El domingo pasado el Instituto del Niño y el Adolescente del Uruguay (INAU) denunció que un hackeo le dio a los atacantes acceso a datos personales de más de 200.000 menores de edad que estuvieron o se encuentran en dependencias del organismo y se realizó una filtración —es decir, una publicación— de unos 30 casos. El presidente de la institución, Pablo Abdala, dijo que la hipótesis principal es que el ingreso se dio a través de correos electrónicos de funcionarios e informó que a partir del episodio incorporaron varias medidas preventivas para reforzar la seguridad.
El otro episodio ocurrió el 17 de octubre, cuando hubo un ataque informático a la base de datos del Ministerio de Transporte, que quedó fuera de funcionamiento por 20 días y hubo datos que fueron robados.
Dos años atrás, a fines del año 2020, había sido hackeada la base de datos de la Dirección Nacional de Identificación Civil (DNIC) del Ministerio del Interior, episodio en el que accedieron a información de 84.001 pasaportes electrónicos. En ese caso, según el informe del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (Certuy), no se pudo identificar el origen del ataque ni las subsiguientes actividades dentro del sistema de la DNIC.
La escala de los hackeos puede llegar a ser mucho mayor que la de los ejemplos locales conocidos. En abril y mayo Costa Rica debió declararse en estado de emergencia cibernética tras ser objeto de ataques a instituciones estratégicas.
El grupo delictivo Conti —que se adjudicó el ataque— obtuvo datos del Ministerio de Hacienda, de la Caja Costarricense del Seguro Social (similar al BPS), del Ministerio de Ciencia, del de Trabajo y del Instituto Meteorológico Nacional, entre otros. La organización pidió un pago de US$ 10 millones de dólares para devolver los archivos. En la práctica, tomaron el sistema que gestiona la entrada y salida de mercadería del puerto, por lo que se afectaron las importaciones y las exportaciones. También obligaron al gobierno a dejar fuera de servicio las plataformas vinculadas al sistema tributario y hubo dificultades en salud pública porque no podían ingresar a las historias clínicas y a las plataformas de agenda. Resolver las intrusiones llevó varios meses de trabajo y requirió de la colaboración de España y de Microsoft, entre otros.
El ejemplo de Costa Rica encendió las alarmas en el gobierno uruguayo sobre la necesidad de concretar avances en ciberseguridad.
Otro caso resonado es el de Chile, donde fueron hackeados más de 300.000 correos de funcionarios del Ministerio de Justicia entre noviembre de 2021 y enero de 2022 y se expusieron datos reservados de niños y niñas del Servicio Nacional de Menores, situaciones de casos de familias e informes de monitoreos de actividades públicas de los candidatos a la presidencia.
Este ejemplo llevó al Poder Judicial uruguayo a intentar fortalecer y asegurar su infraestructura, con prioridad en los sistemas que soportan las sedes judiciales. Además, según indicaron fuentes de esa entidad, evalúan incorporar personal de informática con formación específica en seguridad y realizar mayores instancias de capacitación para el personal. El presupuesto, advirtieron, es un obstáculo para mejorar la seguridad.
La preocupación también tiene un reflejo en la Política de Defensa Nacional, presentada en 2020, que prevé la creación de un Comando Conjunto de Ciberdefensa. Su cometido será el de dotar a las Fuerzas Armadas de “nuevas capacidades de disuasión en el dominio ciberespacial”, proponer un marco normativo de protección de los “elementos tecnológicos” y “sistemas operativos” públicos y apoyar en la creación de equipos de respuesta a eventuales incidentes de seguridad informáticos.
“Deberías estar preparado”
A fines de octubre la Embajada de Estados Unidos, la Agesic, el Certuy y el Ministerio de Relaciones Exteriores organizaron un evento sobre “la amenaza a la ciberseguridad de los gobiernos” que se centraba en las “lecciones aprendidas de los ataques de ransomware en los Estados Unidos” y el ataque que sufrió Costa Rica.
Entre los expositores hubo especialistas de los gobiernos de Estados Unidos, Costa Rica y Uruguay, del Centro Criptológico Nacional de España y del Proyecto CyberNet de la Unión Europea.
En diálogo con Búsqueda por videollamada, después de esa actividad, la integrante del Buró de Ciberespacio y Política Digital del Departamento de Estado norteamericano, Liesyl Franz, advirtió que nadie está libre de sufrir un ciberataque. “Si no has detectado un incidente sofisticado en tu sistema, entonces deberías estar preparado para sufrirlo”, explicó.
Franz sostuvo que haber organizado esa actividad en Montevideo “muestra que es un tema que está en la cabeza del gobierno y que quieren estar preparados para enfrentar algo que pueda pasar y sea más drástico de lo que se ha visto hasta el momento”.
Estar “preparados”, continuó, exige una inversión de tiempo y energía muy importante, pero que al final del día “es mucho más costoso” sufrir un ataque sin estar preparado”.
Consultados por Búsqueda, tanto el especialista en ciberseguridad en Latinoamérica y CEO de la empresa Bloka, Alan Mai, como el ingeniero y especialista en seguridad de la información, Hugo Konke, coincidieron en que Uruguay es vulnerable a sufrir ataques. Los expertos argumentaron que existen atrasos tecnológicos, sistemas desactualizados y restricciones presupuestales que se suman a la “burocracia” de los procesos de compras y a la falta de una política de Estado que trascienda los gobiernos.
Para Konke, este tipo de hackeos son “normales” y es “lógico” que sucedan. “La pregunta ahora no es si va a suceder, es cuándo va a suceder”, advirtió.
Incidentes, no delitos
La inquietud por el avance de los ciberdelitos, que encontraron en las monedas virtuales una facilidad para las transacciones, es mundial. La Unión Europea, por ejemplo, presentó una Ley de Ciberresiliencia e incorporó en setiembre de 2022 nuevas normas, que incluyen requisitos para fortalecer la ciberseguridad de todos los objetos que están conectados a Internet. Lo hizo en el marco de la Estrategia de Ciberseguridad de 2020.
En el Mercosur, en la reciente reunión de presidentes de países que forman parte del bloque, que se realizó en Montevideo el 5 y el 6 de diciembre, los mandatarios realizaron una declaración especial sobre la ciberdelincuencia. El texto afirma que existe un “incremento sostenido” de la ciberdelincuencia como “fenómeno transnacional” y que es necesario mejorar la coordinación y la cooperación entre los Estados, también con el sector privado, para mejorar la legislación y reforzar la capacidad para enfrentar la problemática.
Además, los presidentes resaltaron la importancia de la cooperación jurídica internacional en materia penal y se refirieron en particular al Convenio sobre la Ciberdelincuencia de Budapest de 2001, el primer tratado internacional, acordado más de 20 años atrás. Forman parte del acuerdo 66 Estados, mientras que hay otros 15 observadores. Uruguay está excluido porque, a pesar de que desde el Poder Ejecutivo y el Legislativo coinciden en la conveniencia de adherir, el país todavía no cumple con algunos requisitos, como incorporar en la legislación la tipificación penal del delito cibernético y designar instituciones encargadas de la cooperación jurídica internacional en la materia.
En el Parlamento, la Comisión de Constitución, Códigos, Legislación General y Administración Integrada con la Especial de Innovación, Ciencia y Tecnología analiza un proyecto de ley presentado por el diputado de Cabildo Abierto Sebastián Cal. La iniciativa establece penas específicas para el acoso virtual, el grooming —acoso sexual de adultos a menores a través de Internet—, las estafas informáticas, los daños informáticos, el acceso ilícito a datos, la vulneración de información y la suplantación de identidad.
El tratamiento del proyecto fue postergado el 14 de diciembre debido al receso parlamentario y se puso el 5 de abril de 2023 como fecha próxima para retomar el análisis.
En ese marco, el 30 de noviembre compareció en el Parlamento el fiscal de Delitos Económicos y Complejos, Ricardo Lackner, quien pasará a trabajar en la Unidad de Ciberdelitos de la Fiscalía, que funcionará a partir de 2023. Según consta en la versión taquigráfica, allí aseguró que “es incuestionable la necesidad de tener legislación específica”, porque de lo contrario “los delitos no se pueden perseguir”. Hasta el momento, subrayó, no se trata de delitos sino de “incidentes informáticos”.
Además, destacó que legislar permitirá luego adherir al Convenio de Budapest e informó que hay contactos con representantes de la Unión Europea que están “cooperando” ante solicitudes y pedidos de asesoramiento.
Franz, la integrante del Buró de Ciberespacio y Política Digital del Departamento de Estado de Estados Unidos, también alentó a Uruguay a concretar su adhesión al Convenio de Budapest. “Es un buen marco” para avanzar, afirmó.
Contratapa
2022-12-21T23:50:00
2022-12-21T23:50:00
