En menos de los que dura un partido de fútbol oficial, el Estado uruguayo —o alguna institución tan “sensible” como un banco o un hospital local— es atacado. A veces es infectado con un virus que se reproduce en las máquinas de un ministerio. Otras veces el sistema informático queda en jaque. Y, “cada vez con más frecuencia”, sufre un secuestro de datos de los ciudadanos que luego los ciberdelincuentes revenden —o piden rescate— por internet.
Los ciberataques son, para la elite que discute en el Foro Económico Mundial, una de las cinco principales amenazas para el futuro cercano de la humanidad. Y para Mauricio Papeleo, director de Seguridad de la Información del gobierno, también lo es para Uruguay. Sobre todo para algunos organismos públicos cuya madurez en términos de seguridad informática se encuentra en estado “crítico”.
“La seguridad de los datos principales de los ciudadanos y la resiliencia —capacidad de sobreponerse ante un robo de esos datos— depende de cada organización (…) y hay organismos públicos que están en una maduración de ciberseguridad crítica”. Papaleo admite que Uruguay tiene todavía un largo trecho por recorrer y que, gane quien gane el próximo gobierno, urge un acuerdo en la estrategia de ciberseguridad.
“No es lo mismo la UTE, Antel, BPS o DGI —que son los organismos que están en la delantera en ciberseguridad— que otros organismos del Estado” que vienen más rezagados. ¿Cuáles son esos organismos más vulnerables? Papaleo prefiere no decirlos por eso de “no avivar” a los hackers. Pero como parte de la estrategia de chequear la madurez de seguridad de las instituciones públicas, la Agencia de Gobierno Electrónico del Estado lanzará pruebas de phishing —mensajes engañosos— para ver si los funcionarios públicos caen en la trampa. De hecho, ya lo testearon en unas oficinas de la Torre Ejecutiva (cuya identidad se reserva para, otra vez, “no avivar”)
Dentro del incremento de los ciberataques detectados —casi una triplicación en lo que va del actual gobierno—, hay un tipo que “se lleva todas las medallas”: ransomware. Así le llaman en la jerga informática al secuestro de datos de una base u organismo que luego sirve para extorsionar o vender. Solo en el último año hubo un aumento del 29%.
“Son de los incidentes más complejos de atacar, porque son altamente efectivos en lo que se proponen. Primero piden rescate por la información. Si sos prevenido y tenés respaldo, empieza la extorsión de qué pueden hacer con esos datos (pagar para que no se divulguen). Y luego la posible venta en sí”, dice el director de Seguridad de la Información, quien desconoce si algún organismo público uruguayo aceptó la paga, como sí lo han hecho empresas privadas locales.
El episodio más grave de ransomware que se vio en Uruguay el año pasado fue del estudio jurídico Guyer & Regules, cuyos hackers exigían al menos US$ 300 mil en rescate.
—¿En qué afecta al ciudadano de a pie?
—Basta abrir una de esas aplicaciones que muestran los vuelos aéreos en tiempo real para darse cuenta. Si la industria aeronáutica seguiría con los protocolos y los procedimientos de hace 50 años, toda esa cantidad de aviones que vemos dando vueltas en el aire se estrellarían. La industria tuvo que adaptarse acorde fue creciendo la movilidad aérea. Con lo digital pasa lo mismo. Hoy buena parte de nuestra vida pasa por internet: desde el sistema de pagos o transferencias, el trabajo de muchos, las historias clínicas, los trámites. ¿Qué pasa si se “desenchufa” el internet de un país? Es un caos. Esa es la dimensión del riesgo. A Costa Rica le pasó hace poco. Hubo un ataque sistémico que dejó sin operar a la Aduana y bloqueó las importaciones y exportaciones. Quedó bloqueada lo que sería la DGI y el Estado dejó de recaudar por un tiempo. Tampoco se podían hacer los pagos de salarios a los funcionarios públicos. Y muchos usuarios no podían agendar sus consultas médicas.
Inés Guimaraens
Mauricio Papaleo, director de Seguridad de la Información.
—¿Por qué a un atacante le podría importar Uruguay?
—¿Y por qué le podría importar Costa Rica? Cuando empezó la guerra en Ucrania, un país sudamericano que apoyó a Ucrania fue enseguida atacado por hackers rusos (o mejor dicho desde computadoras rusas). En la ciberdelincuencias no hay fronteras. Hay toda una industria, cada vez más sofisticada, que te vende las herramientas, los accesos, el software o lo que fuera para concretar tu ataque. Hay mucho dinero en juego.
Cómo trabaja Certuy
Más de 30 monitores y una pantalla gigante aparecen en una sala de unos cincuenta metros cuadrados. Allí trabajan dos grupos del Certuy (equipo de respuesta estatal ante emergencias informáticas): uno que responde a ataques informáticos apenas se cometen y otros que analizan minuto a minuto incidentes que se puedan prevenir.
“No vemos los incidentes de todo el país. Solo lo que nos reportan y los que detectamos”, indicó Papaelo. La solución de esa falencia es parte de la estrategia que se propone la administración para cuando se reglamenten los cambios que impuso la última Rendición de Cuentas. El director confía en que Uruguay se acerque cada vez más al ejemplo español, donde un ciudadano cualquiera puede enviar muestras de un archivo que estima que está infectado o donde las empresas reportan los incidentes y se estudian todos los casos.
En el pequeño universo que sí observa el Certuy, en 2023 se contabilizaron seis ataques catalogados como “críticos” o de “alta severidad”. La tarea de mitigar este ataque le cuesta al Estado entre 40 y 50 mil dólares.
Papaleo lo ejemplificó como la tarea de un bombero: busca apagar el fuego hasta que no exista ni una llama en una casa. Esa labor, que puede llegar a durar hasta dos semanas, implica que se deban contratar servicios con empresas porque Certuy no tiene personal suficiente para controlar ataques de este tipo.
El tema es el después. Porque luego del incendio, los objetos y hasta la estructura edilicia de la casa queda destrozada. Si bien no se indicaron casos concretos, Papaleo dio ejemplos ficticios. Por ejemplo, si roban bases de datos del Banco de Previsión Social (BPS) de todos sus usuarios o acceden a información de todos los padrones que tiene registrado el Ministerio de Ganadería.
Desde el Certuy aseguraron que los ciberdelincuentes utilizan la deep web para comercializar o difundir el material que roban tras atacar en Uruguay. No para cometer los delitos.
La deep web (internet profunda) es una parte de internet que no está indexada por los motores de búsqueda convencionales, lo que significa que su contenido no es accesible mediante búsquedas estándar y requiere herramientas o conocimientos específicos para ser accedido. Y el Estado rastrea allí qué información circula del propio Estado.