibilidad y la confianza se fortalezca dentro del ecosistema digital.

Este llamado final, es para que tomemos conciencia realmente sobre el trabajo que hacemos en el momento de liderar un equipo SOC, CSIRT o CERT sobre la importancia de fortalecer los criterios técnicos antes de empalidecer el trabajo de un equipo tras poder confundir oprtunidad vs anticipación y efectividad frente a la eficacia.