¿Cómo hackearon al Ejército peruano?, por Ragi Burhum

BurhumMuchos ya han escuchado sobre el hackeo a las Fuerzas Armadas peruanas por parte del grupo hacktivista Guacamaya. En los más de 283.000 e-mails publicados se revelan datos clasificados importantes, como por ejemplo los planes en caso de guerra contra Chile que han sido publicados en los medios periodísticos del país vecino. Lamentablemente, el hackeo de esas cuentas no fue hecho usando un proceso sofisticado.

En mi cuenta personal de Twitter he detallado las herramientas que se utilizaron para extraer esa información, pero el resumen es que el hackeo se debió a que las persona responsables de mantener los servidores utilizados para mandar e-mails por el Comando Conjunto de las Fuerzas Armadas y el Ejército del Perú no habían instalado una actualización publicada por Microsoft en julio del año pasado.

No importa el tipo de software que se use, siempre es posible encontrar vulnerabilidades eventualmente. Es algo tan común, que todos los países tienen una división de ciberseguridad que publica la lista de “exploits” que consideran importantes. Cualquier persona, de cualquier parte del mundo, puede inscribirse y recibir esas lista por e-mail todos los días. Perú también tiene un Centro Nacional de Seguridad Digital que publicó una advertencia específicamente sobre este problema.

La realidad es que este no fue un problema por falta de conocimiento o entrenamiento. Parte del trabajo de un administrador de sistemas o personal encargado de la seguridad de una institución es de levantarse en la mañana, revisar los comunicados de seguridad de ese día (digamos unos 30 minutos), y ver si alguno de ellos aplica al software que están usando. Si es así, instalarlo (unos cuantos minutos).

Es un trabajo extremadamente monótono, y existen muchas herramientas que automatizan esto, pero si se ignora por mucho tiempo, abre la ventana de ataque para que cualquier curioso pueda fácilmente atacarte como vimos en este caso.