Falencias en ciberseguridad, riesgos y culpables: 3 claves para entender la filtración de correos del EMCO con peras y manzanas

El pasado 19 de septiembre, el Gobierno se enteró que se habían filtrado 400 mil correos electrónicos enviados por personal del Estado Mayor Conjunto (EMCO).

Días más tarde se oficializó la información, y la ministra de Defensa, Maya Fernández, volvió de urgencia al país desde Estados Unidos, donde había viajado con el Presidente Boric. La filtración por parte de un grupo “hacktivista” de nombre Guacamaya, se trató de la extracción en mayo de este año de minutas, informes reservados y documentos de inteligencia desde las redes del órgano que asesora la cartera de Defensa. En total, obtuvieron más de 350 gigabytes con información sensible del Ejército, la Armada y la Fuerza Aérea, enviada por mails entre 2015 y 2022.

¿Qué significa todo esto? ¿Cómo un grupo de desconocidos sacó tanta información de alto calibre que debiera estar protegida? ¿Quién asume las responsabilidades?

Para explicar estas dudas, conversamos con Manuel Moreno, CEO de Global Secure, una consultora de ciberseguridad que lleva más de 10 años en el mercado. Sin embargo, Moreno no es cualquier analista: sus vínculos con la capacitación militar lo hacen un experto aún más adecuado para analizar estas temáticas.

“Tengo una academia hace años dónde hemos formado más de 4 mil profesionales en 15 países. Me ha tocado formar cuatro agencias de inteligencia en Chile y fuera también. Además, tuve el honor de ser el instructor del primer diplomado de ciberdefensa para la Academia Politécnica Militar donde formamos al primer ciberejército de Chile en 2016“, cuenta a The Clinic. Aquí, Moreno explica como sucedió el hackeo al EMCO con peras y manzanas.

Parches de seguridad en Microsoft

El servicio de correo que ocupa el EMCO es Microsoft Exchange. Empresa que “todos los segundos martes de cada mes libera los parches de seguridad. (Activarlos) es una labor tradicional de cualquier persona que hace administración de servidores”, indica Moreno.

El 13 de julio de 2021 se envió uno “urgente, grave”, porque se había encontrado un fallo “muy crítico”. Un mes después, en una conferencia anual de hackers, Black Hat, se presentó la investigación que descubrió el fallo. Mostraron videos de cómo explotar la vulnerabilidad y se publicó online una “prueba de concepto”, algo así como la herramienta que sirve de evidencia del fallo.

“¿Que sucedió? Alguien tomó esa prueba de concepto y la modificaron para mejorarla. Uno de los cambios fue que ese script permitía descargar los correos electrónicos del servidor de correos”, explica Moreno.

Entonces, ¿dónde estuvo el problema central? Cómo explica el especialista en su post de LinkedIn, el EMCO nunca instaló el parche que faltaba.

Más allá del EMCO: Los riesgos de entrada a otras redes estatales

Así con el problema de raíz: el parche que envió Microsoft, nunca fue instalado hasta mayo de este año. Esto cuando recién el EMCO detectó el hackeo que ya estaba siendo hecho por el grupo hacktivista Guacamaya.

“Esto es un acto de protesta electrónico informático”, define Moreno, y explica que “un grupo hacktivista es alguien que busca manifestar un descontento político social por medio de temas tecnológicos, así como antiguamente se hacía con los graffitis en las paredes”.

La filtración de información ya estaba hecha, y se publicó en el sitio Distributed Denial of Secrets el día de la Parada Militar. Sin embargo, Moreno agrega que hay un factor más “peligroso y complicado” que los documentos que ya circulan por diferentes plataformas.

“Este servidor estuvo por más de 10 meses expuesto a internet con una vulnerabilidad que permitiera que cualquiera persona pudiera ejecutar comandos en el servidor institucional de lal EMCO. ¿Qué es lo grave de eso? Si bien el grupo Guacamaya generó un daño obviamente al hacer la filtración y todo el tema, no se debería descartar -hasta que una investigación forense- que han existido otros accesos hacia las redes institucionales de las Fuerzas Armadas”, explica.

A su juicio, el software que ocupó Guacamaya en términos cibernéticos fue “ruidoso”, pero “un adversario de Chile perfectamente pudo haber estado ahí tranquilamente paseándose por los servidores (…) porque en los metadatos de los correos electrónicos filtrados, aparece que dentro de la red del EMCO hay un servidor que tiene por nombre “Pivote”. En términos sencillos, Pivote es una máquina que permite conectar dos redes. Eso técnicamente en ciberseguridad es un equipo que sirve para saltar de una red a otra red”.

Eventualmente, entonces, los atacantes -a través de la red militar- podrían haber entrado a otros servidores internos del aparato estatal.

“Mi conclusión es que esto puede que sea recién la punta del iceberg de otros temas. Es probable que tengamos en los próximos meses más información de este grupo (Guacamaya) con más acceso y más información hacia sistemas que hayan podido accesar desde el EMCO. Vamos a ver también si es que hay redes que dejen acceder a otras redes tal vez: de la Armada, del Ejército, la Fuerza Aérea. Porque realmente no se sabe hacia la red interna si es que ellos están interconectados de alguna forma”, señala Moreno.

Sin ley no hay ciberseguridad

El experto señala que actualmente “la gran mayoría de ellos (sus alumnos militares) no están haciendo temas de ciberseguridad. Yo diría que esa inversión hoy en día es como si se tirara a la basura”.

Por otra parte, evalúa como “correcta” la renuncia del General Paiva a la dirección del EMCO, en términos de su responsabilidad política. Sin embargo, dice que “legal y administrativamente no existe ninguna ley o normativa que fuerce u obligue a las fuerzas militares y del Estado a tener estándares mínimos de seguridad”.

No hay lineamientos base, ni parámetros exigibles, por en casos como los de este hackeo, no se pueden establecer responsabilidades. “Tampoco existe una Agencia Nacional de Ciberseguridad que se encargue de coordinar y velar por una correcta ejecución de estos temas en las FF.AA. o el Estado. Eso es una debilidad -principalmente por falta de voluntad política- que los países más preparados tienen hace bastantes años”, comenta Moreno.

Ese es el factor clave, según el experto. “Hace muy poco en este gobierno entiendo que designaron un nuevo coordinador de ciberseguridad. Pero el problema está en que si no hay ley ni presupuesto, es un persona que puede dar indicaciones pero no tiene poder para hacer nada. Ese es el tema de base: Chile tiene que invertir más en ciberseguridad”, concluye.