Segurinfo 2015 III: Tarde agitada, anochecer de festejo.

segurinfo(Por Rubén Borlenghi, el Microsaurio) Digestión en curso y regreso al Conocido Hotel de Retiro. Justo cuando se iniciaba la muy concurrida presentación de Ezequiel Sallis y Federico Marchetti (miembros de la división Cibercrimen de la Policía Metropolitana de la Ciudad de Buenos Aires), conferencia a la que pusieron por título Aventuras y Desventuras de la Investigación de los Delitos Informáticos. A poco de comenzar aclararon lo de desventuras, que se aplica a la parte en que las cosas no salen del todo bien. Por ejemplo, cuando la respuesta a un requerimiento formal de información a un ISP del exterior tarda dos años.

Luego de aclarar que no es una presentación especial para esta jornada (hay rastros de esta presentación en gúgle al menos desde 2013) Marchetti y Sallis (si los nombramos por jerarquía de cargo) esbozaron una tipificación de los delitos “informáticos”: donde la tecnología es el fin, donde la tecnología es el medio para concretar un delito que ya estaba en los códigos, y el vasto terreno entre esos extremos.

Me sorprendió la afirmación, que sin duda tomo por cierta, de que existen varias fuerzas policiales de nuestro país que no tienen una división con personal especializado en estos temas; ente ellas, la provincia con mayor población según el censo; y comparto la preocupación de los expositores, que señalaron cómo se puede perder/arruinar/modificar/invalidar material probatorio de soporte informático si es manejado por investigadores no idóneos.

Fue muy interesante escuchar la descripción de los pasos seguidos para evacuar consultas (o realizarlas) cuando se comunican con policías de otros países, y las dificultades surgidas de algo tan simple como la diferencia horaria, o la recepción de requisitorias que llegan en lenguajes para los que no se cuenta habitualmente con traductores.

Los 45 minutos de la charla fueron suficientemente amenos como para aguantar de pie, mi penalización por llegar justito al inicio y encontrarme la sala atestada, y me fui otra vez al segundo piso.

Ahí estaba arrancando Ransomware, ¿quién secuestra nuestra información?, a cargo de Pablo Ramos, flamante Ingeniero UTN y Jefe del Laboratorio de Investigación de ESET Latinoamérica. El programa de mano prometía historia del ransomware, principales casos de los últimos años y una demostración en vivo en Android, todo lo cual se proveyó puntualmente.

Luego de indicar el origen del término ransomware, formado por ransom (palabra que se usa en inglés para denominar tanto a un secuestro para pedir rescate como al dinero pagado para liberar a quien fue secuestrado) y malware, que viene de software y de… ¿hará falta explicarlo?, Pablo señaló los pasos iniciales de los diseñadores de este tipo de sofware dañino, desde los que solamente impedían el uso de la computadora, sin dañar los archivos, hasta la aparición de los que cifran el contenido de varios archivos o todo el disco duro.

Durante la presentación, luego de la información “histórica” que mencionó una cantidad de malware de este tipo, primero proveniente de Europa y luego con orígenes variados; vimos varios gráficos estadísticos, donde se mostró entre otros un caso, el de CTB-Locker en el que los investigadores primero descubrieron un troyano al que bautizaron Elenoocka, que aparecía en un email; éste descargaba el programa cifrador de archivos que exigía rescate en bitcoins (CTB-Locker) y se pudo notar cómo trabajan en los varios laboratorios de la empresa alrededor del mundo, correlacionando la información para descubrir las modalidades y temporadas de distribución de los archivos maliciosos.

Cerca del final, llegó la esperada demo, presentando la actividad de Simplocker, un malware programado para Android que escanea el contenido de la memoria del teléfono y cifra determinados archivos (entre ellos, las imágenes) y muestra un texto pidiendo dinero a cambio de la clave de descifrado. Todo el mundo quedó satisfecho, y otra vez a cambiar de sala…

Para llegar a la presentación de Fede Kirschbaum, CTO de Infobyte Security Research, y miembro del equipo directivo de Ekoparty, la más concurrida y valiosa conferencia anual de hackers que se haga en estas pampas.

El tema era Ingeniería Social: Más allá del phishing, y la sala se fue quedando en silencio (excepto algún oooh y aaaaah por lo bajo) cuando Fede mostró cómo se armaba un falso website con apariencia absolutamente seria, donde se podría solicitar a los desprevenidos contribuyentes que dejaran datos personales, financieros y demás. Esa y otra cantidad de formas en las cuales obtener información para ingresar a las tripas de una empresa. Porque de eso se trataba. Cómo mostrarse confiable, conocedor, amigo, colaborador, colega, de quien podría proporcionar el dato justo. Básicamente, se trata de emplear el engaño para conseguir acceso a activos informáticos aparentemente inviolables y muy seguros. Se hizo la obligada mención de Kevin Mitnick (aunque a Fede le parece un precio caro, pagar la fama con unos años de cana) y se insistió en la seguridad física de la información y del perímetro de la empresa. Lo del perímetro es en sentido literal, porque si hay que saltar una verja, se salta…

Y siguieron los ejemplos tomados de casos reales, donde el uso del chamuyo, herramienta antifirewall de bajo costo y gran efectividad, hizo sonreír a muchos y ponerse muy serio a un señor de traje y bigotes que estaba en la silla de al lado. Sería, tal vez, uno de esos que confiaba el manejo de su correo electrónico a la secretaria, chica proclive a caer en la red del joven simpático, aparentemente sincero e indudablemente entrador que había al frente de la sala. Saludé al Fede con un abrazo y troté hacia el primer piso, porque había un Doctor Ingeniero a punto de comenzar su disertación.

El título era una pregunta en inglés: Can I Play with Madness? Y eso que estaba en el escenario, con una gorra de lana hasta las orejas y pelo hasta los hombros, que responde al alias de Chema, era el Ingeniero José María Alonso, Doctor (Sobresaliente Cum Laude) en Tecnologías de la Información por la Universidad Rey Juan Carlos, Director externo del Master Universitario de Seguridad de la Tecnologías de la Información y las Comunicaciones de la Universidad Europea de Madrid, Embajador Honorífico de la Escuela Universitaria de Informática de la Universidad Politécnica de Madrid, Microsoft Most Valuable Professional, ese que está Del Otro Lado Del Mal. El Maligno, el Padre de la FOCA y capaz hasta de codearse desde su emprendimiento, Eleven Paths, asociado con Telefónica Digital, (la de Telefónica), que no es poco.

¿Y qué vino a hacer el Chema por estas pampas? Más contento que perro con dos colas nos presentó la plataforma PATH 5, que viene a ser una FOCA con esteroides, fisicoculturismo y medalla olímpica. No, no es como la FOCA, es mucho más compleja, abarcativa y tiene otro “target” 😉

Bromas aparte, Chema demostró en vivo la posibilidad de hacer un perfil casi instantáneo de miles de apps del repositorio de Google Play, para cruzar datos de tal manera que se caracterizan desarrolladores, se los relaciona con amenazas, se depuran identificadores, se listan anomalías y singularidades, se identifican apps “mutadas” (las que un desarrollador modifica levemente para sacarse de encima una mala calificación). De acuerdo a lo mostrado, entre las más o menos tres millones de apps, de las que se cargan unas 2500 por día, se puede identificar muy velozmente las porquerías mencionadas arriba.
Como lo dijo el mismo Chema en Rooted CON 2015 una semana antes de venir, “…el mundo del crimen se ha migrado al mundo móvil (…) apps de adware, spyware, r.a.t.s, APTs y demás malware intenta abrirse paso a través de los sistemas operativos móviles…(con la herramienta)…se puede investigar de manera masiva y continua el vasto número de apps que hay en Google Play para poder cruzar los datos con fuentes diversas en tiempo real…”

Y así fue, nomás. Tanto la velocidad como la ductilidad de la herramienta encantaron al público, que aplaudió, además, la conocida cordialidad y la absoluta falta de acartonamiento del Doctor Cum Laude.

Igualito que un par de expertos que conozco…

Catarata de aplausos terminados, marea de cholulaje sacándose fotos con la estrella, y regresó al estrado un Juanjo Dell’Acqua cansado, emocionado, encantado del éxito de la convocatoria y de la concurrencia que se quedó hasta el final. Sí, es cierto, Juanjo. Yo estuve en varios de cierres de Segurinfo donde éramos un puñado de espectadores, casi menos que los que quedaban en el estrado.

Pasó mucha agua bajo este puente. Estuve en tantas Segurinfos como podrás ver en Tecnozona; a lo largo de los años me cayeron bien muchas cosas, me molestaron otras, pero lo que me gustó esta vez fue el buen nivel de las presentaciones, la satisfacción de los espectadores, la gran moderación de los representantes de empresas, que dejaron el marketing para otro momento. ¿Algo en contra? Pasa en todas las conferencias donde se trata de satisfacer público multi-profesional. Acá había material útil para abogados, para auditores, para contadores, para administradores de sistemas y administradores de dinero. ¿Una queja reiterada? Que muchas salas del segundo piso quedaron chicas.

Vamos al final. Después de la emoción, llegaron premios y sorteos. El Premio a la Trayectoria fue para Eduardo Becher (BDO), los sorteos fueron desde un disco externo hasta una moto eléctrica. Cerrada la parte “conferencia”, y ya sólo con los expositores y organizadores en salón aparte, se hizo la presentación ante el público de La Visión TIC de los CIOs, el primer libro que recopila los últimos informes de USUARIA Research. Interesantísimos los resultados de la primera (y única, hasta donde sé) organización verdaderamente independiente (de las consultoras y de las empresas, por lo menos) de análisis de mercado.
En cuanto esté el PDF, por ahí te lo subo.

El final con Chema Alonso fue un espectáculo en todos los sentidos
El final con Chema Alonso fue un espectáculo en todos los sentidos

Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Ver todas las entradas de Ricardog →

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.