El anuncio, en octubre de 2021, de que las redes de 13 operadores globales de telefonía móvil fueron infiltradas por el grupo de hackeo LightBasin por lo menos desde 2019, puso de relieve la relativa situación de vulnerabilidad en que se encuentran las firmas del sector y la necesidad de incrementar las tareas de seguridad de cara al 5G. Aún no hay datos ciertos sobre la magnitud de este hackeo ni sobre sus consecuencias concretas. Sí se sabe que el tráfico del malware emuló los servidores que manejan las conexiones GPRS, lo que le permitió enviar y recibir datos entre los sistemas infectados y los servidores de comando y control sin alertar al firewall. La especificidad del ataque y la no exigencia de dinero en ningún momento llevaron a CrowdStrike y otras firmas de seguridad a considerar que la intrusión tuvo por origen una agencia estatal de inteligencia.
Por sus características, el vasto ataque de LightBasin puede ser considerado único. Pero hay otros asaltos mucho más comunes, ejecutados con ransomware en combinación con ataques distribuidos de denegación de servicio (DDoS), que perjudicaron a los operadores, quienes debieron pagar rescates millonarios por sus datos. El caso más conocido en América latina fue el de la Corporación Nacional de Telecomunicaciones (CNT, el operador estatal ecuatoriano) que, en julio de 2021, admitió un pago de US$ 5 millones para lograr la liberación de datos. Según circuló luego, tras recibir el dinero, los hackers elevaron la apuesta provocando una crisis al interior de la empresa. El de la CNT fue uno más de una serie de ataques llevados a cabo por el mismo grupo de hackers, que aprovechó una vulnerabilidad en un middleware de uso común entre los operadores latinoamericanos, debilidad que estuvo expuesta durante cuatro meses. En todos los casos el procedimiento fue el mismo: captura de la base de datos, un DDoS y pedido de rescate que debe ser depositado en billeteras virtuales.
Los ataques sobre la plataforma de administración de clientes de las empresas de telecomunicaciones “fueron muy exitosos y le han costado un montón de dólares a las empresas de telecomunicaciones”, advirtió Eduardo Carozo, líder del Centro de Estudios de Posgrado de la Facultad de Ingeniería de la Universidad de Montevideo, Uruguay. Según el especialista, a la vulnerabilidad del middleware se le sumó que muchas telcos no tenían replicada la base de datos. En esa situación, a la empresa no le quedó otra opción que pagar ya que ese ransomware aun no fue descifrado, lo que hubiera permitido desencriptar la información. “Las empresas de telecomunicaciones se defienden replicando la base de datos; asumen la pérdida de lo que les encriptaron, toman los datos de la réplica y siguen operando. Pero no todas lo tienen y esa es una vulnerabilidad que los hackers explotaron en la región. Hubo ataques en Brasil, en Colombia, Ecuador, algunos fueron públicos, otros no”, detalló Carozo.
La ola de ataques alcanzó también a los operadores de Estados Unidos, que en junio de 2021 sufrieron el mayor ataque hasta el momento contra empresas de telecomunicaciones de ese país, y que provocó la interrupción de la red de telefonía celular en varios estados por varias horas. Los datos evidencian que el sector telco en su conjunto está en la mira de la ciberdelincuencia. Según el último reporte de Lumen Technologies sobre los ataques que detectó y combatió entre julio y septiembre de 2021, el sector de las telecomunicaciones fue “el principal objetivo” de los ataques DDoS (ver gráfico aparte), con 956 incidentes, un tercio del total, incluyendo el mayor ataque de ancho de banda (612 Gbps) y el mayor ataque basado en paquetes (252 Mpps).
El informe coincide con otro de Cloudflare, especializada en ciberseguridad, para la cual, en el primer trimestre de 2021, el sector fue el más afectado por los ataques DDoS, y advirtió que también crecen otras agresiones que afectan el DNS, como la denegación de servicio de reflexión distribuida (DRDoS) y el envenenamiento de caché.
Según EficientIP, una firma de ciberseguridad, cada ataque de DNS, en cualquiera de sus variantes, les cuesta a los operadores un promedio de US$ 886.560 en 2021, en comparación con los US$ 622.100 del año pasado, un aumento del 42% en solo 12 meses. Pero el costo puede ser mucho mayor: O2 sufrió un ataque de DNS en 2019 que logró interrumpir sus servicios durante poco más de 40 minutos. El golpe sobre su reputación fue enorme por la ruptura del principio de disponibilidad 24×7 que caracteriza a las telecomunicaciones.
La experiencia acumulada en estos últimos meses por los operadores exacerbó un debate acerca de cuánto y cómo invierten en ciberseguridad. Con bases de datos gigantescas y redes de distintas generaciones en contacto continuo, los operadores ofrecen una gran cantidad de puntos de entrada potenciales para que los atacantes los exploten. Los Chief Information Security Officer (CISO) hacen como el avestruz, advierte Carozo, de la Universidad de Montevideo. “Hemos observado que en la región los DDoS están asociados a obligar a la empresa de telecomunicaciones a reaccionar. En general, cuando los CISO toman nota de que algo anda mal, aseguran que es un problema técnico y pasan días o semanas buscándolo. Los hackers despabilan al directorio con un DDoS de uno o dos Tbps contra la infraestructura y desconectan a la empresa de sus clientes. Y allí todo se aclara: un ransomware ya tomó la base de datos y hay que pagar rescate”, explicó. Hacia el interior de los directorios, los CISO están ocupando un lugar cada vez más preponderante, impulsado por el control transversal a todas las áreas que ejecutan a fin de aplicar una política de ciberseguridad integral. Incluso, la tendencia en los operadores más grandes es apuntar hacia la cadena de valor de forma tal de tener cubiertos todos los posibles accesos a las capas de información.
El CISO debe orientar los objetivos de seguridad de la información de la entidad con sus objetivos de negocio. Pero esto puede ser más fácil enunciarlo que aplicarlo. Según Accenture, que ofrece servicios de consultoría e implementación de soluciones de ciberseguridad, apenas el 5% de las empresas logra alinear ambos objetivos, de acuerdo con su último State of Cybersecurity Resilience 2021. La perspectiva inmediata es que la adopción del 5G va a complicar todo. La Unión Internacional de Telecomunicaciones (UIT) advierte en su informe “Seguridad en las redes de información y comunicación” que “el panorama de los riesgos asociados a las tecnologías 5G es muy amplio y heterogéneo; al utilizar diversas tecnologías, las vulnerabilidades y los riesgos que cabe considerar también son muy diversos”. La UIT enumera posibles puertas de ingreso: lagunas de seguridad de las tecnologías de segunda, tercera y cuarta generación; deficiencias habituales basadas en IP; flujos asociados a la tecnología de virtualización.
Actualmente, el Centro de Posgrados en Ingeniería ofrece el Programa Ejecutivo de Gestión de la Ciberseguridad. Si deseas más información puedes hacer tus consultas haciendo clic en el enlace https://bit.ly/CPI-Consultas
