Resguardos frente a atentados físicos e informáticos

Las empresas revisan hasta los enchufes cuando sufren un ataque

  • En Chile, una universidad y un estudio de abogados vivieron el secuestro de información.
  • Un barrido electrónico realizado por una empresa especializada dura, por lo menos, doce horas.
  • Los abogados trabajan con un software para evitar hackeos que los obliga a ingresar a sus computadores con dos claves.
  • Artículo escrito en conjunto con Ximena Pérez Villamil.

Publicado por La Segunda, viernes 2 de junio de 2017

“Todos los días leo una noticia de que una empresa fue hackeada. En Chile nadie lo dice”, señala Sebastián Carey, socio y gerente general de Tecnolex, compañía que presta seguridad informática a los estudios de abogados.  Cita como ejemplos a Target en 2013, JP Morgan en 2014, Telefónica y sus filiales y el servicio de salud británico en mayo.

Poco común es lo ocurrido en la Sofofa que denunció ser víctima de espionaje a través de micrófonos hace dos semanas. Sí es más frecuente lo que les sucedió a algunos directivos de este gremio que recibieron citaciones falsas provenientes de correos electrónicos supuestamente oficiales.

“Los bancos son número 1 en seguridad informática porque manejan plata. Por ejemplo, cuando un cliente transfiere dinero, a veces, no sabe que le han robado, porque el banco lo repone casi de inmediato”, explica Sebastián Carey. Se preguntó a los bancos Itaú y de Chile por sus resguardos, sin resultado alguno.

De acuerdo a la empresa de seguridad inglesa que asesora a Codelco, ControlRisks, el riesgo más alto en América Latina es el crimen cibernético. En su informe Cyber Security Landscape 2017 menciona el hackeo que sufrió el Ministerio de Desarrollo Social de Chile. Tal vez se refiere al tuit desde la cuenta oficial del ministerio que respaldaba un boicot a los supermercados acusados de colusión, en enero de 2016.

El secuestro

“Si se considera sólo ransomware –programa que restringe el acceso y pide rescate-, en 2016 Chile fue el cuarto país en Latinoamérica que más ataques de este tipo recibió después de Brasil, México y Argentina”, advierte Antonio Moreno, gerente de ciberseguridad de Entel Corporaciones.

Uno de los virus más famosos es el WannaCry. “Encripta toda la información del computador, los hackeadores dan una semana para pagar a cambio de una clave para recuperarla. Son mafias que operan en Ucrania y Rusia”, dice Carey.

El 3 de febrero pasado, la Universidad Alberto Hurtado inició su período de vacaciones. Ese día le capturaron la información contable, nómina de trabajadores, y calificaciones de alumnos, entre otros datos, y le pidieron un rescate para recobrarla. Optaron por no aceptar el chantaje. Contrataron a una empresa auditora que recuperó el control del sistema y reinstaló los archivos que tenía respaldados.

Un camino distinto tomó un estudio de abogados, especializado en litigios, que debió cancelar en bitcoins un rescate para recuperar información confidencial que le habían secuestrado.

De acuerdo a una investigación de IBM –citada por Financial Times, el 24 de mayo- el 70% de las empresas en el mundo que sufrieron el ataque de estos softwares maliciosos en 2016 pagaron un rescate. Se calcula que al día se producen 200 mil atentados informáticos de distinta envergadura en el mundo.

Luego de vivir una crisis, la mayor parte de las empresas u organizaciones toman resguardos. El Banco Central reaccionó ante el robo de información que sufrió en 2003 y “trajo a una de las mejores empresas de seguridad informática del mundo cuando descubrió que la secretaria de su presidente Carlos Massad  le enviaba información privilegiada al gerente general de Inverlink (Enzo Bertinelli)”, recuerda Sebastián Carey. El Central sólo reconoce que cuenta “con medidas de seguridad de alto estándar, en línea con los bancos centrales de referencia” que se han venido fortaleciendo desde “la década pasada”. Los signos más evidentes son el detector de metales, el escáner de paquetes y el torniquete instalados en el hall de acceso de su edificio.

Sebastián y Antonio Carey
Los guardianes de los abogados

Sebastián y Antonio, dos de los cinco hijos de Jorge Carey, fundador de Carey y Cía, formaron en 2002 Tecnolex, una empresa de seguridad informática para los estudios de abogados. Con dos carreras inconclusas cada uno, incluyendo Derecho en la U. de Chile, su primer cliente fue la oficina de su padre. Dos años demoraron en conseguir al segundo: Philippi. El tercero fue Barros & Errázuriz. Para convencer al cuarto “mostramos cómo con un lap top podíamos entrar a sus correos y documentos”, cuenta Sebastián, gerente general de Tecnolex, que ocupó el mismo cargo en Carey desde 1995 a 2002, cambió los computadores de los abogados y los unió en red. Su hermano se encarga del área comercial. La cartera actual es de 18 clientes.

Ofrecen un servicio, cuyo pago es mensual, que incluye el respaldo de la información en un data center en Chile y varios en el exterior. Un software para evitar hackeos, que instalan en cada computador a los que los abogados acceden con dos claves, una de diez números y letras, y otra que, como la de las bancos, cambia cada minuto (en el celular o llavero). Los correos están encriptados, por sólo los lee el profesional que los envía y recibe. También queda registro de cada documento o contrato: quién lo leyó, imprimió, a quién se lo mandó, si lo copió en un pendrive.

“Contamos con sistemas que nos alertan si los abogados, secretarias o alguien hace cosas atípicas como mandarse a su correo personal mucha información. Podría tratarse de un robo, por lo que alertamos al superior directo”, explica Sebastián.

Codelco, el caso más extremo

La empresa de seguridad que hizo el barrido electrónico en la casa del presidente de Codelco, Oscar Landerretche, entró a las ocho de la mañana y salió doce horas después. “Sacaron hasta los enchufes y fotografiaron cada uno de los objetos revisados. No encontraron nada”, dice Patricio Chávez, vicepresidente de Asuntos Corporativos y Sustentabilidad de la empresa estatal.

La primera alerta de que “algo” ocurría se produjo cuando intervinieron simultáneamente los dos correos electrónicos de Landerretche en mayo de 2015; y la segunda, fue mucho más peligrosa: un paquete bomba estalló en manos de este ejecutivo en su casa, en enero pasado.

De ahí en adelante, las medidas de seguridad de la Corporación se extremaron. A los bloqueadores de señal colocados hace cinco años en las ventanas de la presidencia ejecutiva y la sala de reuniones en momentos en que se negociaba la compra del 49% de Anglo American Sur, se agregaron cámaras de alta resolución.

Los bloqueadores son aparatos que impiden que se graben conversaciones desde el exterior. También los tiene Quiñenco, el holding de los Luksic, en las oficinas de Andrónico Luksic, Francisco Pérez Mackenna y la sala de reuniones ubicadas en el mismo edificio del Banco Itaú, que cuenta con detector de metales, torniquete de acceso y chequeo de identidad.

Mapeo de riesgos:
Codelco sometido a tres mil preguntas

“Ya está instalado el sistema de detección de explosivos y el de sustancias químicas para la correspondencia que funciona en un sector blindado”, describe Patricio Chávez cuando da cuenta de las medidas de seguridad que han adoptado.
Un equipo para detectar explosivos cuesta entre US$11 mil y US$45 mil y uno de sustancias químicas, alrededor de US$20.000. Encargar un perfil de seguridad para un ejecutivo puede llegar a valer entre US$6 mil y US$15 mil en una empresa internacional especializada.
Detrás de las nuevas políticas de Codelco se encuentra la empresa inglesa, ControlRisks, que asesora a compañías mineras y petroleras en materia de seguridad y compite con Kroll, Ackerman Group e IGI alrededor del mundo. En Chile tiene personal trabajando, pero no dio detalles de sus operaciones.Si normalmente una empresa local aplica 150 preguntas de seguridad para levantar su mapa de riesgo, ControlRisks somete a un cuestionario de tres mil preguntas a sus clientes, grafica Chávez.
Los ejecutivos han tenido que aceptar restricciones. Por ejemplo, el presidente de la Corporación, Oscar Landerretche, que hasta enero conducía su auto, ahora debe andar con chofer entrenado en conducción ofensiva y preparado para responder a una situación de emergencia.
La inversión que deberá hacer Codelco para aumentar su seguridad es relativamente marginal frente a sus resultados. “No alcanza los seis dígitos”, se señala.