WannaCry apenas es el prólogo

Dos días después del día de las madres, en las oficinas de varios corporativos de nuestro país había hojas escritas con puño y letra en las que se pedía a los empleados no prender las computadoras. Varios directores generales y ejecutivos se habrían enterado vagamente por las noticias que había un ataque cibernético, sin embargo, al llegar a sus oficinas habrán sentido un hueco en el estómago al prender sus computadoras y ver la pantalla bloqueada. La segunda acción, después de ver sus computadoras secuestradas, habrá sido pedirle a sus asistentes que le comunicaran con el de sistemas. Una vez que los directivos captaron la dinámica del asunto, seguramente habrán preguntado molestos a sus CIOs, chief information officer, o su equivalente: ¿Cuál es la razón por la que no tenían actualizados los parches de seguridad de Windows?, y en sus respuestas, los responsables de sistemas habrán definido si están de salida de sus empresas o si lograron salvarse una vez más argumentando razones técnicas. En lo que sí hay consenso es en que los clientes no deben enterarse y por eso nuestro país sigue pareciendo un oasis en donde no hay ataques cibernéticos. Sin embargo, de acuerdo con Dmitry Bestuzhev, director del equipo de investigación y análisis para Kaspersky Lab en América Latina, México fue el quinto país que recibió más ataques de WannaCry. Compañías de todos los sectores fueron afectadas, la CFE, por ejemplo, tuvo cientos de computadoras afectadas, pero no nos vamos a enterar porque las compañías prefieren no revelar el alcance del ataque.

El problema no es nuevo y tampoco es reciente la opacidad que acompaña la seguridad cibernética en México lo que deteriora aún más el ecosistema debido a que no se comparten abiertamente prácticas y mejoras que permitan que la industria se vaya acompañando. Hay algunos grupos de coordinación convocados por consultoras y algunos foros, pero no hay procesos establecidos para compartir el forense de los ataques y no hay protocolos de información al público. Por ejemplo, a inicios de año hubo una oleada de ataques a los bancos en nuestro país e incluso el regulador en algún punto fue comprometido, me enteré por varias fuentes y en primera persona. En cuanto al regulador me lo comentaron personas vinculadas con el sector de seguridad de los bancos y pregunté. El área de comunicación social de la Comisión me contestó que nada, que no habían tenido ningún incidente. Las personas de ciberseguridad se indignaron con la respuesta pero no quisieron aportar más datos y hasta cierto punto se entiende que no quieren atacar a su autoridad reguladora, los conflictos asimétricos no son el fuerte de las empresas grandes.

En primera persona supe de los ataques porque mi mamá fue afectada. Ella utiliza su tarjeta de débito únicamente en el cajero de la sucursal de su banco, su plástico no tiene autorizadas operaciones de compra por internet y nunca ha comprado en línea y, a pesar de ello, le hicieron una serie de más de setenta cargos de supuestas compras a través de internet. Es imposible que alguien fuera de la institución bancaria tuviera los datos de la tarjeta, ni siquiera es opción que hubieran clonado el plástico en el cajero. El problema no pasó a mayores porque el banco respondió de manera expedita al reclamo, pero el incidente coincidió con el aumento de denuncias de fraudes bancarios y con varios casos que se ventilaron en los medios.

El problema de WannaCry es apenas el prólogo, la vulnerabilidad es producto de la filtración de las armas cibernéticas que le robaron a la National Security Agency, que es la agencia de espionaje de telecomunicaciones de Estados Unidos. Hay todavía un arsenal que no se ha utilizado de las armas que le robaron a la NSA, por otro lado, WikiLeaks también está liberando gradualmente armas cibernéticas de la CIA en algo que denomina Vault7.

Urge una discusión pública de gran escala en la que se establezcan estrategias conjuntas y protocolos de respuesta en la que el consumidor sea informado.