Cómo operan las personas detrás de las filtraciones, de qué forman obtienen la información y por qué los sistemas informáticos de las entidades peruanas han sido vulnerados con presunta facilidad son algunas preguntas que surgen frente a este caso. Como científico en Computación, Ragi Burhum sigue de cerca este fenómeno y, tras comprobar el nivel de peligro al que han sido expuestos los usuarios registrados en los sistemas damnificados, conversó con El Comercio para brindar luz sobre este oscuro mercado.
LEE TAMBIÉN: Juicio de Ollanta Humala y Nadine Heredia entra a su recta final con declaración del principal acusado
—¿Quiénes conforman la audiencia de portales como BreachForums?
Personas interesadas en información sobre ciberseguridad y hackers.
—Es decir, personas que atacan bases de datos o quieren vulneran la protección de las páginas web.
No exactamente. Ser hacker no es siempre algo negativo.
-¿Por qué? ¿Cuál es la definición de ser un ‘hacker’?
Un hacker utiliza sus conocimientos sobre tecnologías de la información para lograr un objetivo de una forma no tradicional. Por ejemplo, analizar servidores o bases de datos. Es un concepto principalmente relacionado a la informática.
Los hackers no siempre actúan malintencionadamente. Un hacker puede tener buenas intenciones, como identificar vulnerabilidades en sistemas cibernéticos y luego advertirlas. Por eso, revisa webs como BreachForums para estar atento a filtraciones y luego avisar. Pero también existen hackers con malas intenciones, como los cibercriminales.
-En el caso de los hackers malintencionados, ¿cómo acceden a los datos protegidos?
Pueden obtener los datos a través de filtraciones. Esto ocurre cuando una persona tiene acceso a datos confidenciales de una institución a los que no debería tener acceso. Lamentablemente, esto es muy común en los servicios digitales de Perú.
Una filtración también puede ocurrir por un descuido o error de la institución en su sistema de ciberseguridad que expone la información de forma no intencional.
—¿Es lo que ocurrió en el caso de la Municipalidad de Miraflores?
Sí, claro.
Ahora, si la información la obtiene un hacker luego de vulnerar medidas de ciberseguridad, como los candados de seguridad informática, entonces incurre en un delito.
Según su objetivo, los hackers pueden combinar diferentes bases de datos para obtener y extraer la información de cada una, como si fuera un rompecabezas. De una pueden obtener nombres completos, de otra un correo, de otra contraseñas, etcétera. Cada uno es una pieza para llegar al objetivo. Los hackers cuentan con un set de herramientas para obtener información de los sistemas.
—A partir de lo que nos explicas, ¿lo que ocurrió en Interbank fue una filtración?
Sí, es una filtración hecha por una persona que ha tenido acceso a datos muy sensibles de Interbank. Se trata de información privada expuesta, como nombres, montos que tienen en sus cuentas, datos de transacciones, números de cuenta.
—¿Quiénes estarían detrás de estas filtraciones de datos de Perú?
Son diferentes actores. Como dije, en la industria de la ciberseguridad hay actores buenos y actores malos. Por eso, en temas de ciberseguridad no se trata de eliminar, sino de reducir la ventana de posibles ataques.
-A diferencia del caso de Miraflores, el usuario que filtró la base de datos de Interbank reveló que se comunicó con Interbank para buscar un acuerdo económico a cambio de no exponer la información. ¿Las prácticas extorsivas son una modalidad nueva en los hackeos?
No, es una práctica común. Si preguntáramos a todas las direcciones de tecnología del Estado, todas responderían que reciben amenazas de ciberseguridad.
Las extorsiones son frecuentes, porque los ciberdelincuentes buscan obtener una ganancia. Los montos varían dependiendo de la información de la institución a la que haya accedido o si la entidad aceptó negociar.
El precario estado de la ciberseguridad en el Perú
—¿Por qué crees que las instituciones peruanas, tanto públicas como privadas, son tan vulnerables en cuestión de ciberseguridad?
Porque la ciberseguridad en el país es precaria. Pero hay un detalle. En el caso de una institución privada, si mis datos están en riesgo, puedo optar por dejar esa empresa y pedir que retiren mi información de su sistema. Pero eso no ocurre con el Estado, porque no puedo decirle al Estado que no quiero darle mi información. Eso es lo más preocupante para mí.
El sistema de ciberseguridad de las instituciones estatales es diez veces peor que el sistema de salud, que también recibe muchas quejas por las demoras de atención. La inversión en ciberseguridad de las instituciones del Estado no ha cambiado y se necesita dinero para su mejora. La cibercriminalidad es un mercado que crece y crece en el Perú sin que se fiscalice.
—Un ejemplo del estado precario de la ciberseguridad de las instituciones estatales es la facilidad con la que se vende información de sus bases de datos a través de Facebook y Telegram, como detallamos en un informe reciente. ¿Qué puedes comentarnos sobre lo que ocurre en estas plataformas?
Lo que circula por Telegram es muy preocupante, porque allí se vende información muy actualizada de las bases de datos de las instituciones. El asunto principal es lo que ocurre con la Plataforma Nacional de Interoperabilidad (PIDE), [el servicio que, por obligación, brinda Reniec a las entidades públicas para que accedan a la información de los ciudadanos].
Conversando con personas que utilizan Telegram, ellas me mencionan que existen muchos usuarios y claves de cuentas del PIDE que están circulando en esta red y también una gran cantidad de credenciales. Con esta gran colección de cuentas y credenciales, tienen acceso al sistema PIDE y crean bots en Telegram que en segundos sacan la información de la entidad del Estado que tú quiera en tiempo real.
Es más, a mucha de esta información solo se puede acceder a través del pago de créditos y, según las mismas indicaciones que te dan los bots, se puede comprar estos créditos hasta con Yape. Entonces, también hay un mercado ilícito de cuentas de Yape rotando para hacer estas transferencias.
—¿Qué nos demuestra esta preocupante situación?
Que hay una negligencia activa del Estado en ciberseguridad. Tienen una responsabilidad más grande en resguardar los datos y están fallando absolutamente en hacerlo.
