Martín González: “La ciberseguridad depende mucho más de la conducta y el trabajo con la gente, que de los ‘fierros’ o de los antivirus que tengamos”
40° programa de 2021 de “Empresa y Familia – Modelo para armar”, conducido por Leonardo Glikin y Carlos Liascovich. En la primera parte, Martín González advierte sobre las nuevas modalidades de extorsiones y robo de información, en particular por la baja capacitación del personal sobre el tema.
BLOQUE 1
Carlos Liascovich: Buenos días Leonardo, nueva emisión de Empresa y familia, modelo para armar.
Leonardo Glikin: Buen día Carlos.
CL: Creo que va a ser un día muy instructivo para toda nuestra audiencia, porque vamos a tener dos temas muy diversos y útiles. El primero, una conversación a fondo con un experto en seguridad informática, Martín González. Y en la segunda parte, vamos a tener a dos consultores realmente muy destacados en empresas de familia, Alicia Stivelberg y Javier Faiwusiewiez; quienes no van a hablar del inminente día Internacional de la Empresa Familiar. Me parece que ya estamos en línea con Martín. Buen día, Martín.
Martín González: Buen día, Carlos y Leonardo.
LG: Hola, buen día.
CL: Muchas gracias Martín por atendernos. Martín es socio en STI Network, socio de Ariel Luna, que estuvo en nuestro programa. Siguen siendo socios, ¿no Martín?
MG: Todavía sí.
CL: Muy bien, hay que chequear siempre estas cosas. (Risas) Como los matrimonios, hay que chequear siempre las sociedades. Martín, lo que nos convoca no es algo tan risueño, sino que es algo denso para muchas empresas, se trata de la seguridad informática, es un tema tan visitado que parece que estamos todos cansados. Pero se renueva el problema…
MG: Sí, es un tema constante. Es un tema que además tiene novedades todo el tiempo.
CL: Porque ya la palabra virus, aunque estamos conviviendo con un virus, el del Covid, quedó un poco atrás en el tema de seguridad informática, ¿verdad?
MG: Claro. Hemos quedado con ese concepto de esas infecciones de 8, 10 años atrás. Cuando lo único que nos hacían era por ahí impedirnos trabajar en una terminal, que se pusiera un poco más lenta, a lo sumo se formateaba, pero nunca estuvo en riesgo la información. Últimamente, lo que está pasando es que las amenazas atacan directamente a la información de la empresa. O sea, lo que buscan es básicamente secuestrar la información, literalmente, pedir un rescate. Son una organización criminal, dedicada básicamente a este tipo de fraudes.
CL: Y estamos hablando de organizaciones criminales. No estamos hablando de programadores, hackers de Estonia o de Bangladesh, que deliran con esas cosas, sino gente que nos conoce y que sabe nuestros puntos débiles.
MG: Exacto. Hay que cambiar un poco esa mentalidad. A ver, el hacker está más del lado nuestro, más del lado del bien. Buscando tal vez los límites que tienen los sistemas informáticos, buscando vulnerabilidades, el hacker lo que busca son errores. Pero después está el otro, que explota esos errores. No es el hacker el que explota esos errores, el que trata de buscar un beneficio económico, sino que es un delincuente. Y lo que usan son artimañas, engaños, el cuento del tío, llevado al área informática. Entonces, la seguridad informática, la ciberseguridad, todos esos términos que parecen estar lejanos, están en frente nuestro, en la máquina. Depende mucho más de la conducta, de cómo trabajamos con el equipo, que de los fierros o de los antivirus que tenemos. Pasa más por ese lado.
CL: Vos me contabas que, a diferencia de lo que yo esperaba o suponía, la primera tarea que hacen ustedes, cuando alguien les pide un servicio de seguridad informática, es una capacitación.
MG: Claro. Para nosotros el eslabón más débil de toda esta cadena que es la seguridad de la información, está entre el teclado y la silla.
CL: Es decir, la persona.
MG: La persona, exacto. Es el usuario. Entonces, lo importante primero es concientizar. Capacitar por un lado, pero más que nada es concientizar, entender las amenazas, entender las consecuencias que puede tener un ataque. Puede ser que la información se encripte, se secuestre. Y todo lo que implica esto para una empresa, no importa el tamaño de la empresa. O sea, todo lo que implica poner después todo en funcionamiento de nuevo, que se recupere la información… Y, si no se recupera, empezar todo de cero. Imagínense, no saber los estados de cuenta, cómo estar las ventas, no poder facturar. Es empezar una empresa de cero, pero que ya tiene 10 años de historia. Se complica un poco.
CL: Es terrorífico lo que contás.
MG: Bueno, muchas empresas se encuentran con ese panorama. Te secuestran la información, te dejan un correo en inglés, te dicen “mandame un bitcoin”, hoy un bitcoin anda por los US$ 50.000. Y realmente la empresa se tiene que plantear qué es más económico, si pagar y recuperar la info y ponerse a trabajar cuanto antes, o empezar a cargar todo de cero, con data entry, con todo lo que eso conlleva. Es un panorama totalmente catastrófico, por donde se lo mire. ¿Cómo podemos escapar de todo eso? Teniendo un buen back up, teniendo buena capacitación de los usuarios. O sea, por un lado, tratar de evitar el ataque, que no se concrete. Con capacitación, con concientización. Tal vez sí, antivirus, un firewall, depende de la estructura que tenga la empresa. Y, por otro lado, ser conscientes de que vamos a ser atacados, de que nos van a atacar, de que la información la vamos a perder y que tenemos que pensar ya cómo salimos trabajando. Entonces, tener un plan de continuidad de negocios, preparado, armado, practicado. Así como se practica en casos de incendio cómo salimos de un edificio y decimos ¡Uy, qué fastidio!, hasta que efectivamente pasa, y ahí está buena la práctica. Esto es parecido, pero es cómo poner en funcionamiento la empresa sin el servidor, sin distintas cosas, cómo empezamos a trabajar.
CL: Vos contabas un episodio que hubo en la provincia de Buenos Aires con un responsable de un municipio, que cayó en una trampa y fue muy costoso.
MG: Claro. Es un caso conocido. Es un ejemplo de phishing, dentro de las amenazas está el phishing. Lo que hay que entender es que atrás de esto hay personas de carne y hueso, tratando de estafarnos. Entonces, una táctica es el phishing, que es esto de salir a pescar y el que cae, cae. Digamos, en el caso del que hablamos es el de la municipalidad de 25 de Mayo, pasó a fines de 2015, que lo estafaron a través de un aviso en Google, con 3,5 millones de pesos.
CL: Todos los días me contabas que tenía un procedimiento de entrar en la página vía Google.
MG: Es lo que hace todo el mundo y es lo que hace hoy en día y es parte de lo que tiene estar capacitado un usuario. Buscaba Banco Provincia BIP en Google, BIP es Banca Internet Provincia. Buscaba eso en Google, al primer resultado que le daba, le daba enter, y así le aparecía para colocar usuario y clave y entraba a operar. En ese momento, con esas credenciales, te permitía hacer transferencias desde dentro de home banking, una vulnerabilidad importante. Ya había tarjeta de coordenadas token, pero no era obligatorio, no estaba impuesto a los usuarios. Aprovechando esa vulnerabilidad, lo que hicieron (los delincuentes) fue pagar un aviso, que cada vez que vos buscabas Banco Provincia BIP, primero aparecía un anuncio que cambiaba unas letras de la dirección. En vez de decir bancoprovincia.com decía bancs, en vez de una O, una S y después era todo igual, es decir, que cualquiera que estuviera con un poquito de distancia…
CL: O que estuviera apurado…
MG: Claro, no se daba cuenta. Así que cualquiera que ve un monitor con un poquito de distancia, no se da cuenta. Ahí entrabas a una página, a un portal, que era igual. El empleado este ponía usuario y clave, te tira un error, que el usuario y clave es incorrecto y ahí lo deriva a la página original, vuelve a poner usuario y clave y entra.
CL: Pero ya el delincuente tenía los datos.
MG: Claro, ya te capturó. En la pantalla anterior te capturó el usuario y clave. En otro momento, al día siguiente, dos días después, pum, hacen las transferencias. El caso fue conocido porque había gente conocida, todavía está dando vueltas por la web este caso. Y el tema de esto fue la táctica. No fueron a buscar al municipio de 25 de Mayo, les pasó al municipio y a un par de empresas más de la provincia. Se dieron cuenta de la vulnerabilidad, de lo que hace el común de la gente, y fueron a pescar. O sea, no hay que tener unos conocimientos profundos de tecnología, vincular una página y secuestrar el usuario y clave está a al alcance de cualquiera que tenga una noción de programación. Y lo demás era una táctica para engañar a alguien. Un aviso en Google lo puede pagar cualquiera, y luego publicar el aviso determinados días y esperar a que alguno caiga… y cayó y concretaron esa estafa, eso es un phishing. Por eso lo ideal es tener las páginas del banco guardadas, en Favoritos, tipearlas y no googlearlas, para sacar una enseñanza de eso. Ese es un tipo de amenaza, el phishing. Después hay otras, un poco más personalizadas: es probable que te llegue un correo que parece de un proveedor, o de un cliente, pidiéndote una cotización o pasándote una factura, un archivo adjunto, un word, un pdf, algo inocente, que te invita a que lo abras. Y por lo general uno abre esos archivos, están en blanco, no les da importancia y sigue operando, no entiende qué pasó. En ese momento que uno abrió el archivo, lo más probable es que se hayan robado toda la información de la máquina. O sea, que hayan mandado toda la información fuera de la empresa, sacan libreta de direcciones, usuarios, la IP de la máquina, la IP pública de la empresa, información que se va acumulando, hacen inteligencia sobre esa empresa y buscan la forma de entrar. Así, evitan que esa empresa en un momento opere, secuestran la información, programas, lo que sea, y piden un rescate. Casi todo apunta hacia eso.
LG: Esto me recuerda cómo descubrí yo que habían hackeado la cuenta de una persona, de una chica. Yo estaba en un grupo, mando un mensaje de un logro mío y me empiezan a contestar. Esta persona, con la que yo tenía muy mala onda, me envía un corazón. Yo dije, no es ella.
(Risas)
CL: Efectivamente, la habían hackeado.
LG: Tal cual.
CL: Ella nunca se enteró de por qué te diste cuenta.
(Risas)
MG: Es que esto que comentás es una de las formas de darse cuenta de que el correo que nos llegó es raro. A veces tenemos casos de correos que llegan dentro de la misma empresa, por ahí es una empresa que tiene 100 usuarios. Claro, no se conocen entre todos, pero tienen un trato diario y es raro que venga un correo que diga estimado, buenos días, una relación muy formal, para una relación que es cotidiana. Cuando cambia la redacción, hay que prestar atención. Sobre todo, está hecho por una persona que no conoce. Si bien sabe que hay un contacto entre esas dos personas, no sabe que no hay un conocimiento en profundidad, o qué relación tienen. Ahí, cuando uno ve algo raro, dice “pero esta persona me dice saludos cordiales, cuando por lo general me dice cualquier cosa, ¿qué le pasa?”. Esas cosas son las que hay que empezar a ver en la redacción de los correos y del remitente del correo que está enviando. Por más que dice el nombre, que parezca ser real, hay herramientas, que hoy están en el propio correo, y nos permiten ver de dónde viene realmente ese correo. Esto está dentro de la capacitación del usuario, que empiece a prestar atención a estas cosas.
CL: ¿Y cuáles son los pasos que ustedes siguen en STI, para evaluar y dar un servicio de seguridad informática? ¿Qué hacen primero?
MG: Lo que tratamos de generar primero es una política de seguridad de la empresa, ver dónde están parados. Algo tal vez ya tienen, y todo eso plasmarlo en una política, hacer una evaluación previa del tamaño de la empresa, de las vulnerabilidades que tienen. Si tienen antivirus, si los sistemas operativos están actualizados, si trabajan muchos en forma remota, si trabajan todos en un solo lugar, los permisos que tienen las carpetas, la información… O los backups, cómo se guardan, si están afuera de la empresa, si están todos en un solo lugar; a veces el backup está adentro, en el mismo lugar donde está el servidor. A veces no hay que esperar un ataque externo, puede ser una inundación, puede ser un incendio, puede ser que alguien se robe los equipos, puede ser alguien de adentro, por mala fe o que tenga algo en contra de la empresa. O tal vez por error, por una negligencia, puede romper las bases de datos, pueden borrar información. Entonces se trata de contemplar todo el abanico de riesgos que hay, viendo la vulnerabilidad, las amenazas que tiene la empresa. Plantear los riesgos y armar un plan de trabajo, digamos.
CL: La segunda etapa, luego de ese diagnóstico, es armar un plan de trabajo.
MG: Claro, un plan de trabajo. Pero esto cambia de empresa a empresa. Depende mucho del tamaño y de cómo se trabaje. No es lo mismo quien tiene el sistema de gestión dentro de su propia oficina o el que lo tiene en la nube. Lo mismo el tamaño o si son varias oficinas. Hay que evaluar todo, para medir bien los riesgos que tiene la información de la empresa, de ser atacada.
CL: Pensando en el presupuesto de las empresas pequeñas, ¿es un presupuesto que con qué se puede asociar? ¿Qué otro parámetro de la empresa se puede identificar para pensar en un presupuesto más o menos de este trabajo de asesoría de seguridad informática?
MG: Por un lado, la cantidad de horas va a depender de la primera evaluación. Digamos, la primera entrevista, el primer diagnóstico, no lo cobramos, obviamente. Y, a partir de ahí, lo evaluamos. Pero para tener algunos precios dando vuelta, según lo que tengan o no ya incorporado o que estén utilizando dentro de la empresa: por ejemplo, un antivirus, está alrededor de US$ 30 por año, por usuario. Depende después de la cantidad de máquinas, la marca, etcétera. Pero hay que tener un parámetro de que habría que gastar eso por máquina. Está bueno que el antivirus sea licenciado y que tenga una consola desde donde yo pueda administrar todas las estaciones de trabajo. O sea, yo desde un solo lugar puedo ver si tengo 50 estaciones de trabajo y cuál me tira un alerta y no ir una por una. Eso me lo da un antivirus licenciado. Después, para poner un firewall, que es el equipo que está en el borde de la empresa, según el tamaño de la empresa, el presupuesto, hay hasta US$ 500, más o menos. Nosotros trabajamos mucho con Draytek, que es una marca de equipos, de router y firewall, muy robustos. Y en precio calidad resultaron ser muy buenos. Y a partir de ahí Fortinet. Es una gama de equipos que es una solución muy completa en seguridad, es básicamente el tope al que una pyme argentina puede llegar a disponer como seguridad en la red. Habría que por lo menos evaluar eso. Licenciar los Windows que uno tiene, si es que tiene Windows. Si uno tiene Mac, tratar de tener la última versión del sistema operativo. Y todo con los últimos parches de seguridad instalados. Lo mismo, si no hay licencias, tratar de ver un plan de adecuación. Es importante que los sistemas operativos no estén crackeados. Al crackearse un sistema operativo, para que funcione, le estoy bajando la seguridad. Le estoy bajando un montón de configuraciones que tiene, para que pueda funcionar sin validar contra los servidores de Microsoft, lo deja totalmente vulnerable, para que entre cualquiera.
CL: También está el mundo WhatsApp, ¿no? Que es otra cuestión.
MG: En WhatsApp el tema pasa por lo mismo, por lo del cuento del tío, que no te roben la cuenta de la empresa. El hecho de que por ahí te mandan un mensaje, aparentemente de un conocido, que dice “te va a llegar un correo con unos códigos, me equivoqué, pasámelos ni bien te llega”. Y esos códigos son para levantar tu cuenta de WhatsApp en otro lado.
CL: ¿Pero también forma parte de este análisis de ustedes y de esta protección?
MG: Es parte de la capacitación.
CL: Porque ustedes tienen un momento de capacitación, cuando los contratan.
MG: Sí, nosotros arrancamos con eso. Sobre todo porque va a haber unos cambios en la forma de trabajar de la gente. De repente, no van a poder acceder a ver toda la información de la empresa. De repente, las claves van a ser más complejas, con doble factor de autenticación. O sea, de repente, para entrar al correo va a llegar un mensaje al celular. Y esa es una medida más de seguridad y en el correo es muy importante, sobre todo en el correo corporativo. Hay que concientizar a los usuarios de que no usen el correo corporativo para darse de alta en aplicaciones en el celular, por ejemplo. Que a veces es mucho más fácil. Porque uno va a entrar y te dice si quiere registrarse, ponga todos sus datos, ponga su correo, sus claves, tenés que armar tipo un formulario y al lado hay 3 botones que te dicen Facebook, Gmail, Twitter y te podés loguear con la cuenta de Facebook, Twitter o Gmail. La de Gmail, muchas veces, es de la propia empresa. Y, si entran con la cuenta de Gmail en ese botón, se evitan de llenar el formulario, entrás a la aplicación, pero esa aplicación entra a tu correo. O sea, vos a esa aplicación le estás dando permiso a que entre a tu correo, tal vez. Hay un texto que te explica qué permiso le estás dando, que nunca lo lee nadie. Y ahí te dice que accede a los contactos, a la cámara, a la agenda, al correo. Si accede al correo, imaginate que el que desarrolló esa aplicación puede entrar a tu correo sin necesidad de la clave.
CL: A tu correo personal.
MG: Sí, pero a mí me preocupa más el correo corporativo. Porque en el corporativo es donde le avisás a alguien que le vas a transferir dinero. Por ejemplo, hubo un caso muy conocido hace un tiempo de la transferencia de Paredes al PSG de Boca Juniors, creo. Se estaban cruzando correos entre las dos instituciones, por el pago de 500.000 euros. Y en un momento se metió un tercero en la conversación, le mandó un correo al PSG diciendo dale, sí, haceme la transferencia a esta cuenta y el PSG le pasó. Y ese tercero, que estaba viendo la conversación, se metió en ese instante, por una cuenta que en vez de @bocajuniors, era @bcajuniors, pongamos. Del PSG venían con la conversación, respondieron, hicieron la transferencia, mandaron el comprobante y todavía están con ese problema. Esos son los riesgos. Aparte, hay que entender que el ataque no va a ser inmediato. El que va a entrar va a hacer una inteligencia social sobre lo que está viendo. Lo mismo si entra a la red de nuestra empresa, a veces puede pasar que el ataque sea inmediato, como puede pasar que esté días, semanas, dando vueltas, viendo cuánto daño puede provocar y que realmente la empresa se vea comprometida en cuanto a la información que está afectada.
LG: Yo tuve una experiencia muy desagradable hace poco tiempo y quiero contarla al aire. Resulta que los bancos están en una gran campaña de no dar los datos a nadie. El tema es que estaba recibiendo en mi celular llamados que decían fraude. El nombre de donde me hacían el llamado decía fraude. Bueno, una vez se me ocurre atender y me piden efectivamente mis datos, yo les digo no les voy a dar de ninguna manera mis datos. Y dice ser de mi banco. En mi banco yo tengo mi propio oficial de cuenta. Le pregunto a mi oficial de cuenta y me dice que él no había querido llamarme. Pero efectivamente, era de otro sector del banco de donde me estaban llamando, sin informarle a mi oficial de cuenta. Para poder darme la información que me tenían que dar, primero, necesitaban que yo me identificara, pero yo no me iba a identificar nunca. Conclusión: terminé mandándoles una carta documento.
CL: Es decir, era el mismo banco el que estaba procediendo pésimamente.
LG: El mismo banco, que decía que no había que dar los datos, lo que hacía era pedirme los datos.
MG: Eso es como el ABC. No darle los datos a nadie que te llame. Una cosa es que yo llame al banco y el del banco me pidan un PIN o algo, un número de documento, para validar que soy yo el que llama. Pero otra cosa es que me llamen y me pidan los datos, ese es el ABC. Lo mismo con los correos que llegan del banco, de Visa.
CL: Incluso, lo que te preguntaba en la preparación de esta charla era si este famoso truco de dejar tirados pendrives en los estacionamientos de una empresa, para que después algún inocente lo use en su computadora en la empresa. Vos decís que ese ya es un método viejo.
MG: Sí, es algo que se usó en su momento. Se dejaba en el estacionamiento o mismo en las convenciones, en las reuniones, que se te dan un pendrive con la información de lo que pasó en la convención, eso es muy común. Es muy común y a nivel de Estado nadie usa un pendrive que le de otro Estado. En todas estas reuniones que se hacen como el G20, por decir, cualquier otra reunión que se haga a nivel diplomático, es casi una medida de seguridad obvia. Muy lindo el presente que me das de los pendrives, pero no, no lo vas a poner en la máquina. Y a nivel corporativo es lo mismo. Pero ahora con el tema del covid, no sé si la gente está con muchas ganas de levantar cosas del suelo, que estuvo manipulando otro. Pero es parte de un engaño, todo va a entrar a partir de un engaño.
CL: Lo que me deja pensando el tema de la seguridad informática es cambiar la actitud. Es como lo que está implicado con suscribir un seguro. Uno puede ir confiado por la vida, pensando que no le va a pasar nada, hasta que pasa. Y si uno está con un seguro, el resultado es mucho mejor que si no lo tuviera. Y en esto tomar medidas es mucho mejor hacerlo antes de que pase, en lugar de encontrarse con el problema manifiesto y que después me quede sin poder trabajar en la empresa.
MG: Y es importante lo que decías vos. Es un cambio de cultura, respecto a la seguridad de la información. Es parte de la ciberseguridad, es parte de la seguridad de la información. Y el que está consciente de que la información es un activo que hay que cuidar y que tiene que ser algo cotidiano en la forma de trabajar de los usuarios y los empleados de la empresa es el gerente, el dueño, el que toma decisiones, el encargado de un sector. Es decir, tiene que venir de arriba. La cultura, la importancia de tener buenas prácticas a la hora de manipular la información de la empresa, tiene que venir de la gerencia. Tiene que haber ahí una imposición sobre cómo trabajar. Por eso nosotros decimos que arrancamos con la capacitación, un poco para ablandar a los usuarios. Es decir, puede pasar todo esto, ok, por eso la clave va a ser más complicada, por eso no vas a poder ingresar desde tu casa a las 12 de la noche, o vas a tener que pedir permiso. No te puedo dejar el acceso abierto todo el fin de semana. Si vas a entrar a trabajar, me avisás; si no, te lo cierro. O sea, el horario de acceso a la máquina es de 9 a 18.
CL: Y tiene que haber una decisión política en la cabeza de la empresa de que esto se hace así. No simplemente que venga del área de servicios informáticos, sino que haya una decisión desde arriba para abajo.
MG: Exacto. Es una preocupación, honesta y genuina de cuidar la información de la empresa, del gerente, del dueño, del padre de la criatura, que va a traer alguien de informática a ayudarlo en la parte de tecnología. Pero hay muchas partes que te diría que son de proceso, por ejemplo, el no dejar la clave en el sticker pegada en el monitor, no hay mucha tecnología ahí.
CL: Clarísimo. Bien, Martín, realmente muy completo y nos deja más preocupados, pero más prevenidos también.
MG: La idea es esa…
CL: No preocuparse, sino prevenir.
MG: Exacto. Tomar acciones y empezar a actuar.
CL: ¿Para ubicarlos a ustedes?
MG: La página, www.stinetwork.com.ar o en Linkedin MartínGonzalez-sti, a partir de ahí nos pueden ubicar.
CL: Bueno Martín, lo vamos a tener muy en cuenta, gracias por la conversación.
LG: Gracias Martín.
MG: Un saludo a todos.
CL: Estuvimos conversando con Martín González, socio en STI Network.
(Música)