Agencia AJN.- Los ciberataques a Israel se expandirán exponencialmente una vez que la guerra de Ucrania desaparezca de los titulares, dijo en una entrevista reciente Ram Levi, ex alto funcionario cibernético del gobierno y actual CEO de Konfidas.

«Seguirán [intensificando] los intentos de hackeo. Hubo una desaceleración [relativa] del hackeo porque Rusia ha estado centrada en la guerra. Pero después, volverán a atacar de forma aún más agresiva».

Se refirió a los planes específicos de Rusia para saltar el nivel de sus ataques a Occidente y que esta escalada «podría perjudicarnos [a Israel] mucho», dijo Levi.

Durante algunos ciberataques iraníes recientes, su empresa cibernética fue capaz de anotar las horas exactas de los hackeos iraníes prácticamente en tiempo real. Explicando cómo lo hace su empresa, Levi dijo que «casi todas las acciones cibernéticas dejan huellas digitales. A veces un aumento de la actividad puede revelar una actividad problemática, otras veces no. Se necesita [generalmente saber] quién ataca para encontrar la huella digital».

A partir de varias señales cibernéticas, la ciencia forense del malware y el seguimiento de los movimientos de los servidores, «supimos qué organización específica estaba involucrada, así que comprobamos los datos. Luego, cuando hay un aumento de la actividad, puedes conectar cosas y elaborar gráficos» para resumir la actividad.

Del mismo modo, con Rusia, dijo que Rusia comenzó su guerra con Ucrania utilizando la cibernética, y que los analistas cibernéticos ya podían ver los problemas en la noche del 24 de febrero.

«Entonces el 40% del transporte público ucraniano fue derribado. Se puede ver cómo actúan, y entonces se pueden aportar pruebas sobre cuál es el impacto y hacer un análisis serio», dijo.

Levi fue preguntado sobre si Israel ha mejorado lo suficiente desde los mega hacks e intentos de hacks contra su sector del agua, el sector médico, el sector aeronáutico, Shirbit, Cyberserve-Atraf y otros por parte de Black Shadow, Moses Staff y otros proxies iraníes en los últimos dos años.

«No hemos mejorado lo suficiente. La mayoría de los ataques se caracterizan por atacar a pequeñas empresas, que son más difíciles de defender. La ciberdefensa cuesta mucho dinero. Las defensas no mejoraron mucho. Hay una brecha entre lo que es suficiente dinero para defenderse adecuadamente y lo que las pequeñas empresas están dispuestas a gastar. Incluso ahora, no está mejorando», advirtió.

«Las pequeñas empresas siguen pensando que no van a ser atacadas», dijo. «En Konfidas hacemos gestión de crisis. Cada director general se pregunta: ‘¿Por qué me han atacado? Tenemos que explicarles que les atacaron por dinero, o porque eran excepcionalmente vulnerables» y fáciles de atacar sin mucha inversión.

A continuación, y a la luz de dos incidentes en los que empresas pirateadas retrasaron a sabiendas la corrección de vulnerabilidades que se les había advertido que parchearan, se le preguntó si la Dirección Nacional Cibernética de Israel (INCD) debería tener más poderes para intervenir y obligar a más empresas del sector privado a llevar a cabo rápidamente esos parches cibernéticos.

Levi está en contra de esto. «No solucionará el problema, porque el problema no es que las pequeñas empresas no quieran ayuda. Saben que tienen un problema. Si alguien les explica el problema, no he encontrado ninguna empresa que haya ignorado un problema una vez que se lo han mostrado. El problema no son las relaciones públicas, sino el cumplimiento».

Su idea es que los reguladores específicos del sector trabajen junto al asesor cibernético de cada empresa, con el RIDC involucrado, pero más en la periferia.

«Para obligarles a actuar, los bancos tienen reglamentos y reguladores aplicables específicos del sector; lo mismo ocurre con las compañías de seguros», dijo.

«O bien el INCD o bien otra agencia reguladora a medida. El transporte puede ser regulado por una agencia reguladora del transporte. Una agencia del agua puede supervisar el agua, pero con la orientación del INCD».

«Estamos a favor del modelo fiscal. Gravamos a todas las empresas del país, pero se hace a través de un contador. Que el Estado se encargue del ciber. Hay que exigir a todo el mundo que tenga su propia persona de ciberdefensa. Ellos definen lo que hay que hacer», dijo.

Pero entonces «también tendrás un socio que se dirija a ti desde la parte reguladora y que pueda traducir las necesidades específicas de la entidad concreta. La RIDC no puede hacer eso por sí misma. Es demasiado pequeña. Hay 250.000 empresas en Israel».

Recientemente, la RIDC cambió de manos, y el ex general de brigada de las FDI Gabi Portnoy sustituyó a Yigal Unna tras un mandato de más de cuatro años.

«Conozco a Gabi desde hace muchos años en las FDI. Gabi entiende el problema. Entiende que la RIDC tiene que cambiar. Tiene que estar mucho más disponible para asistir y ayudar a las ciberempresas» con una variedad de problemas específicos de los negocios con los que se encuentran las diferentes empresas, en lugar de imponer normas únicas desde lo alto y centrarse más en las infraestructuras que en las pequeñas empresas.

«Creo que será un cambio positivo, y él es un activo para su función», dijo.

Levi criticó que el INCD, en algunos casos, como el intento de hackeo del sector del agua de Israel por parte de Irán o el ataque de hackers chinos al Centro Médico Hillel Yaffe, «sólo se ocupa de lo que necesita. Llega a tomar información sobre esos ciberataques, pero luego se la queda para sí y no envía los datos a otros.

«Todavía no sabemos qué pasó en Hillel Yaffe, Shirbit, Atraf, con los ataques al sector del agua. Otras empresas tienen que saberlo. A Clalit, Meuhedet y Maccabi el Estado no les dijo lo que pasó allí. Así que nadie puede ir a Assuta [Centro Médico] o a Yoseftal [Centro Médico] para aplicar las lecciones. Es absurdo».

A pesar de su idea de transparencia, Levi se enfrentó al hecho de que la mayoría de las empresas privadas pueden querer privacidad.

Reconociendo esto, declaró: «Pero para una empresa pública como Hillel Yaffe, hay consideraciones mucho más amplias. Con Shirbit, nosotros [su empresa] nos encargamos de analizar el hackeo y le dijimos al director general exactamente lo que había pasado».

Sugirió que, aparte de hacer malabares con algunas cuestiones técnicas, «con Shirbit sabemos que no hay ninguna razón para que los detalles del hackeo no se publiquen. De hecho, se publicaron [discretamente] en una demanda colectiva».

Según documentos de ese caso de los que no se ha informado hasta la fecha, pero que ahora revela The Jerusalem Post, en lugar de filtrarse miles o decenas de miles de documentos de Shirbit a finales de 2020, se filtraron 707 documentos.

De esos 707 documentos, sólo se filtraron 41 documentos que mostraban los números de identidad de los clientes, y sólo se filtraron siete documentos que mostraban los números de las tarjetas de crédito de los clientes.

Shirbit dijo que ofreció una compensación logística y financiera a estos clientes si necesitaban reemplazar sus tarjetas.

Como analista cibernético externo de Shirbit, Levi explicó en los documentos judiciales que, aunque la agencia estadounidense NIST tiene ciertas normas cibernéticas, algunas de las cuales Shirbit podría no haber cumplido, estas normas no se utilizan como obligatorias o incluso siempre son relevantes para todas las empresas en todos los ámbitos.

Además, Levi dijo que los críticos de Shirbit eran incorrectos con sus afirmaciones sobre cómo podría haber sido hackeado a distancia.

Más bien, se utilizó la técnica del wiper detboi (una referencia a algunos estilos y símbolos musicales oscuros) para hackear los servicios online de Shirbit.

Una vez hackeados los servicios online, los hackers obtuvieron las contraseñas legítimas de los empleados de Shirbit y las utilizaron para acceder a otros aspectos de los servicios digitales de la empresa.

En general, Levi no cree que Shirbit haya actuado con más negligencia que otras empresas comparables del sector en materia de ciberdefensa.

Más bien, Levi consideró que, ante los imprevisibles ataques potenciales de naciones-estado como Irán, la evaluación de riesgos y costes calculada por Shirbit respecto a dónde invertiría más o menos en su ciberdefensa era razonable.

Pero nada de esto, incluso casi dos años después, se ha producido públicamente (hasta ahora) de una manera que podría haber ayudado a otros a preparar mejor sus ciberdefensas.