Kaspersky Lab descubrió una campaña de ciberespionaje llamada "Machete" que ha estado activa desde 2010 y se ha dirigido a gobiernos, fuerzas militares y otras organizaciones en América Latina, Rusia, España y otros países. Los atacantes han utilizado técnicas como phishing y malware de Python para robar grandes cantidades de datos confidenciales de las víctimas.

1. Machete, campaña de ciberespionaje.
Nota de CIOAL publicada el 21-8-2014:
“Kaspersky Lab anunció el descubrimiento de una nueva campaña de ciberespionaje con el nombre clave de ‘Machete’, la cual se ha dirigido a víctimas de alto perfil, incluyendo gobiernos, fuerzas militares, embajadas y las fuerzas del orden desde hace por lo menos 4 años.
El campo principal de su operación ha sido América Latina: la mayoría de las víctimas parecenestar ubicada en Venezuela, Ecuador y Colombia. Entre otros países afectados se encuentran Rusia, Perú, Cuba y España. El objetivo de los atacantes es recopilar información sensible de las organizaciones comprometidas - hasta ahora es posible que los atacantes hayan podido robar gigabytes de datos confidenciales exitosamente.
“A pesar de la simplicidad de las herramientas utilizadas en esta campaña, son muy eficaces, dado a los resultados. Parece ser que los cibercriminales de América Latina están adoptando las prácticas de sus colegas en otras regiones.
La campaña Machete parece haber comenzado en el 2010 y actualizada con la infraestructura actual. Los ciberdelincuentes utilizan técnicas de ingeniería social para distribuir el malware. En algunos casos, los atacantes utilizaron mensajes de phishing dirigidos (spear-phishing), en otros phishing dirigido combinado con infecciones vía la web, especialmente por medio de la creación de blogs falsos previamente preparados. Por el momento no hay indicios del uso de exploits de vulnerabilidades de día cero.
La herramienta de ciberespionaje encontrada en las computadoras infectadas es capaz de realizar diversas funciones y operaciones, como la copia de archivos a un servidor remoto o un dispositivo USB especial (si está insertado), el secuestro del contenido del portapapeles, clave de registro, la captura de audio desde el micrófono del equipo, realizar capturas de pantalla, obtener datos de geolocalización, realizar fotos con la cámara web en las máquinas infectadas.
La campaña tiene una característica técnica inusual: el uso del código de lenguaje Python compilado en archivos ejecutables de Windows - esto no tiene ninguna ventaja para los atacantes, excepto la facilidad de la codificación. Las herramientas no muestran signos de soporte multiplataforma ya que el código es fuertemente orientado a Windows; sin embargo, los expertos de Kaspersky han descubierto varias pistas que dan un indicio a que los atacantes han preparado la infraestructura para víctimas que utilizan OSX y Unix. Además de los componentes de Windows, señales de un componente móvil para Android ha sido descubierto también.”
El tipo de ataques masivos como este, reviste una extrema dificultad en lo que hace a la seguridad de nuestros activos TI, y fundamentalmente lo que debemos proteger: nuestra información y la continuidad de los procesos de la organización. Es decir la confidencialidad, integridad y disponibilidad de la información.

2. En nuestras políticas de gestión de riesgo y en nuestra estructura de seguridad integral no pueden ignorarse las posibilidades de este tipo de ataques, pensados para robar información sensible, sino también para conocer la logística general de la organización.
Es importante tener siempre actualizadas nuestras políticas de seguridad, tener información de primera mano a cerca de las tendencias de los ciberdelincuentes de todo tipo, ya sean individuos, que incluso pueden provocar ataques por mera diversión, o propósitos delictivos; a organizaciones terroristas muy presentes en nuestro tiempo. Pensar que estas solo actúan en contra de los países centrales, caso Reino Unido o EEUU, es ser poco realista. América latina no está fuera de riesgo, y por ser quizá la región menos protegida, es un blanco fácil y no menos deseable, cuando lo que buscan las organizaciones terroristas es desestabilizar el fino equilibrio mundial.
Se requiere como primera medida un comité de seguridad y gestión de riesgo, con funciones proactivas que evalúen estas tendencias y sugieran e implementen las contramedidas que se consideren necesarias. Muchas veces se habla del famoso “costo – beneficio”, al que en casos como este yo definiría como “RIESGO – Beneficio – costo” , porque el costo parece ser grande mientras no ocurre nada, pero me gustaría saber que costo enorme puede tener para una organización estar una semana sin poder acceder a sus sistemas informáticos. Ni hablar si se perdiera toda la información. No tener establecidas políticas serias de respaldo de la información (back up) es suicida. Pero aun teniendo el back up del día anterior, me gustaría ver cuánto tiempo se tarda en ubicar, recordar, y reprocesar lo que se puede perder de lo hecho en las últimas 24 horas. Nunca me pasó, pero imagino que puede ser tremendamente difícil, y puede demorar mucho más de lo imaginable, y entre tanto???? Se detiene la actividad de la organización por otras 24, 48 o quizás más horas?
La definición y aplicación de políticas proactivas es indispensable.
Incorporación de técnicas forenses, reactivas, es cierto; pero son fuente indispensable para alimentar la definición de estrategias proactivas.
Vamos a este caso:
- Personal proactivo y capacitado formando un comité de seguridad y gestión de riesgo, información permanente de nuevas tendencias, tomada de sitios serios, como por ejemplo el FIRST, CERT, laboratorios especializados, MIT, etc.
- BIA claro, definido, y funcional. Es muy importante que esta función se cumpla, porque si no hay actualización permanente acerca de amenazas y soluciones, el resto no puede mantenerse en funcionamiento coordinado con la realidad cambiante de nuestro tiempo.
- BCP Políticas claras e implementaciones certeras dentro de un BCP definido con COHERENCIA. Y probado, esto es como los simulacros de evacuación en caso de incendio o desastres a los que tanto nos obligan las ART. Si es necesario (*) “duplicar” un entorno de trabajo, se lo duplica sin importar el costo ni el esfuerzo. DRP realista y actualizado permanentemente.

3. (*) En función de la complejidad de la organización y la importancia de la información almacenada.
- Concientización permanente de todo el personal. Desde el presidente de la empresa, hasta el personal de vigilancia.
- Seguridad física, control de accesos monitoreados permanentemente. Seguimiento de los movimientos del personal mediante dispositivos RFID o GRPS. Accesos restringidos a todos los sitios sensibles de la instalación. Limitar actividades de ingeniería social
- Control de activos mediante dispositivos RFID. Es importante saber permanentemente donde esta cada dispositivo, particularmente los móviles.
- Seguridad lógica. Firewalls, IDS, IPS, anti-amenazas (o virus, como gusten), consolas de control centralizadas, en lo posible en la nube; de modo tal que se puedan monitorear of- site (con las medidas y permisos de ingreso que se requieran). Solida política de control de accesos, y autenticación de usuarios, con permisos de acceso muy estrictos.
- Separación de ambientes. Cuando menos los ambientes tradicionales de desarrollo, testing, y producción. Donde el ambiente de testing debiera realizar al menos 3 pruebas anuales simulando posibles desastres, y probando los planes de contingencia. Antes de efectuar una prueba general.
- Análisis permanente de vulnerabilidades.
- Capacitación constante del personal del área de seguridad, de sistemas en general; y de todo aquel que tenga acceso a una terminal, por mínimo que sea.
- En cuanto a la aplicación de técnicas de ingeniería social es importante por último comentar que, la entrada de malware a una organización a través de medios físicos puede incrementarse de manera considerable a raíz de nuevas tendencias en alza que se están arraigando en las organizaciones que consisten en bien fomentar o permitir el uso de dispositivos personales (portátiles, tablets, smartphones, etc.) en el entorno de trabajo, es decir que los empleados se traigan sus dispositivos al trabajo y trabajen con ellos, es la denominada tendencia BYOD (Bring Your Own Device), o bien que además de sus propios dispositivos también aporten su propio software ,BYOT, (Bring Your Own Technology), y además existe una variante emergente, BYOC (Bring Your Own Cloud), en estos casos los empleados aportan su propia ‘nube’. Estas tendencias, si no son bien gestionadas pueden suponer una importante brecha de seguridad en las organizaciones facilitando la tarea del atacante puesto que la información privada de la empresa entra dentro de una red cada vez más difusa y difícilmente protegible.
Describir punto por punto las medidas a tomar es difícil, porque dependen de la organización, la criticidad de los procesos, el valor de la información y su clasificación, etc.
Veamos ahora la aplicación de algunas leyes y sus artículos:

4. En primera instancia aplica la ley 26388 de delitos informáticos:
Art.5 Acceso no autorizado. Que agrega el art. 153 bis en el Código Penal (http://blogsdelagente.com/itsb/2008/7/2/ley-26-388-delito-informatico-acceso-autorizado-hacking-/)
Art. 8 Sustituye el art 157 bis del código penal. (http://www.infoleg.gov.ar/infolegInternet/anexos/15000-19999/16546/texact.htm#19)
También la ley 25326 de protección de datos personales o Habeas Data (Ej. Art 5)
Aunque esta se refiere exclusivamente a los datos individuales de cada ciudadano, y poco dice sobre la información general de una cia.
En casos como este, perpetrado por delincuentes “internacionales”, existe legislación internacional regulada por el pacto de San José de Costa Rica.
En mi caso particular el análisis de las implicancias legales de los delitos informáticos perpetrados o posibles, los consulto con un abogado especialista en derecho informático, profesor de la USAL. Pero a decir verdad es poco lo que puedo agregar personalmente.
Firmado digitalmente por Edmundo Diego Bonini
Nombre de reconocimiento (DN): cn=Edmundo
Diego Bonini, o=Offerus Informatica, ou=Offerus,
email=offerus@offerus.com.ar, c=AR
Fecha: 2014.09.03 13:19:58 -03'00'
Versión de Adobe Reader: 11.0.8