Hackeo a Twitter del MTC reaviva cuestionamientos sobre ciberseguridad en el Estado

Incidente plantea dudas sobre cómo se está gestionando la seguridad de cuentas y otros activos digitales gestionados por el gobierno.

Cuenta oficial amaneció con su logo y muro reemplazados por el avatar de un “mono aburrido” y la promoción de la venta de un ejemplar de este tipo de obras empleadas como activos digitales. Hecho plantea dudas sobre cómo se está gestionando la seguridad de cuentas y otros activos digitales gestionados por el gobierno.

La cuenta de Twitter institucional del Ministerio de Transportes y Comunicaciones (MTC) fue hackeada esta mañana. En lugar de aparecer el logotipo del ministerio y los posts propios de la cartera, figuraban imágenes que promocionan la venta de un Bored Ape (“Simio Aburrido” en inglés), popular Token No Fungible (NFT, por sus siglas en inglés), y el nombre había sido cambiado por el del usuario ofertándolo. Eso significa que un tercero habría tomado control temporal de la cuenta de Twitter, la cual ya fue recuperada. 

Erick Iriarte Ahon, CEO de eBIZ, explicó que esto sucede porque existe un nivel de seguridad bajo y es probable que el encargado de la cuenta no tenga medidas de protección adecuadas, como por ejemplo la doble autenticación, proceso que solicita a quien intenta iniciar sesión en una cuenta que verifique a través de dos medios distintos el ser usuario legítimo de dicha cuenta.   

Este tipo de incidentes, lamentablemente, son más comunes de lo que se esperaría porque muchas organizaciones públicas y privadas no le dan la debida importancia al cuidado de la seguridad de sus cuentas en redes sociales.

Anuncio de la institución vía la red recuperada omite detalles claves sobre el suceso, tales como las circunstancias, el grado de afectación y el modo de recuperación.

No es la primera vez

Incidentes intensos de hacking locales se dieron durante el proceso de vacancia del entonces presidente Martín Vizcarra, en la quincena de noviembre del 2020. Mientras se realizaban las marchas de protesta por la toma de mando a cargo del presidente del Congreso, diversas páginas web oficiales sufrieron una caída por ataques DDoS, recordó Ernesto Castillo, especialista en seguridad del CAEN (Centro de Altos Estudios Nacionales). 

Resultado del ataque DDoS a la página del Congreso Peruano atribuido a Anonymous Perú

Incluso el colectivo de ‘hackers’ Anonymous se atribuyó un ataque a la web del Congreso de Perú en dichas fechas, en rechazo por las decisiones tomadas por los legisladores, comentó Castillo. En esta oportunidad no ha habido referencias al proceso de vacancia realizado el lunes.    

A nivel internacional esta práctica sucede a menudo. Incluso en una plataforma que compra y vende NFTs, Nifty Gateway, se perpetraron robos de obras de arte digitales a varios de sus usuarios, quienes reportaron que sus cuentas fueron hackeadas. Ellos perdieron sus obras, las cuales fueron vendidas y compradas sin permiso de los titulares. 

“Si solo se ve como un tema técnico, este tipo de incidentes y ataques serán más común de lo que se esperaría”

Erick Iriarte, CEO de eBIZ

El que se utilicen múltiples herramientas -incluyendo el hackeo- para transaccionar con NFTs se debe a que es un negocio digital nada despreciable: La obra de arte más cara bajo esta modalidad fue Merge, vendida en US$ 91,8 millones, seguida de “Everydays: The First 5.000 Days”, un collage del artista digital Mike Winkelmann, valorado en US$ 69,3 millones. Les sigue Human One, con un precio de venta de US$ 28,9 millones.  

La seguridad como política

Ernesto Castillo consideró de vital importancia que el Estado se tome en serio el cuidado de la seguridad del ciberespacio. Se necesita crear un ambiente y condiciones de protección efectiva a las amenazas, lo cual pasa desde tener una política de ciberseguridad nacional hasta la concreción del reglamento para la Ley de Ciberseguridad, promulgada en el 2019.  

“La visibilidad del tema de ciberseguridad debe ser de alto nivel de las instituciones públicas y privadas. Si solo se ve como un tema técnico, este tipo de incidentes y ataques serán más común de lo que se esperaría”, remarcó Iriarte. 

Según Iriarte, el Estado necesita contar con políticas de ciberseguridad, porque no solo se trata de un tema de normativa, sino de un efectivo cumplimiento de la misma, lo cual incluye el desarrollo de capacidades. Es necesario verlo desde una perspectiva multiestamentaria, con participación de la academia y la empresa privada, no solo desde el sector gubernamental, remarcó.  

Los NFTs son el acrónimo de “Non Fungible Token” o Activo no fungible, en español. También se les conoce como criptoarte. En palabras más simples, se trata de activos digitales que se usan para validar transacciones con bienes intangibles como obras de arte, ya sea dibujos o pinturas, videos, gifs, etc, lo que valida su autenticidad.

Son unidades de datos almacenadas en blockchain que funcionan parecido a las criptomonedas, pero no equivalen a un billete sino a una obra de arte. Uno de los ejemplos más visibles de este fenómeno son los “Bored Apes”, piezas coleccionables versionadas de un modelo base y teóricamente únicas.

NOTICIAS RELACIONADAS

El 90% de los ataques a pymes son estafas y malvertising

Según Norton, la falta de conocimientos sobre los riesgos de una mala protección los conduce a situaciones peligrosas para sus finanzas y la de sus clientes. Para atender esa problemática han lanzado una solución para empresas de máximo 20 equipos.

Invertir en ciberseguridad cuesta menos que resolver efectos de un ataque

Ante recientes eventos de fuga de datos personales experimentados en Interbank y la Municipalidad de Miraflores, los expertos coinciden en que tanto el sector público como privado debe realizar una planificación estratégica en seguridad informática para estar preparados en caso se concrete un ataque. No solo se necesita invertir en tecnología sino también capacitar al personal en manejo de crisis.

Interbank: de la falla en sus aplicativos a filtración de datos

El banco aceptó que un tercero había tenido acceso a datos de sus clientes y suspendió el acceso a los aplicativos en línea del banco. La recomendación de los expertos es cambiar las contraseñas, pero luego de que Interbank anuncie que el problema ha sido resuelto al 100%.