«El aumento de ataques es notable»

—Primero contanos a qué te dedicás.

—Soy el fundador del DEF CON Group 5411 y de Birmingham Cyber Arms Limited. Somos una compañía que hace ciberinteligencia y reporta eventos de seguridad, filtraciones, casos de ransomware en Argentina y Uruguay. 

—¿Qué es una filtración? ¿Qué es el ransomware?

—Dentro de los eventos que cubrimos están, por ejemplo, las brechas de datos, que es cuando en alguna plataforma, sitio o compañía se produce una filtración de los datos confidenciales. Estos datos se suelen poner a la venta en plataformas dedicadas al cibercrimen. Y en particular los casos de ransomware se dan cuando una empresa o una institución es infectada por un malware, o sea, un software malicioso que encripta los datos y no los deja disponibles para sus propietarios. El usuario final encuentra un día todos los datos encriptados y se le solicita que pague un rescate económico por ellos. Si no paga, no recupera los archivos, sino que una copia se termina rematando, vendiendo o publicando en internet. 

—Ahí estamos hablando de ciberseguridad y ciberinteligencia. ¿Qué es cada una de esas cosas?

—En ciberseguridad podemos englobar todos los esfuerzos que hacemos para proteger nuestros activos digitales, nuestra vida digital. Desde contraseñas para nuestras cuentas o archivos hasta el cifrado de nuestras transmisiones para que nadie las pueda leer. Es un esfuerzo para prevenir o evitar a futuro el daño. También los esfuerzos colaborativos para mantener un ecosistema seguro, saludable. Por otro lado, la ciberinteligencia se encarga de fases anteriores y posteriores. Imaginemos que estamos viendo un alza en ataques contra el sector de la salud. Si nuestra compañía o nuestro organismo es del sector de la salud, vamos a estar un poco más alertas, vamos a ver cómo se están llevando a cabo esos ataques, quiénes los hacen, en qué regiones, para saber qué tan compatible, qué tan probable es que nos suceda a nosotros. Y en la fase posterior, se actúa para cazar esa amenaza. El incidente sucedió. ¿Cómo? ¿Quién? ¿Por qué? ¿Cuál es el alcance? ¿Cuál es la motivación? ¿Cuál puede ser el siguiente paso? Porque que nos haya ocurrido un incidente no significa que no vaya a tener consecuencias a posteriori o que no siga dando vueltas el peligro en nuestra industria o rubro. 

—Seguramente ustedes estudian cómo se está moviendo el cibercrimen en Uruguay y en la región. ¿Qué nos podés contar?

—Monitoreamos distintos mercados dedicados al cibercrimen, tanto abiertos, en los que distintos actores intercambian, venden o simplemente publican información robada, como personales. Los grupos grandes suelen tener sus propios mercados con sus propios sitios, y lo que podemos ver enfocado en esta región es que el aumento de ataques es notable: en Argentina, en Uruguay, en Brasil, en los casos de ransomware, que suelen suceder generalmente a entidades grandes, a gente que tiene una capacidad de respuesta monetaria a esa amenaza. Vemos un gran incremento también del hacktivismo en el último tiempo, sobre todo en Uruguay y Brasil. Estamos viendo muchos casos de ataques a grandes instituciones y generalmente van acompañados de una consigna política. Puede ser acá en Uruguay el caso de ASSE [Administración de los Servicios de Salud del Estado], y también el de la Dinacia [Dirección Nacional de Aviación Civil e Infraestructura Aeronáutica] que vimos esta semana. 

—Cuando hablás de hacktivismo estás hablando de datos que se roban y por los que no se pide nada a cambio, no se cobra un rescate, sino que simplemente se liberan. ¿Con qué fin? 

—Claro, generalmente se liberan de forma gratuita, pública, no existe una restricción para acceder a esos datos, y con frecuencia son datos que tendrían un determinado valor de mercado, que se podrían vender; sin embargo, el actor decide publicarlos gratuitamente y aprovecha el envión de esa publicación para compartir algún mensaje político, por ejemplo, el caso de ASSE, en el que hubo un mensaje netamente político, contra la corrupción del sistema de salud, y en el caso de la Dinacia también: más allá de que se publicaron datos y que se desfiguró el sitio, lo más importante fue el mensaje político que se dejó debajo. 

—Hagamos una breve reseña de hechos en Uruguay que veas como importantes o icónicos en los últimos tiempos. 

—Dame un segundo, que me traje el trencito, pues son tantos que les pierdo la cuenta… Vamos a buscar acá, 2025… son muchísimos. Entre los más recientes está el caso de ASSE, en el que se filtró un lote de datos muy grande. También tenemos una filtración de unos 500 mil usuarios, o 500 mil registros, en la Agesic [Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento], que sucedió hace muy poco también. Ese no fue un caso de hacktivismo, pero sí tiene un contexto político importante. Había datos, tanto de personas físicas como jurídicas, que estaban desactualizados hacía mucho tiempo, pero eran datos con sensibilidad. Al final se publicaron.

—También estuvieron los casos del Instituto del Niño y Adolescente del Uruguay [INAU], del Ministerio de Transporte y Obras Públicas [MTOP]. O, por ejemplo, el de los pasaportes…

—Sí, totalmente. Desde el tema de la Dirección Nacional de Identificación Civil en adelante –en ese momento incluso no se hablaba de ransomware masivamente–, tenemos un montón de casos que, como decís, son icónicos. Por ejemplo, el caso del INAU, en el que se filtraron unos 200 mil registros de menores de edad y básicamente la primera respuesta que dieron fue «no tenemos 200 mil menores», cuando en realidad eran datos históricos. También tenemos un aumento importante de grupos de ransomware que antes no se fijaban en Uruguay. Tenemos el caso del estudio Guyer y Regules. El grupo LockBit hizo una entrada muy importante en la historia del crimen de Uruguay con ese ataque, que finalmente terminó con el pago de un rescate.

El grupo Play, que es un grupo con bastante presencia en el mundo pero no tanta en Latinoamérica, venía de atacar ARSAT, que es, justamente, la compañía satelital de Argentina, propiedad del Estado, y muy poco después atacó acá el MTOP. La publicación se borró un 26 de diciembre, o sea, en una fecha muy estratégica, indicando que se pagó el rescate. Pero no solo eso: también tenemos distintos grupos menores. Por ejemplo, el caso de los ExPresidents, que fueron quienes hicieron toda esa seguidilla de ataques al Estado, y particularmente al Partido Nacional [PN].

—Los de la página del PN fueron bastante frecuentes.

—Correcto. Sistemáticamente se anunció que se había arreglado esa vulnerabilidad y sistemáticamente la volvió a explotar. Bueno, ese grupo también tiene otros ataques al Estado, a la DGI [Dirección General Impositiva]; ha publicado lotes de cédulas, aparentemente de algún servicio de educación o de salud. Incluían cédulas de menores de edad, que eso era gravísimo. Tenían frente y dorso de cédulas. Supermercados El Dorado fue víctima del grupo Akira, un grupo sin historial delictivo en Uruguay. Y después tenemos una modalidad en auge, que viene a ser como una subdivisión de lo que es el ransomware: la extorsión de datos, que es cuando filtran tus datos, te extorsionan y no encriptan. El grupo GodHand se dedica a esta clase de ataques sin encriptación; también hizo un ataque muy interesante, que viene a ser como un ataque a una cadena de suministros, que es atacar a un proveedor muy grande de otras compañías o del propio Estado. En este caso, habían logrado atacar a Nodum, una software factory, una fábrica de software, y comenzaron a publicar datos de distintos clientes. El tema es que el primer lote, la primera publicación de estos tipos, tenía 36 víctimas, cuyos nombres iban de la a a la ce, lo que a vos te da a entender que es una parte y que en realidad están ordenados por orden alfabético y van a seguir hasta la zeta. Supimos que lograron vender el lote y por eso publicaron hasta la ce. El tema es que un ataque como este deriva en el ataque a casi 40; no los vamos a nombrar, pero incluían distintas compañías del sector aeronáutico, bancario, químico. Un solo punto de fallo puede derivar en algo muy grave. 

—¿Lo de la Intendencia de Paysandú? 

—Otro caso. Tenemos, por ejemplo, el grupo Alpha o Mydata, que es un grupo de ransomware muy poco conocido que tiene mayormente actividad en Europa y en el sudeste asiático. De pronto encontró en Uruguay un nicho comercial. Unos tipos vinieron, encriptaron a la Intendencia de Paysandú y el intendente, en un acto bastante imprudente, dijo «no tenemos backup», lo cual dio a entender a la persona que lo que tenía valía mucho más, y ese lote nunca se vio publicado. 

—¿Tenemos grupos locales o tenemos grupos internacionales articulando con actores locales? 

—Ambas cosas. Nosotros tenemos un sitio, mefiltraron.com, donde subimos entrevistas a autores de amenazas, grupos y demás, y nos llamó la atención, con el auge del grupo ExPresidents particularmente, que eran angloparlantes, pero muchas referencias que hacían nos daban a entender que eran locales. Además, los sitios que atacan son todos de Uruguay, y siempre estaba el ensañamiento con el PN. Entonces dijimos: «Bueno, tiene que haber acá una pata uruguaya por lo menos». Cuando empezamos a entrevistar, encontramos que en realidad eran varias personas, todas de Uruguay. Muchas no vivían acá y tenían desfase con la zona horaria. Y nos contaban que sí, que justamente empezaron como un grupo local. Empezó como una broma y quedó, y se empezaron a ensañar; vieron que no había una respuesta acorde y continuaron. 

Entrevistamos también a este otro grupo que te comentaba recién de data extortion y habíamos encontrado algunos indicadores de que se solapaban entre un grupo y otro, lo que indicaba que podía haber o un miembro en común o varios en común. Actividad en común. Cuando les preguntamos a los ExPresidents no respondieron esa pregunta, pero el grupo GodHand nos contesta que sí, que en realidad tomaron a los ExPresidents como proveedores. Dicen: nosotros les compramos material, accesos, les compramos lotes de datos en exclusiva, pero hacemos eso con muchos otros grupos. O sea, respondiendo a tu pregunta, sí, hay vínculos entre grupos locales en contacto con grupos foráneos. 

También hay grupos que están haciendo su desembarco en Uruguay, y la mayoría con golpes grandes. Lockbit, Akira, Mydata o Alpha. Por otro lado, Play el único golpe que hizo en Uruguay fue al Ministerio de Transporte, ni más ni menos. Y encima lo cobraron; no sé si al ministerio o a alguien más, pero lo cobraron. Alguien pagó por ese rescate, lo cual al tipo le da la pauta: acá hay plata y no les gusta que los aprieten públicamente. 

—Claro. Un poco lo que vimos con Guyer y Regules…

—También. 

—Como persona experta en el tema y que ha laburando hace tantos años en esto, ¿cómo ves al Estado? ¿Se está preparando para defenderse? ¿Y el sector privado?

—No lo veo de una forma optimista, por decirlo de una manera educada. Mayormente porque cuando perfilamos amenazas, uno siempre tiene distintos niveles de madurez tanto para la seguridad como para la amenaza.

—¿Qué es perfilar una amenaza?

—Entender la amenaza, decir «bueno, a ver, ¿contra qué me estoy enfrentando?» ¿Es una persona sola? ¿Es una persona con motivaciones comerciales o activistas? ¿Es un grupo? ¿Es un grupo patrocinado por quién? ¿Es un grupo corporativo? ¿Ese grupo de ransomware es un grupo constituido o tiene un programa de afiliados (alquila)? En ese caso, estás literalmente peleando con una araña de millones de patas, casi imposible de seguir hacia atrás. ¿O estamos peleando con alguien patrocinado por un Estado? Como el grupo Lazarus, patrocinado por Corea del Norte, o Equation Group, patrocinado por Estados Unidos. 

Entendiendo esa amenaza uno entiende también el alcance que tiene y planifica la capacidad de respuesta. O la capacidad de mitigación. Y encima hay algunos que son tremendamente difíciles de seguir. No tienen infraestructura. No tiene servidores, tiene storages para almacenar la data comprometida. Son totalmente nómades. No tienen infraestructura propia. Usan siempre VPN gratuitas, llevadas por todo el mundo. O sea, de cualquier proveedor de cualquier servicio. No es que decís «mirá, siempre es, por decir algo, Mulvat o ProtonVPN» [herramientas para esconder la identidad en internet]; no, son siempre aleatorios. 

Entonces, cuando vos perfilás una amenaza, sabés también cuánto lo podés resistir, cuánto lo podés mitigar o si te puede pasar, si es aceptable que te pase o no. Si vos tenés un grupo que compra vulnerabilidades que son desconocidas para el fabricante y para el resto del mundo, lamentablemente, la capacidad de respuesta que tenés es mínima, porque una vulnerabilidad de esas vale mucho dinero y alguien con mucho dinero lo puede comprar, y puede ser que esté interesado en tu compañía, en tu organismo, en tu gobierno. Estamos hablando de gente profesional que trabaja con una compañía dedicada al cibercrimen, una estructura organizada. 

Lo que no te puede pasar, que nos ha pasado en Uruguay, en todos los estratos, es un ataque de ExPresidents, por ejemplo. Es una amenaza que cuando la perfilamos, nos encontramos con muy bajo nivel de pericia, muy bajo nivel de profesionalismo, es una amenaza incipiente, no tienen herramientas propias, no tienen infraestructura propia, no es que tienen una guarida en la darknet donde los tipos suben sus filtraciones y la usan de mercado. Cuando uno analiza las IP desde las que se conectan o las conexiones que usan, son siempre VPN gratuitas, con planes gratuitos, con pools de IP usados por VPN gratuitas; siempre las van cambiando, los archivos que ellos filtran los alojan en los peores servicios de alojamiento de archivos anónimos, los que son gratuitos, esos que están llenos de pop-ups, de publicidad, de malware esperando atacarte. 

Entonces, uno ve que una amenaza incipiente como esa llegó a la primera plana de todo el país, y no una vez: hemos contabilizado más de diez veces, salieron en programas de televisión, en el prime time de la televisión, primeras planas de diarios, de revistas, programas de radio a la mañana, a la tarde, al cierre de la transmisión. Entonces, si una amenaza incipiente de ese tipo logra tener ese nivel de eco en la sociedad y en los medios, eso demuestra el nivel de madurez que vos tenés. La respuesta fue mala. Y eso también es parte de la madurez cultural que vos tenés en una sociedad en cuanto a la ciberseguridad; cuando tenés un modelo maduro, tenés gente que ante el incidente responde. 

Al minuto que nosotros advertimos de una amenaza, el organismo dice que es mentira. O sea, ¿hicieron el análisis forense en un minuto? Es imposible, ¿me entendés? Es imposible. 

Entonces, vos ahí tenés una falencia muy grave. Es decir, yo tengo la certeza de que los 500 mil datos filtrados de la Agesic no son verdad. Nosotros cuando publicamos, no lo hacemos para hacer daño. Si ves nuestro lenguaje, es el más neutral del mundo. Decimos: «Sucedió tal cosa que afecta a tal entidad por parte de tal actor y afectaría a estos datos». Y eso es un análisis profesional, no es que uno levanta cualquier cosa al tuntún Y lo publica. Eso te lleva un tiempo, una inversión de tiempo, de capacidades tecnológicas y de capacidades técnicas. Tenés personas, máquinas, modelos de lenguaje trabajando y diciendo «esto está bien», «esto está mal», y ellos en un minuto te dicen que es mentira. Y eso parece anecdótico, pero en realidad es la base fundamental, es la piedra fundamental de la cultura de la ciberseguridad de una sociedad.