Conocimos el CSIRT: El bunker donde se monitorean los ciberataques al Gobierno

Conocimos el CSIRT: El bunker donde se monitorean los ciberataques al Gobierno

El CSIRT es el equipo de respuesta a ataques informáticos en la Red de Conectividad del Estado. Acá te contamos qué hace y cómo funcionan.

Un CSIRT (Computer Security Incident Response Team) es un equipo de respuesta a incidentes de seguridad. En Chile funciona desde 2015, sin embargo, recién en 2018 y después de los graves ciberataques que sufrió la banca chilena, se estableció como un departamento de la Subsecretaría del Interior, dependiente de la División de Redes y Seguridad informática.

Unas 60 personas trabajan en sus dependencias y su principal preocupación es el monitoreo y la creación de capacidades de respuesta preventiva, reactiva y proactiva – a los incidentes de ciberseguridad que afecten a la Red de Conectividad del Estado (RCE) en su integridad, disponibilidad o confidencialidad.

Esta RCE está formada por 44 ministerios, subdivisiones y otras instituciones que forman parte de los órganos de la Administración del Estado.

Trabajan además en forma coordinada con un SOC (Centro de Operaciones de Seguridad) para crear una red segura interna, filtrando tráfico y descubriendo potenciales vulnerabilidades.

El CSIRT por dentro

En Teatinos 92, al frente del Palacio de La Moneda, está vigilando las redes del Estado el CSIRT. Ellos trabajan en tres niveles, con un Nivel 1 que funciona con dos personas en turnos 7×24 y que están todo el tiempo en contacto con los encargados de ciberseguridad de cada repartición, informando y ayudándolos a resolver los problemas de seguridad informática, que también publican en su sitio web de forma actualizada para que estén a disposición de la población.

CSIRT por tanto en sus funciones:

  • Detecta
  • Bloquea
  • Se comunica con la institución atacada
  • También monitorea el hardware del Estado, todos los sitios web de la RCE, ven los indicadores de compromiso y la entrada y salida de tráfico.
  • Y…Eso sí dejan muy en claro que no monitorean registros internos de los sitios del Gobierno.

Sus funciones además tienen que ver con la "resiliencia", o sea la capacidad de levantarse siempre tras un ciberataque, y también son los encargados de revisar y auditar todos los planes de seguridad informática de los diferentes ministerios.

CSIRT

El estallido social que también llegó al Ciberespacio

En el CSIRT nos recibe Patricio Quezada, encargado de comunicaciones de este departamento, Carlos Silva, analista de seguridad y el especialista en seguridad informática Benjamín Aravena.

Recorremos la oficina donde varias pantallas gigantes van registrando y monitoreando el movimiento y funcionamiento de la Red de Conectividad del Estado.

En esta Matrix, los tres expertos nos confirman que la semana del 21 al 25 de octubre fue la más crítica que hayan vivido en su corta vida y que los intentos de ataques aumentaron en casi un 30%.

Se detectó tráfico anómalo en la red de conectividad del Estado y en los sitios web de gobierno y otros sitios públicos que visualiza a través de sus plataformas.

Cronología de los ataques

Lunes 21-09:00 horas: Modificación no autorizada de información en página de pagos de la Municipalidad de Macul. CSIRT fue advertido de una vulnerabilidad explotada en una página web del sitio oficial de la Municipalidad de Macul. El sitio fue vulnerado en dos ocasiones. En ambos ataques fueron publicadas consignas políticas.

Lunes 21 y Martes 22 Todo el día: Se produjeron dos ataques de denegación de servicios, los que buscaban paralizar los sistemas informáticos del gobierno. El primer ataque se registró entre la tarde del domingo 20 y la madrugada del lunes 21 de octubre. El segundo ataque, acaeció entre la noche del 21 hasta la madrugada del 22 de octubre. Los siguientes, son los indicadores de compromisos asociados al ataque.

Martes 22 02:30 horas: Se detectó una notoria alza de conexiones hacia una IP del Ministerio de Agricultura lo que fue oportunamente reportado a la institución y quedó consignado en el ticket # 2019102257000209 a las 02:43 horas.

Martes 22 de Octubre 15:00 horas: publicación en el repositorio pastebin de información correspondiente a IPs públicas de servidores de la estación de televisión MEGA. A las 16:32 horas, CSIRT abrió el ticket #2019102257000791 y se contactó con la estación de televisión, recomendando al canal privado tomar precauciones para evitar un incidente dirigido a su servicio de streaming.

Martes 22 Durante el día:  notoria alza de conexiones en dirección al Ministerio de Agricultura. Este ataque fue repelido.

Miércoles 23- 00:07 horas: Ataque de DDOS contra Ministerio del Interior y Seguridad Pública.

Miércoles 23 18:20 horas:  ataque de DDOS que generó múltiples conexiones hacia el Ministerio de Vivienda y Urbanismo. Quedó consignado en el #Ticket2019102357000565.

Miércoles 23 20:30 horas: CSIRT fue advertido por una fuente del Estado sobre una filtración de bases de datos que fueron expuestas en internet y que contenían usuarios y contraseñas de correos electrónicos del Ministerio del Interior.

Miércoles 23 22:30 horas:  publicación de una base de datos del Banco Central. CSIRT procedió a abrir el ticket t#2019102257000905. La información fue contrastada con fuentes del propio banco, las que durante la misma noche confirmaron que la base de datos era antigua, que las cuentas estaban desactivadas, y que ellos estaban en conocimiento de esta información
hace mucho tiempo atrás.

Jueves 24 00:10 horas: ataque de DDOS dirigido al Ministerio del Interior y Seguridad Pública.

Jueves 24 01:23 horas: suplantación del sitio elige vivir sin drogas. Se procede a abrir el ticket 2019102457000143. CSIRT reportó al Hosting ibb.co, en el cual se aloja este sitio web que simula ser del Gobierno de Chile, para que procediera a bajarlo, lo que se logó con éxito al cabo de unos minutos.

Jueves 24 04:20 horas: ataque de DDOS contra el sitio de Junaeb. De acuerdo al ticket 2019102457000321 abierto por CSIRT, la IP bloqueada fue: 138.99.224.159

Viernes 25 03:45 horas: Se detecta que un ataque de denegación de servicios hacia el Ministerio de Justicia. El ataque fue repelido. Se procedió a la apertura del ticket 019102557000557.

Viernes 25 16:20: CSIRT advirtió de la filtración de la base de datos de 29.952 mil funcionarios de Carabineros de Chile. La información fue hecha pública en una cuenta de twitter. CSIRT procedió a contactarse con la institución, la que más tarde confirmó que se trataba de una base de datos oficial. La base de datos se encontraba en diferentes sitios e incluye el nombre, correo, zona, prefectura y comisaría de pertenencia y otros antecedentes. La institución tomó medidas, entre ellas, la cancelación del servicio de correos internos.

Viernes 25 20:25 horas: CSIRT fue advertido por terceros de amenazas de ataques contra la radioemisora BioBío. Se busca contactó en la entidad para que tomaran precauciones. La entidad sufrió una breve interrupción en su sitio web producto de ataque DDOS cerca de las 22:30 horas, situación que fue subsanada.

Viernes 25 23:00 horas: Se registra la caída del sitio del Senado de la República producto de un ataque de DDOS. CSIRT tomó contacto con la entidad para informar. El sitio tuve una breve interrupción, la que fue rápidamente subsanada para luego seguir funcionando con normalidad.

Toda la semana:

ataques y amenazas a los sistemas informáticos y sitios web del transporte urbano de Santiago, y a las operaciones de algunos servicios privados que realizan conexión con el Aeropuerto Internacional de la capital. CSIRT se contactó con algunos de los afectados por el sabotaje, para advertir del suceso y ofrecer colaboración para la mitigación temporal de las vulnerabilidades, las que se dan en el contexto de ataques a otras entidades vinculadas a los transportes como METRO (19 de octubre) y DTPM (20 de octubre). Resultado: Hubo afectación.

Urgente: Definir la infraestructura crítica del Estado

Una de las cosas que más destacan en este departamento es que de la mano de la discusión en el Senado del Proyecto de Ley de Delitos Informáticos, se debe actualizar además una de las cosas más importantes: la definición de la infraestructura crítica del Estado.

Patricio, Benjamín y Carlos coinciden en que ahí podrían estar sitios tan importantes como: Chile Atiende, el Registro Civil, el Servel, la Onemi y el Shoa.

A más largo plazo, este equipo de respuesta a incidentes de seguridad debería ser una entidad nacional y que también tenga alcance civil y privado.

Logo CSIRT