Fuente: ANF
Tras horas de estar frente a la pantalla de su computador, Daniel comenzó a descubrir una vulnerabilidad en el sistema informático de un banco que opera en Bolivia. En la medida que avanzaba, se dio cuenta de que su hallazgo era muy grave, porque había encontrado una puerta que ciberdelincuentes muy bien entrenados podrían aprovechar y acceder a datos comprometedores de esa entidad financiera.
Entendiendo el peligro que representaba esa falla de seguridad, que el equipo informático de ese banco no había detectado, decidió reportar el problema para que lo resuelvan tan pronto sea posible. Sin embargo, en lugar de recibir un agradecimiento por realizar el trabajo que sus expertos no habían hecho, le notificaron el inicio de un proceso judicial en su contra.
En noviembre, la Agencia de Gobierno Electrónico y Tecnologías de Información y Comunicación premió a un hacker en su “Congreso Internacional de Tecnología y Ciberseguridad”, se trata de Iván Pedrazas, estudiante de 3er año de Ingeniería en Sistemas Informáticos.
Para este joven, varios bancos del sistema financiero boliviano son muy vulnerables. Sólo este año, al menos vio cuatro incidentes a nivel informático que no salieron a la luz pública.
=> Recibir por Whatsapp las noticias destacadas
Uno de los casos que atestiguó fue que al banco del que es usuario le cambiaron la pantalla de inicio de sesión por imágenes de armas. Los ciberdelincuentes habrían encontrado un acceso a través del certificado de seguridad que estaba visible en el servidor de esa entidad financiera.
“Por estándares de programación, una institución tan seria como un banco, no debería tener visible un certificado de seguridad, porque cualquier persona puede descompilar la aplicación, convertirlo a código, ver las variables de entorno y poder ingresar al servidor sin ningún tipo de problema. Entonces, me imagino que así hackearon al banco”, explica.
En opinión de Pedrazas, a los programadores de aplicaciones móviles de muchos bancos “les vale un comino” la seguridad, porque piensan que los usuarios no van a descompilar la app, no van a hacer ingeniería a la inversa para ver las credenciales, la estructura del código de programación o qué servicios están usando.
Otra de las vulnerabilidades que encontró Pedrazas es que al menos seis bancos en Bolivia no tienen un Web Application Firewall (WAF) en todos sus portales de acceso al servidor. En términos de seguridad, las WAFs monitorean todo ingreso de ataques, de denegaciones de servicio, de ingresos no autorizados y de posibles inyecciones de código.
La certificación ISO 27001 exige a la banca tener WAFs, pero las entidades reguladoras, según el joven informático, sólo priorizan que se cumpla ese requisito en los sitios vinculados directamente con el usuario, dejando de lado otros puntos de acceso, como los que tiene el personal de la banca, que también conducen al servidor principal.
David Pereira, CEO de Security Professionals (SecPro), una empresa estadounidense dedicada a servicios de ciberseguridad, sostuvo que una WAF es una tecnología supremamente básica y una de las cosas mínimamente necesarias que se requiere para proteger un servidor.
Más de 2.000 usuarios este año fueron víctimas de “débitos fantasmas”
En abril de este año, DTV reportó que aproximadamente 2.000 usuarios del Banco Mercantil Santa Cruz denunciaron, en diferentes ciudades, cobros fantasmas o transferencias no autorizadas. La entidad financiera alegó que atiende cada reclamo y que el problema sería ajeno a la institución; sin embargo, garantizó la devolución de dineros previo análisis de cada caso.
La Autoridad del Sistema Financiero (Asfi) alertó los retiros no autorizados en ese banco y recomendó a la ciudadanía a tomar mayores medidas de seguridad.
La molestia de los usuarios se agravó porque la banca inicialmente deslindó culpa y apuntó al descuido de sus clientes.
Para Pedrazas, muchas instituciones financieras bolivianas “se lavan las manos” responsabilizando con los mismos argumentos a los ahorristas, cuando en realidad sus sistemas de seguridad son vulnerables.
Pese a los cientos de afectados, la Asfi indicó que este año sólo recibió 34 reclamos en segunda instancia de transacciones no reconocidas por medio de banca móvil o banca electrónica.
Responsabilidad de los usuarios
La abogada Paola Sequeiros atendió a decenas de usuarios de diferentes bancos del país que perdieron dinero mediante las plataformas digitales de la banca. En su experiencia, en el 70% de las causas que acompañó se concluyó que era culpa de los clientes; por ello, recomienda una mejor educación financiera.
El CEO de SecPro sugiere a la banca no culpar a los usuarios o catalogarlos como el eslabón más débil de la cadena; al contrario, pidió maximizar los esfuerzos para mejorar los hábitos de uso y así se constituyan en la primera línea de defensa de la banca.
Buscar a ciberdelincuentes con la trazabilidad del dinero es casi imposible en Bolivia
Luis Fernando Zegarra, abogado especialista en seguridad informática que representó a bancos y personas naturales en cerca de 80 casos, sostiene que sería casi “imposible” revertir un dinero transferido mediante el “carding”, una modalidad delictiva, porque la trazabilidad podría resultar dificultosa para ubicar a los ciberdelincuentes que con seguridad usan identidades falsas.
“Por mucho que tengas identificado, porque evidentemente la trazabilidad te orienta a una cuenta plenamente identificada con nombre y apellido y su carnet; aun así, es complicado (…). Solamente creo que en Bolivia pasa que el número 100 está en todas las puertas de nuestro país (…), vas a la dirección y efectivamente esa casa no existe, nadie tiene referencia de esa persona, se lo trata de buscar en las elecciones, porque se entiende que va a ir a votar, nunca acude a su recinto electoral; es más, nunca se registra en el padrón electoral y eso te hace entender que esa persona físicamente no existe”, explicó Zegarra.
Sequeiros resaltó las dificultades para que la Policía logre identificar a los ciberdelincuentes porque no cuenta con suficiente personal para atender cientos de estos casos. Incluso los primeros problemas comienzan con la notificación del presunto delincuente.
“La mayoría de la gente no tiene casa propia, vive en alquiler, en anticrético y está moviendo constantemente. Muy poca la gente va y actualiza sus datos en el banco (…). Nosotros pensamos, en nuestra ‘viveza criolla’, que cuanto menos sepan de nosotros mejor. Entonces, vos vas a registrarte y encima das direcciones falsas”, graficó la jurista.
Actualizar la legislación ayuda, pero no será la solución
Ante la inminente tendencia y posible consolidación del comercio electrónico, Sequeiros, Zegarra, incluso el joven hacker, recomiendan actualizar la normativa boliviana con buenos ejemplos de países avanzados en el tema para que los usuarios sientan que la banca móvil y digital son seguras.
Todos coinciden en que los dos tipos penales vigentes de la ley 1768 de 1997 son insuficientes para estos tiempos modernos. Sin embargo, Pereira, que trabajó con el FBI, la CIA e instituciones de diferentes gobiernos, sostiene que la problemática es global y no hay una ciberlegislación mundial que pueda frenar esos delitos.
Los bancos y el bug bounty
El bug bounty es un programa donde empresas ofrecen recompensas a investigadores de seguridad o hackers éticos por identificar y reportar vulnerabilidades en sus sistemas. Varios bancos de Estados Unidos y Europa ponen a prueba su seguridad o contratan servicios en plataformas, como Hacker One, en aras de la transparencia con sus usuarios.
El joven hacker boliviano asegura que en Bolivia sólo un banco tiene un programa de bug bounty y sugiere que la banca esté obligada a poner a prueba sus sistemas para que los descubrimientos que hacen sus colegas se constituyan en aportes y no terminen silenciados por temor a procesos penales.
Pereira dice que las entidades reguladoras sólo exigen, una o dos veces al año, pruebas de vulnerabilidad con herramientas de análisis que no son perfectas, porque no las hay, pero no realizan ensayos de penetrabilidad, que sólo se pueden lograr con programas de bug bounty.
“Hay cosas que se les pueden pasar, porque solamente se detectan en una prueba de penetración. Entonces, es así sería una recomendación más en vez de crucificar a la banca. A las entidades regulatorias se recomendaría que obliguen a hacer pruebas más profundas, como pruebas de penetración o hacking ético, por lo menos una vez al año”, asegura Pereira.
La justicia entre el banco vs el hacker ético
Daniel, el hacker ético, respondió la convocatoria de la justicia extranjera y tuvo que apelar a las leyes internacionales. La justicia de ese país determinó que el caso no tenía fundamento y el acusado regresó a Bolivia. Tras el calvario judicial, prefiere no hablar más del tema y mantenerse en el anonimato.
Iván Pedrazas dice que el caso es famoso en el mundo de los hackers; por ello, sus colegas dejaron de buscar vulnerabilidades activamente en el sector privado por los riesgos penales. Entre tanto, tienen que ver desde el palco los ataques y problemas de seguridad de la banca.
Reportaje elaborado por: Freddy Poma Fernández