En Búsqueda y Galería nos estamos renovando. Para mejorar tu experiencia te pedimos que actualices tus datos. Una vez que completes los datos, tu plan tendrá un precio promocional:
* Podés cancelar el plan en el momento que lo desees
¡Hola !
En Búsqueda y Galería nos estamos renovando. Para mejorar tu experiencia te pedimos que actualices tus datos. Una vez que completes los datos, por los próximos tres meses tu plan tendrá un precio promocional:
* A partir del cuarto mes por al mes. Podés cancelar el plan en el momento que lo desees
+
Tu aporte contribuye a la Búsqueda de la verdad
Suscribite ahora y obtené acceso ilimitado a los contenidos de Búsqueda y Galería.
Suscribite a Búsqueda
DESDE
UYU
299
/mes*
* Podés cancelar el plan en el momento que lo desees
¡Hola !
El venció tu suscripción de Búsqueda y Galería. Para poder continuar accediendo a los beneficios de tu plan es necesario que realices el pago de tu suscripción.
En la Dirección Nacional de Identificación Civil (DNIC) la política de contraseñas era tan débil que muchos funcionarios ingresaban al sistema central de la institución, que maneja millones de datos personales de todos los ciudadanos del país, con un password tan básico como 1234. Así lo afirmó el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy) en una auditoría de 150 páginas, donde recomendó qué medidas deben tomarse para impedir un ataque de ciberseguridad como el que sufrió la DNIC a fines de 2020.
¡Registrate gratis o inicia sesión!
Accedé a una selección de artículos gratuitos, alertas de noticias y boletines exclusivos de Búsqueda y Galería.
El venció tu suscripción de Búsqueda y Galería. Para poder continuar accediendo a los beneficios de tu plan es necesario que realices el pago de tu suscripción.
El informe forense apunta también a una fallida arquitectura cliente-servidor que, dada la amplia distribución geográfica de las oficinas de Identificación Civil, facilitaba que cada una de las terminales que accede al sistema central fuera susceptible de ser vulnerada y pusiera en riesgo el ingreso hostil a todo el sistema. Además, las redes internas del sistema no estaban segmentadas, lo que también favorecía el acceso foráneo a cualquier terminal; y las terminales tenían conexión a Internet, lo que determinaba que cualquier virus que ingresara a Internet pudiera extenderse sobre los equipos de Identificación Civil.
Un conjunto de debilidades tecnológicas que “hizo campo fértil” para que en octubre se hackeara el sistema de la DNIC, informó el director de Tecnologías de Identificación Civil, Guillermo Lugo, en una conferencia de prensa el martes 12. La intrusión comprometió los datos personales de 84.001 personas, según informó El Observador el domingo 10 con base en un pedido de informes efectuado por la senadora frenteamplista Silvia Nane.
Lugo asumió el cargo después de que una investigación administrativa concluyera que el ataque fue allanado por negligencia e impericia de los anteriores dos jerarcas del área tecnológica, que fueron relevados. “Tenemos como debilidad el sistema principal de gestión de la DNIC, con una tecnología de más de 25 años”, indicó Lugo, que tras tomar su puesto impulsó como primera propuesta el cambio completo de toda la infraestructura tecnológica de la DNIC. El año pasado el Ministerio del Interior, de quien depende la DNIC, abrió un llamado internacional para crear el Sistema Único Integral de Identificación de Personas e implantar en todas las oficinas de Identificación Civil una nueva plataforma tecnológica que sostenga la emisión de pasaportes y cédulas de identidad.
Se trata de una solución llave en mano, con hardware y software, que brinda garantía y mantenimiento por cinco años, hasta 1.500 horas anuales de desarrollo también por cinco años y que abarca hasta 120 terminales de enrolamiento incluyendo los dispositivos para la toma de datos biométricos: cámaras fotográficas, lectores de huellas dactilares, tabletas de firmas y escáneres de digitalización de documentos. También ofrece consultoría enfocada en ciberseguridad con gestión del cambio, capacitación, documentación de la solución, manuales y transferencia de conocimiento a la DNIC.
El sistema representa una “sustitución radical de la estructura tecnológica” de Identificación Civil, que no era modificada desde hace 25 años, lo que “en términos informáticos es un período sideral”, dijo a Búsqueda una fuente oficial. “Es verdaderamente hacer la casa de nuevo”.
El nuevo sistema será elaborado por un precio de 31,5 millones de unidades indexadas (alrededor de US$ 4,2 millones) por la empresa chilena Sonda, con sede en Santiago y filial en Uruguay, que es una de las multinacionales más importantes de la tecnología de la información en Latinoamérica. Sonda tiene antecedentes en trabajos con gobiernos para soluciones de cédulas y pasaportes. “Nos hacemos cargo de todo el proceso tecnológico detrás del sistema de identificación, es decir de la producción de cédulas de identidad y pasaportes, así como de la implementación de la nueva base de datos de identificación biométrica, el desarrollo de un sistema informático y la instalación de cuantas estaciones de captura de datos sean necesarias”, indica en su sitio web.
Fue una de las dos empresas que se presentaron al llamado. La otra, Thales Dis Brasil, fue desestimada por un “apartamiento insubsanable de ciertos presupuestos del pliego de bases y condiciones particulares” referentes a los servicios de garantía, soporte y mantenimiento, y a las horas de desarrollo. Esta decisión fue observada en abril por el Tribunal de Cuentas, que indicó que no se aplicaron correctamente los criterios objetivos de evaluación. Thales Dis Brasil, parte de un poderoso grupo francés dedicado a soluciones aeroespaciales, de defensa y seguridad, aún tiene tiempo de recurrir la resolución del Ministerio del Interior.
Por lo pronto, el pago a Sonda se hará a través de las tasas de expedición de pasaportes, incrementadas en setiembre del año pasado específicamente para este fin. “El proceso que conlleva la expedición de los pasaportes, desde la adquisición de las libretas hasta su personalización y entrega al ciudadano, importa a la administración un cúmulo de costos cuya ecuación económica en relación con el valor de las tasas vigentes se ha visto desequilibrada a partir de la necesidad de sustituir los sistemas informáticos que sustentan la operatividad”, argumentó el decreto que fijó el aumento, firmado por el presidente Luis Lacalle Pou y el ministro Luis Alberto Heber.
“Hicimos la compra de un software que realmente nos dé la seguridad de que no se nos pueda hackear fácilmente”, señaló Heber el martes 12 en conferencia de prensa, al presentar las cifras de delitos del primer semestre del año. Allí responsabilizó a las administraciones frenteamplistas por dejar en Identificación Civil “computadoras viejísimas, muy vulnerables”.
La misma línea siguió en sus declaraciones públicas el director nacional de la DNIC, José Luis Rondán, que apuntó a su antecesor, Ruben Amato, por falta de acción ante advertencias sobre fallas en el sistema que en 2018 hizo la Auditoría Interna de la Nación. “Amato no ordenó o no prestaron atención a lo que ordenó. Los subalternos de él encajonaron esto. Heredamos un tema que estaba debajo de la alfombra”, justificó.
Nombre, cédula de identidad, imagen, huella dactilar, firma ológrafa, fecha de nacimiento, fecha de expedición y fecha de vencimiento de pasaportes fueron los datos vulnerados en el ataque. “En su enorme mayoría los datos son de acceso público. Salvo la imagen, la huella dactilar y la firma ológrafa, lo demás son datos que si bien son de extrema sensibilidad y naturalmente son reservados, son de acceso público”, indicó Alberto Lacoste, subdirector de la DNIC, en la conferencia de prensa que compartió con Rondán y Lugo. “Eventualmente decir lo que se puede hacer con esos datos, es especular. Lo que sí sabemos es que en dos años no existe reporte de que se haya hecho ninguna utilización de los datos, por lo que tenemos que estar tranquilos”, añadió sobre el uso ilícito que pueda hacerse de la información.
