Ariel “Wata” Waissbein: quién es el director de la Agencia de Ciberseguridad que creó el Gobierno de Milei
Perfil del funcionario que estrena el puesto, AT&T habría pagado 370 mil dólares tras un ransomware y un error en Crowdstrike causa una caída global de sistemas.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
12>19
jul
⚡ TL;DR
El Gobierno argentino creó esta semana la Agencia Federal de Ciberseguridad (AFC), una entidad dedicada a la ciberdefensa de las instituciones y las infraestrucutras críticas del Estado. Se trata de una demanda de hace muchos años del sector infosec local. Al frente, la gestión de Javier Milei designó a Ariel Waissbein, conocido como “Wata”.
Por este motivo, estuve gran parte de la semana tratando de reconstruir su perfil, que combina un costado académico con muchos papers publicados, pero también con patentes registradas en Estados Unidos sobre derechos digitales (DRM o antipiratería) y gestión/explotación de vulnerabilidades.
Wata fue parte de CoreLabs, la división de research de Core Technologies Security, una de las empresas pioneras en ciberseguridad en el mundo. Su designación generó sorpresa en el ambiente local, ya que es la primera vez que alguien “del palo” ocupa un rol político. A pesar de esto, fue mayormente celebrada. Y, además, un rol que no se termina de saber cómo será ya que esta agencia de ciberseguridad, creada por el Gobierno y aprobada por el poderoso asesor presidencial Santiago Caputo, no tiene todavía ni una semana de vida.
El recorrido de Wata, sus conexiones y el estado de la cuestión de la ciberseguridad argentina terminaron en esta nota de Clarín, que reproduzco -editada- en esta entrega.
Al momento del envío de esta edición, Crowdstrike experimentaba una caída masiva en sus servicios con impacto sólo en computadoras y servidores Windows, que causaba un BSOD. El CEO de la compañía, George Kurtz, aseguró que no se trata de un ciberataque, sino “un defecto en una actualización”. El problema fuerza a los equipos a un loop de booteo entre el pantallazo azul y el recovery, y diversas empresas como la aerolínea Ryanair o Sky News reportaron incidentes. El incidente parece tener un impacto muy grande y como ocurrió horas antes de esta publicación, linkeo más abajo a un minuto a minuto de CNN.
Los titulares internacionales en materia de ciberseguridad estuvieron tomados por el brach de AT&T, quizás el más grande que una telco haya registrado. El caso levantó mucho polvo porque trascendió que la empresa habría pagado 370 mil dólares a ShinyHunters, el grupo cibercriminal detrás del ataque.
Lo más interesante del caso es, sin embargo, que AT&T es otra víctima de Snowflake y la cadena de suministro (ver este enlace).
Alineado con pagos de ransomware, CNN reportó que CDK Global, una empresa de software de concesionarias de autos, habría pagado 25 millones de dólares a un grupo cibercriminal, una cifra descomunal para lo que se suele pedir (y mucho más llamativa por lo que se suele pagar).
A nivel local, el Gobierno de Santa Rosa (La Pampa), apareció en la lista del grupo de ransomware Hunters International. También apareció una base de datos de EPE Santa Fe, empresa energética de la provincia, en un foro de compraventa de datos. Además, según pude saber, OCASA todavía no pudo llevar sus operaciones a la normalidad y siguen lidiando con el ransomware que afectó sus sistemas.
Además, liberaron al administrador de Fútbol Libre, luego de su detención y el takedown del sitio para ver partidos de fútbol online, sin pagar servicios de streaming.
En el plano regional, filtraron información de una universidad en Chile, apareció una nueva campaña de phishing apuntada a México y el equipo de research de la empresa cripto Bitso (Quetzal), contó un caso de Ransom DDoS que intentó atacar a la compañía.
Para cerrar, cuento que me aprobaron las acreditaciones de prensa a Black Hat USA y DEF CON, con lo cual estaré cubriendo la edición 2024 de ambas conferencias. Para Black Hat ya está confirmado el keynote de Moxie Marlinspike, fundador de Signal, e hice el pedido para tener un mano a mano.
Como el año pasado, si conocen researchers latinoamericanos que presenten trabajos, siéntanse libres de escribirme a este mail para darle cobertura y contar qué investigaciones presentan tanto en las villas de DEF CON como en el Arsenal de Black Hat.
Dark News #91
Leer este correo te va a llevar 16 minutos.
Esta entrega cuenta con el apoyo de:
Me Filtraron es una instancia de Tero, un motor de búsqueda de filtraciones y enciclopedia de ciberincidentes, con foco en América Latina. Cualquier usuario puede consultar y verificar si sus datos fueron filtrados ingresando su dirección de correo. Tero no conoce ni almacena correos o contraseñas filtradas, ni guarda las búsquedas realizadas.
👔 Quién es “Wata”, el nuevo director nacional de ciberseguridad
El Gobierno de Javier Milei anunció esta semana la creación de la Agencia Federal de Ciberseguridad. Al frente estará Ariel Waissbein, un investigador de larga trayectoria conocido en el ambiente por su sobrenombre “Wata”, que tiene un amplio conocimiento en criptografía y una gran cantidad de patentes registradas en Estados Unidos.
Formado en la ORT y Doctor en Ciencias Matemáticas por la Universidad de Buenos Aires, tiene un recorrido académico notable, pero también experiencia en la industria infosec. Expositor habitual en conferencias de renombre internacional, a las pocas horas de haber sido anunciado públicamente borró su perfil público de LinkedIN y su cuenta de Twitter.
Wata fue parte del equipo de investigación de una empresa fundada en 1996 por Gerardo Richarte y Emiliano Kargieman e Iván Arce, tres veteranos de la ciberseguridad argentina: Core Security Technologies. Se trata de una de las primeras compañías que se focalizaron en seguridad ofensiva, y que se hizo conocida por reportarle muchos problemas de seguridad a Microsoft.
“Core fue una empresa pionera en Argentina, como un unicornio, que tomó escala de compañía global a partir de diferentes productos de tecnología e innovación absoluta para ese momento”, contó en diálogo con este medio un hacker con más de 30 años en la industria de la seguridad. “Ellos profesionalizaron una idea que hoy es muy común, pero que para la época era revolucionaria: el ‘red teaming’, o ‘pentest’, esto es, armar plataformas que se comportan como se lo haría un atacante para detectar dónde tenés los puntos flojos de tu red”, complementó un empresario del rubro.
Y vale aclarar, estos avances fueron a nivel mundial: “La gente venía a la Argentina a ver qué estaba haciendo Core para entenderlo y reproducirlo”, agrega. La profesionalización de estos servicios de “pentest” comenzó a ser replicada luego en todo el mundo.
Bajo este ecosistema, Waissbein fue parte de CoreLabs, la rama de investigación que no sólo se dedicaba a reportar las vulnerabilidades que encontraban, sino empezar a desarrollar sistemas para una industria que empezaba a tomar forma.
Criptografía y derechos de autor digitales: la carrera de Wata
Wata se especializó en criptografía, la rama de la computación que estudia cómo proteger información a través de algoritmos y codificaciones. Su tesis doctoral, defendida en 2013, se titula “Algoritmos de deformación para la resolución de sistemas polinomiales”.
Desde principios de la década de 2000 empezó a patentar en Estados Unidos, junto a otros reconocidos investigadores del ambiente como “Beto” Solino Testa y Ariel Futoransky, distintos tipos de tecnologías que le valieron reconocimiento en el ambiente del cifrado de información y la protección de derechos digitales de software (antipiratería). En 2003 registró, junto a un equipo un trabajo, una patente dentro del ámbito de lo que hoy se conoce como Digital Rights Management (DRM).
En 2008, Wata elaboró otro trabajo que apuntaba a la automatización del proceso de detección y explotación de vulnerabilidades web (inyección SQL). Más cerca en el tiempo, comenzó a trabajar en seguridad en plataformas descentralizadas como la blockchain.
Muchas de ellas fueron presentadas en Black Hat, una de las conferencias de hacking y ciberseguridad corporativa más importantes reconocidas que se realiza todos los años en Las Vegas, además de otras convenciones en diversas partes del mundo.
Más allá del research, Waissbein fue parte de otras empresas como CoinFabrik (volcada a seguridad cripto) y se dedicó a la docencia en materia criptográfica.
En cuanto a cómo llegó al cargo, en principio, Waissbein no tendría vínculos políticos ostensibles. Según especularon fuentes cercanas, tanto contratos pasados de Core con el Departamento de Defensa de Estados Unidos como su expertise en el mundo cripto podrían haber funcionado de vidriera para ocupar el cargo y llamar la atención de Santiago Caputo, asesor del Presidente de la Nación y principal armador de esta nuevo Sistema de Inteligencia Nacional (SIN).
Los desafíos que enfrenta el Estado argentino
El lunes pasado, por la noche, el Gobierno comunicó la decisión de disolver la Agencia Federal de Inteligencia (AFI), entidad que había sido fundada en 2015 durante el último año del segundo mandato de Cristina Fernández de Kirchner. La administración de Javier Milei anunció la creación del Sistema de Inteligencia Nacional (SIN), compuesto por la Secretaría de Inteligencia del Estado (SIDE), que tendrá a su cargo cuatro entidades. Una de ellas es la Agencia Federal de Ciberseguridad (AFC), un reclamo que era recurrente en el sector infosec.
El desafío que enfrenta Argentina en materia de ciberseguridad es grande. El país presenta un atraso en medidas de protección de entidades estatales y durante los últimos años sobraron noticias sobre hackeos, accesos no autorizados y filtraciones de datos, con algunos casos preocupantes.
Durante este año, la base de datos del Registro Nacional de las Personas (Renaper), un set de 115 mil fotos de ciudadanos y 6 millones de imágenes de licencias de conducir fueron publicados en Telegram.
Durante el año pasado, un ciberataque al PAMI terminó por filtrar no sólo información personal de una parte de sus asociados (nombre, dirección, teléfono, correo electrónico) sino también sensible: estudios médicos, diagnósticos y resultados de análisis. Los datos personales se comercializan para cometer diversos tipos de ciberdelitos, entre los que se encuentra la suplantación de identidad, que puede usarse para conseguir accesos no autorizados o realizar ingeniería social.
También durante 2023, la Comisión Nacional de Valores fue víctima de un ransomware, un tipo de virus que cifra la información para pedir un rescate en criptomonedas a cambio de la devolución de los datos. Vencido el plazo, los cibercriminales de un conocido grupo en el ambiente (Medusa) publicaron información interna de la CNV.
Más atrás en el tiempo, la Dirección Nacional de Migraciones sufrió también un ransomware, el Senado de la Nación fue hackeado y se expuso documentación interna de legisladores, y también la Legislatura porteña fue víctima de este tipo de malware. Todo esto es apenas una muestra a nivel nacional de un problema que ocurre casi a diario en gobiernos provinciales y locales, con menos cobertura mediática.
“El escenario actual de la ciberseguridad en el Estado es malo. Cada organismo o dependencia estatal hace las cosas como puede con los recursos que puede (que son muy pocos). Las empresas se la pasan vendiendo productos a través de resellers [revendedores] que después no brindan ni la capacidad ni el soporte adecuados. Hay que construir capacidades, esto es algo que a nivel global se trabaja todo el tiempo”, contó a este medio una fuente de amplia trayectoria en ciberseguridad vinculada al Estado.
“Van a tener que agarrarse de mucha gente con conocimiento para proteger la seguridad nacional y las infraestructuras críticas. El Comité Nacional de Ciberseguridad va a tener que profesionalizarse de verdad. Si el foco va a ser infraestructuras críticas, el Comité tiene que ayudar a definir eso bien -no como hasta ahora-, la Dirección Nacional de Ciberseguridad va a tener que o desaparecer o transformarse en otra cosa, el CERT -donde hay mucha gente que sabe mucho- va a tener que funcionar mejor. Se van a necesitar recursos: ciber sin recursos económicos, técnicos y humanos, no funciona”, agregó este analista.
Otra cuestión tiene que ver con el diseño institucional de la agencia recién creada, y es que se encuentra dentro de los servicios de inteligencia. “Mucha gente confunde ciberseguridad, ciberdefensa, ciberinteligencia y ciberdelito. Y no es todo lo mismo. Si la AFC tiene como objetivo mejorar la ciberseguridad y la meten dentro del paraguas de inteligencia, ya empezamos mal”, agregó.
A estos desafíos se suma el desactualizado marco regulatorio. La ley de protección de datos personales, número 25.326, es de 2000, motivo por el cual desde lo jurídico hay pocas sanciones o consecuencias nulas cuando una entidad sufre un ataque: apenas la exigencia de ser reportado a la Agencia de Acceso a la Información Pública (AAIP), algo que, además, pocas veces sucede. Al menos hasta que entre en vigencia el Convenio 108+, que va a hacer obligatorio el reporte de incidentes.
En este escenario tendrá que actuar Wata, flamante titular de la nueva Agencia Federal de Ciberseguridad, sin que quede claro qué actores de reparto pondrá Santiago Caputo a su alrededor.
“Habrá que ver si este Gobierno quiere una agencia de ciberseguridad como la NSA o como la CISA”, expresó otra fuente cercana. La referencia a las dos entidades de Estados Unidos es de nicho, pero clara: la Agencia Nacional de Seguridad (NSA) tiene foco en inteligencia; la Cybersecurity and Infrastructure Security Agency (CISA) maneja un corte más técnico que logró robustecer el ecosistema de las entidades estatales del país del norte ante ciberataques.
Ariel Waissbein estará al frente una agencia que tendrá que decidir si será un instrumento de la inteligencia del Gobierno de turno o un área técnica que ponga al talento argentino, aquel que sembró Core Security Technologies, a resolver un problema enorme que todavía no encuentra solución.
⚡️ Caída global en Crowdstrike
Miles de equipos y servidores con Windows que usan la plataforma de seguridad Crowdstrike experimentaron un incidente con impacto global: aerolíneas, cadenas de televisión y bancos se encontraron con un loop en el arranque entre un pantallazo azul (BSOD) y el recovery mode.
“CrowdStrike está trabajando activamente con los clientes afectados por un defecto encontrado en una única actualización de contenido para hosts Windows”, aseguró el CEO de CrowdStrike, George Kurtz, en un post en Twitter. Aclaró que los hosts Mac y Linux no están afectados y reafirmó que no se trata de un incidente de seguridad o un ciberataque. CrowdStrike es muy usado por muchas empresas de todo el mundo para gestionar la seguridad de los equipos y servidores Windows.
La causa del incidente es una actualización de drivers en el nivel del kernel que usa Crowdstrike para proteger a los equipos con Windows, motivo por el cual equipos de IT de todo el mundo lidiaban con este problema durante el viernes.
Algunos analistas ya aseguraban que el incidente impactó en hasta un quinto del valor de mercado de la compañía.
HISTORIA EN DESARROLLO: actualización minuto a minuto
📡 AT&T: 6 meses de logs filtrados, pago del ransomware y lavado de dinero por mixers
AT&T, una de las compañías de telecomunicaciones más grandes del mundo, sufrió una filtración de datos el viernes de la semana pasada. Según reportó la misma compañía, ciberdelincuentes lograron acceder a “casi todos los clientes” de la compañía.
En un comunicado, AT&T aseguró que los datos robados contienen números de teléfono de clientes de telefonía móvil y fija, registros de llamadas y mensajes de texto. Esto puede derivar en que los datos filtrados no sean sólo personales sino también sensibles, ya que se podría saber quién llamó a quién durante un período de seis meses, entre el 1 de mayo de 2022 y el 31 de octubre de 2022.
El caso, además de ser una filtración enorme en el ambiente de la ciberseguridad, destaca porque trascendió que la empresa habría pagado 370 mil dólares a ShinyHunters, el grupo cibercriminal detrás del acceso no autorizado a los sistemas y la posterior publicación de los registros. Según reportes, el grupo empezó a lavar el dinero a través de mixers y servicios de apuestas.
AT&T aclaró que esta filtración no tiene que ver con la sufrida en marzo de este año, sino que está relacionada al incidente que sufrió Snowflake y que, por cadena de suministro, afectó a Ticketmaster, Grupo Santander y otras 160 empresas (para más info: Wired publicó una entrevista con un miembro de ShinyHunters donde se reconstruye toda la cadena del ataque).
La empresa empezó a notificar a sus clientes sobre el breach.
⛔ Kaspersky cierra sus operaciones en Estados Unidos tras la prohibición de la administración Biden
Kaspersky, autoridad mundial en materia de ciberseguridad, echará a decenas de empleados de su división de Estados Unidos y abandonará ese mercado luego de una orden del Gobierno de Joe Biden que prohibió en junio la venta del software de la empresa, con el motivo de riesgos para la seguridad.
La compañía declaró que reducirá “gradualmente” sus operaciones en Estados Unidos a partir del 20 de julio, cuando entre en vigor la prohibición, y expresó que su negocio en Estados Unidos “ya no es viable”.
La primicia de los despidos la dio la periodista Kim Zetter en su newsletter, que precisó que son menos de 50 trabajadores involucrados, que serán indemnizados.
La disputa con Estados Unidos viene desde hace tiempo. Recordó Zetter:
El Department of Homeland Security había emitido previamente una directiva en 2017 que prohibía a las agencias y departamentos del gobierno federal instalar software de Kaspersky en sus sistemas. Una enmienda aprobada en la Ley de Autorización de Defensa de 2018 también prohibió el uso de software de Kaspersky en sistemas militares estadounidenses. Sin embargo, estas prohibiciones solo cubrían los sistemas gubernamentales, no los comerciales. Así que la prohibición del Departamento de Comercio del mes pasado efectivamente también pone fin al negocio comercial de Kaspersky en el país.
La empresa rusa negó que su software se utilice para buscar y recopilar información clasificada de sus clientes. Y además desafió a Estados Unidos este jueves, en un nuevo comunicado oficial: “O muestran la evidencia o terminan con estas acusaciones”.
👾 Ranking de malware de junio: Check Point Research
Check Point Research publicó su ranking de malware de junio y destacó “un movimiento” en el panorama del Ransomware-as-a-Service (RaaS), con RansomHub como protagonista en la publicación de víctimas en sitios de la dark web, luego del declive de LockBit.
El mes pasado, RansomHub se convirtió en el grupo RaaS más prevalente después de que la acción de las fuerzas de seguridad contra LockBit3 en febrero le hiciera perder fidelidad entre sus afiliados. Como resultado, LockBit3 registró un mínimo histórico de sólo 27 víctimas en abril, seguido de una cifra inexplicablemente alta en mayo de más de 170, y menos de 20 en junio, lo que indica su posible declive.
En cuanto a malware, estos fueron los más registrados en junio según la telemetría de la compañía (las flechas implican variación según el período pasado)
↔ FakeUpdates (AKA SocGholish): downloader que escribe el payload al disco antes de lanzarlo.
↔ Androxgh0st: botnet que apunta a Windows, Mac y Linux.
↑ AgentTesla: RAT avanzado que funciona como keylogger y stealer.
↓ Qbot: famoso malware multipropósito que opera desde 2008.
↑ Formbook: infostealer que targuetea a Windows, catalogado como Malware as a Service (MaaS).
↓ Remcos: RAT detectado in the wild por primera vez en 2016, se distribuye a través de documentos de Office.
↓ Phorpiex: Botnet que distribuye otras familias de malware por spam.
↑ NJRat: Troyano RAT que apunta a agencias gubernamentales en Medio Oriente.
↓ AsyncRat: troyano que apunta a Windows, envía información del sistema infectado a un servidor remoto.
↓ Glupteba: Backdoor conocido desde 2011, maduró hacia una botnet en 2019.
Los sectores más targueteados siguen siendo Educación/Investigación en primer lugar, Gobierno en segundo y Salud en tercero.
Los grupos de ransomware más activos en sus DLS fueron RansomHub (21%) Play (8%) y Akira (5%, el grupo que atacó a OCASA en Argentina).
🔗 Más info
Nvidia opensourceó algunos de sus drivers (ref: Linus Torvalds)
El grupo Revolver Rabbit registra 500 mil dominios para campañas de malware
Un bug crítico brinda acceso a contraseñas en Cisco
CISA publica un documento para resiliencia en infraestructuras críticas
Rusia tiene su versión de Wikipedia: RuWiki
Malwarebytes reporta una nueva campaña masiva de malvertising
Reuters reportó que Lazarus lavó al menos 150 mil dólares en cripto a través de Huoine Pay
Juan, por lo que entendí, RuWiki sería un fork de wikipedia, con partes convenientemente editadas para beneficio de la actual administración y no una versión rusa de WikiLeaks.
10/10, mejor newsletter del mundo. A la mañana me es mas informativo leer este newsletter que los diarios.