Reynaldo De la fuente, director de Datasec, aseguró que los datos quedaron dentro de la red interna de la Dirección, pero no se sabe qué pudo ocurrir después con ellos. Afirma que la ciberseguridad tiene que estar en agenda, dado que estamos cada vez más vulnerables.
Reynaldo de la Fuente, director de Datasec
Primero tenemos que recapitular y ver si efectivamente fue un ciber ataque; qué fue lo que pasó y qué no sabemos si pasó o no. El hecho concreto es que hay una base de 84.000 registros de esos pasaportes que se tramitaron, que en principio debería estar en un servidor central seguro, y aparece una réplica en un equipo interno de la Dirección Nacional de Identificación Civil. Ese es el hecho concreto.
Según la información de carácter público, transcurre un mes entre que este hecho sucede y que la dirección, el área de tecnología, identifica que eso sucedió y se disparan una serie de medidas. Normalmente estos incidentes los podemos categorizar como una "fuga de datos personales". En este caos eso no se puede confirmar. La clasificación que se le da es una "intrusión o acceso no autorizado" a esos datos. ¿Por qué? Porque esos datos terminan estado donde no deberían estar, en un área que no es segura en la red interna pero no hay ninguna confirmación que esos datos hayas salido de la red de la Dirección. Es un incidente en seguridad en sí mismo, porque esa información no debería estar en ese equipo. Ahí empezamos a presumir en hipótesis de lo que pudo haber pasado: si de ese equipo salieron o no salieron, si los copiaron o no los copiaron, si es un atacante interno o externo, si es un error humano o una falla técnica. Son una cantidad de interrogantes que no se pudieron contestar. Y eso también es un dato en sí mismo. El hecho que no sepamos si pasó o no pasó es un dato en sí mismo. Pero con respecto a la preocupación de las personas de dónde están sus datos, lo que también sabemos es que esos datos no andan dando vuelta por ahí todavía; no hay ninguna afirmación ni ningún grupo delictivo que haya dicho: "nosotros fuimos los que hicimos esto, esta base de datos está acá en la dark web", que sí ha pasado con otros incidentes. Ya pasó un tiempo prudencial, dos años. El hecho en sí mismo tiene que disparar conciencia de que los incidentes de ciber seguridad hoy son el principal riesgo operativo de las empresas a nivel global para muchísimos sectores (financiero, servicios personales, salud, los gobiernos, etc.). Esto demuestra la importancia de invertir en ciber seguridad, no solo a nivel de gobierno sino también a nivel personal; hay muchas personas que están siendo estafadas en los últimos meses que muchas veces no tiene visibilidad.
Hay software malicioso, virus bancarios, que han estafado a personas, que con su buena fe, ingresaron a su cuenta bancaria y sus datos terminaron en manos de un delincuente, que después llevó adelante una operación fraudulenta y les robó dinero. Las personas deberían revisar la ciber seguridad de su maquina. Muchas veces el problema de ciber seguridad es de los equipos de las personas: mi equipo tenía un virus que cuando se conectó al banco se disparó y secuestró un montón de datos que luego utilizó para llevar adelante distintas operaciones fraudulentas.
¿Qué se puede hacer por parte de las autoridades con este hecho de los datos que no se sabe qué pasó?
Yo entiendo por la información pública que se les informó a estas personas, a pesar de que no estaba confirmado el hecho de que sus datos se hayan expuesto. Estos son datos persistente (cédula, pasaporte, dónde yo vivo, mi firma), no es algo que yo pueda cambiar. Lo que yo creo que es que hay otro aspectos vinculados a la ciber seguridad como ciudadanos que están en nuestras manos y que la gente no está tomando conciencia que tiene que tener un rol mucho más activo. En exigir ciber seguridad, al gobierno y a los proveedores de servicio, y también a nivel personal tener mucho más cuidado en nuestra actitud.
El nivel de ciber seguridad en Uruguay
En Datasec, desde hace varios años llevamos adelante una encuesta con grupo Radar. Ellos hacen todos los años el Perfil del Internauta uruguayo. Nosotros le solicitamos que lleven adelante un informe especial para nosotros respecto a la ciberseguridad de las empresas uruguayas. Tiene datos muy interesantes: muchas empresas uruguayas tienen una percepción de que están relativamente preparadas en materia de ciberseguridad, pero cuando hacemos otras preguntas, la mayoría de las empresas nunca hizo una auditoría, un escaneo de vulnerabilidades, nunca hizo un hacking ético, tienen un nivel medio de implementación de controles, y la gran mayoría no reconoce incidentes. Lo cierto es que están pasando muchas cosas a nivel nacional e internacional en ciberseguridad.
Por poner un ejemplo concreto, en Costa Rica un gobierno que recién comienza y que su primera medida es determinar estado de emergencia porque estaban siendo víctimas de un ciberataque, que no podían pagar los sueldos públicos ni las jubilaciones porque distintos organismos del Estado estaban siendo atacados. Costa Rica es un país que los uruguayos nos comparamos mucho, tiene muchos aspectos en común.
En este caso de la Dirección, se actúo rápidamente. Creo que nuestro país en términos relativos a la región ha hecho muchas cosas y las ha hecho bien. El problema es que esto es algo global, que está pasando con una velocidad muy importante que hace que esto tenga que hacer una lucha permanente, de estar continuamente mejorando nuestras medidas. No es algo que se termina.
¿Existen certificaciones concretas?
Sí hay certificaciones de nuestros procedimientos y de los controles en materia de ciberseguridad. En Uruguay hay un marco de ciberseguridad, desarrollado por Agesic (Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento), que es el marco de referencia de buenas prácticas a implementar y seguir por parte de organismos públicos. Está claro lo que hay que hacer. Lamentablemente, estos incidentes son un disparador para tomar medidas que antes no se veían tan urgentes o relevantes. Obviamente estas medidas tienen un costo, hay una decisión de gestión de riesgo que las empresas siempre tienen que tomar.
Es más probable que Uruguay tenga un incidente grave de ciberseguridad a que nos invada Brasil o Argentina. En el mundo de hoy la ciber defensa es un tema muy importante y la ciberseguridad a nivel de los servicios públicos y de todas las transacciones que hacemos los ciudadanos , la defensa de esa estructura tecnológica tiene que ser una prioridad de cualquier estado moderno. Hemos transcurrido un proceso de digitalización, y muchas personas todavía no han hecho el click de cómo han cambiado las cosas, de cómo son importantes nuestras contraseñas, nuestro segundo factor de autenticación, nuestro celular, la seguridad de nuestro PC. Las cosas han cambiado y sin duda que la defensa de la infraestructura de un país hoy debería estar en agenda. En Uruguay está la Agesic, y dentro de ahí está el área de seguridad de la información. Son asesores y brindan soluciones