Gabriel Bergel: "Si le bloqueo el GPS a la CoronApp, podría declararme en cuarentena en cualquier barrio"
De inclusión digital, ciberseguridad y las apps móviles del Gobierno en pandemia junto al chileno co-fundador de la conferencia 8.8 y Chief Security Ambassador de Eleven Paths
Gabriel Bergel, Máster en Ciberseguridad, Chief Security Ambassador de Eleven Paths, parte del directorio de (ISC)² y co-fundador de 8dot8 — la conferencia de seguridad informática chilena que este año cumple una década - conversó con futuros del impacto digital del Coronavirus, las aplicaciones móviles lanzadas por el Gobierno durante la pandemia, y cómo la ciberseguridad se hizo tema en las empresas nacionales recién hace un par de años.
Esta entrevista ha sido editada y condensada para hacerla más clara.
futuros: ¿Cómo ves hoy el panorama digital en Chile?
Gabriel: Es un desafío. La transformación digital ha ido llegando muy rápido a las personas: hace 10 años era todo muy distinto a hoy, y hace veinte poca gente tenía un teléfono celular. Depende mucho de tu generación el cómo enfrentar esta nueva realidad, y probablemente la tercera edad sea la más afectada. Ellos no están preparados para este tipo de cambio, y es algo que no estábamos abordando en Chile. Tengo una tía que necesitaba sacar la plata de su pensión yendo al banco; le dije que podía hacerlo vía Internet, pero ni siquiera tiene un computador. Solo tiene un celular, pero no sabe cómo acceder al servicio; si tuviera un PC, tampoco sabría, porque jamás lo ha hecho en línea.
Y no solo ellos: también hay niños y familias afectados. Hay instituciones educativas que se volcaron a hacer clases a distancia, pero no en todas las casas hay acceso a banda ancha o más de un computador o tablet para cada uno de sus hijes. Sí, ha mejorado la penetración de Internet y el acceso a poder comprar gadgets y aparatos nuevos, pero hay casas donde sólo hay un computador, que es de los padres… y en este momento, ese equipo es para trabajar y los hijxs no lo pueden ocupar. Hay algunas universidades, institutos y colegios que están enfrentando esa situación, pero no la mayoría, y hay muchos estudiantes que definitivamente no van a poder tener acceso a esas herramientas.
Hay algo que me llama la atención dentro de lo que me dices. A pesar de estar en la casa, seguimos siendo vulnerables. ¿Cómo podemos tomar conciencia ahora que pasamos más tiempo en videoconferencias, hablando por mensajería instantánea y dependiendo del mail?
Justo ahora se dio la explosión de hacer videoconferencias en servicios basados en la web, y creo que el gran problema radica en que, como personas, buscamos servicios que nos ofrecen cuentas gratuitas; en ese caso, muchas veces no tienes control sobre quién se conecta a tu reunión y no puedes administrarla. No solo es un problema de Zoom… también pasa en Jitsi y en otras aplicaciones similares.
Hay errores de usuario, también: cuando envías un enlace de reunión por mail o mensajería instantánea con la contraseña en él, pierdes todo control sobre ella y da pie al zoombombing. Terminas en una reunión con 500 personas, con la chance de que alguien le muestre a todos un video pornográfico o imágenes ofensivas, y es porque la versión gratuita no te permite controlar los dispositivos de los invitados. A Zoom le pasó un poco lo que a Windows en su momento: no es que el sistema operativo fuera inseguro; no lo era, sino que su popularidad era tan grande que hizo que los cibercriminales se enfocaran en él. Se nos olvida que Skype, cuando se lanzó, era super inestable, y ahora la plataforma está cada vez más segura.
¿Y qué hacemos entonces con el phishing?
Es un problema muy complejo porque, para mi, tiene que ver con un tema cultural y con cuán cercanos somos a la tecnología. Las raíces del phishing están en engaños que han existido durante toda la historia de la humanidad: tus papás te decían de niño que no aceptaras regalos de un extraño en la calle, porque podía ser un engaño, o un riesgo; hoy esos “regalos” son digitales, y no estamos preparados para recibirlos en el mail. Es cosa de ver la supervivencia del “Pepito paga doble”: llevamos casi medio siglo en que nos han dicho una y otra vez en los medios que es una estafa, y creo que la mayoría sabemos que lo es… pero sales a la calle, hay un grupo apostando igual y jura que va a ganar.
Que uno le va a ganar al sistema, claro…
Ahora con el advenimiento de lo digital es muy difícil controlarlo, porque como humanos tendemos a ser confiados, y la principal herramienta para cambiar eso es la educación. Recién hace muy poco las empresas se están dando cuenta que las inversiones en ciberseguridad no tienen que ser en más tecnología, sino en concientizar a los usuarios para que sepan que el mensaje que recibieron es phishing, o que el sitio al que estás entrando no es legítimo. Esto cambia muy rápido, entonces a pesar de tus plataformas antispam, probablemente igual va a entrar uno; el mayor control hoy es que los usuarios estén capacitados y educados. Ahora no solo te mandan un mail: puede ser una llamada, un SMS, una cuenta falsa en redes sociales que te envía un enlace. Entonces, hacer pruebas de manera periódica y controlada para determinar quienes están preparados y quienes no, y capacitar a quienes fallen cada dos meses, me parece que es la única forma.
“Qué me van a atacar a mi, además soy una PYME”
Ya pasamos por las personas y un poco por las empresas. ¿Hay conciencia real de la importancia de la ciberseguridad en Chile?
Hemos avanzado mucho, definitivamente, porque hace 20 años era muy difícil vender seguridad informática, y hoy los servicios y plataformas de ciberseguridad son casi un commodity. Todavía no somos conscientes ni maduros para invertir en las personas, plataformas y planes de respuesta a largo plazo, y creo que hacerlo es una constante, un proceso cíclico. Depende también contra quienes nos medimos; no puedes llegar y decir “yo ya invertí mucha plata hace 10 años y estoy bien”. Lo que se necesita es que los altos ejecutivos estén conscientes de que la ciberseguridad es un problema constante, que no se acaba comprando una plataforma en particular una sola vez. Eso es un error fatal, porque básicamente todo va muy rápido, y probablemente lo que hoy es seguro en un año más no lo sea.
¿Sólo porque se robaron plata y les tocó a los bancos bajó el cargo de conciencia a las empresas chilenas?
Hay un antes y un después de lo que pasó con Lazarus en 2018, y definitivamente cambió todo. La aparición de Anonymous ayudó mucho en su tiempo a que la percepción sobre el hacking fuera cambiando, y que se entendiera que quienes trabajamos en esto no somos unos locos o derechamente cibercriminales. Acá nos sentíamos muy seguros: es muy normal que empresas que no se sienten clave piensen “qué me van a atacar a mi, si además soy una PYME, a los que le roban son a los grandes”, y no es así. Creo que olvidarse de ese viejo paradigma es clave.
Hoy los cibercriminales son millennials, y piensan distinto: son ávidos en el uso de tecnología y además tienen resultados rápidos. Usan todos estos recursos a favor de ellos y la mayoría de los ataques son masivos… entonces los que caen, no es porque fueran el objetivo inicial, sino por que no estaban preparados. Y obviamente, al otro lado, tenemos ataques avanzados de países que están financiando cibercriminales de elite — como en el caso de Lazarus, que no hay que olvidar que parte desde la agencia de inteligencia de Corea del Norte – que aplican ciberseguridad ofensiva y también atacan a países para robar dinero y financiar su carrera nuclear.
A propósito de estos ejércitos digitales, que están atacando infraestructura hospitalaria en República Checa o lanzando SMS desde China con desinformación hacia Estados Unidos. ¿Nos va a pasar o es ser muy utópico? El equipamiento clínico y de IOT está bastante desprotegido.
Definitivamente nos puede pasar. Antes pensábamos que cómo nos van a querer robar, si Chile queda tan lejos, y pasó lo del Banco de Chile. Fue advertido en su momento por Kaspersky en 2016 y no hicimos mucho caso. Incluso en 8dot8 tuvimos un expositor que venía del KISA de Corea del Sur, y nos contó en 2015 que ya se estaban dando estos tipos de ataque en Asia, y dijimos “eso nunca va a llegar acá”. Tres años después, llegó.
Tu RUT, la CoronApp y los peligros de SOSAFE
El Gobierno ha estado lanzando aplicaciones últimamente: La de la ClaveÚnica, luego la CoronApp y pronto viene el Carnet Sanitario del COVID-19. ¿Qué te parecen?
Muchas veces actuamos de manera muy rápida, con la incontinencia de querer salir con apps en contingencia, y no debería ser así. Aplicaciones como esa debieran estar disponibles para las personas después de un proceso planificado y maduro de desarrollo, pero resulta que estamos en medio de una pandemia y todo termina siendo una presión constante a los developers para que produzcan código lo más rápido posible y así salir lo más rápido posible al mercado.
En el caso de la aplicación de la ClaveÚnica, le implementaron reconocimiento facial; algo que lleva años tratando de mejorarse, porque ya se sabía que era vulnerable a una imagen. Entonces, ¿qué pasó? Básicamente un chico pensó ‘apuesto que puedo entrar con una foto’, apuntó el teléfono… y le funcionó. Los ya que trabajamos en esto sabemos que si no hace bien, incluso aplicando inteligencia artificial, va a ser vulnerable.
Además, te validaba con un RUT… Y no deberíamos ocupar eso ni un dato público para autenticar; el principio de la autenticación es que sea un dato que sólo yo conozca, pero tu RUT lo sabe todo el mundo: existen rutificadores, ingresas nombre y apellido y ahí está. Esto es muy impresionante para alguien que no trabaje en seguridad informática, pero para nosotros es “Uf… De nuevo.” Y bueno, salió la CoronApp…
La tengo instalada… curiosamente.
(Silencio) Eeeh… Yo todavía no. Jajaja.
Me imagino… Leí los términos y condiciones antes de ingresar mis datos, y cuando llegas a la política de privacidad del MINSAL, son unos PDF de decretos de 2014 que no están disponibles públicamente.
Pero tú los lees porque estás consciente de su importancia, y entiendes qué está en juego. Hay un montón de temas legales que se están analizando; pero más allá de eso, creo que es una problemática porque las personas no son muy conscientes en el uso de su smartphone respecto al computador que tienen en la casa: con el PC uno es súper cuidadoso porque puede entrarle un virus, entonces le instalamos las actualizaciones y parches… Pero con el celular no aplica: pensamos por defecto que es más seguro, entonces llegamos y le instalamos aplicaciones por fuera, desde “tiendas” alternativas… ¡Y eso es súper tonto! Entonces, pasa que bajas una aplicación de linterna, por ejemplo, siendo que tu teléfono la tiene incorporada; la abres y te dice que necesita acceso a los contactos y al GPS, y le dices que sí a todos esos permisos porque quieres instalar esa app.
“Sí, sí, sí”: ¡Déjame usarla!
Entonces, en el caso de la CoronaApp, se piden muchos datos públicos que se pueden conseguir fácilmente y no valida muchos campos, por lo que volvemos a los mismos errores: por ejemplo, si yo le bloqueo el GPS, puedo declarar que estoy en cuarentena en cualquier barrio.
O sea… si quisiera, podría contratar una granja de celulares en China, instalarles la app, denegarles la ubicación a los equipos y con una lista de RUTs denunciar cuarentenas masivas en la comuna que quiera. Guau.
Tal cual. Como estas aplicaciones son desarrolladas de forma muy rápida, urgente casi, no se validan todos los casos de uso respecto a ciberseguridad. En la CoronApp podías crearte una cuenta con un pasaporte y pasaba igual, sin validar correo ni teléfono; el contacto externo podía ser cualquier persona y la forma para validarlo era con el RUT. Básicamente, son errores que se cometieron antes, y no es la primera vez que pasa: estuve involucrado en revisar SOSAFE en un antiguo trabajo, y encontramos un montón de vulnerabilidades también.
¿En serio? ¿SOSAFE?
Era muy loco. Que en una aplicación de seguridad ciudadana, muy popular — sobre todo en el barrio alto— pudieras suplantar la identidad de una persona… O que, por ejemplo, al hacer una denuncia anónima alguien pudiera enterarse de tu nombre completo, RUT y dirección, es grave. Entonces, nuevamente: los desarrolladores y las fábricas de software no son expertos en ciberseguridad; pero si pudieran dedicarle más tiempo a la producción y asesorarse por empresas especialistas, la calidad de las aplicaciones sería notablemente mejor.
Los 10 años de 8dot8
En 2010, post terremoto, arrancó en el Cine Normandie con 400 personas; una década después, llenan el espacio donde sea sede. Gabriel está entusiasta sobre la celebración de 8dot8, planificada para el 30 y 31 de octubre de este año, que tendrá de casa a la Estación Mapocho, y cuyas entradas ya están a la venta.
La idea es celebrar el hito en grande: no por nada este año la conferencia se apellida Leyendas y su primera confirmada es la directora ejecutiva de la villa de biohacking de DEF CON, Nina Alli. “Es segundo año que nos visita: la conocí en Argentina, y le conté que siempre había soñado con cyborgs y lo único que quería era implantarme un chip. Me dijo bueno, ¡conociste a la persona correcta!” cuenta Gabriel, que tiene un chip NFC en una mano y un RFID en la otra. “En 2016 vino a 8.8 y regalamos 4 implantes, pero creímos que nadie iba a pescar… Y bueno, ¡había fila! Nina vino con 40 chips y había gente injertándose dos del mismo tipo”. Sólo de escribir eso me dio nervio.
Así que ya saben: si quieren ser como Gabriel y abrir las puertas de su casa con la mano (literal), ya saben donde tienen que ir. “El único problema que podrías tener es querer sacártelo. Es complejo si, jajaja”. Uf.
La conferencia de este año, además, incluye una feria de cultura hacker, con villas de robótica, inteligencia artificial, trabajo remoto, IoT, mujeres en TIC, niños conscientes, comic, tatuajes, videojuegos… ¡y una bolsa de trabajo! Además, será la primera certificada en el mundo por la ISO 20121 de procesos sustentables y medioambiente.
Eso es todo. Tus comentarios sobre la entrevista los espero en nuestro grupo de Telegram, donde habrá hoy recomendaciones de qué leer este ¿fin de semana?
Gracias por leer,
- ji