Recientemente, el ministro del Interior, Luis Alberto Heber, se refirió al ataque informático contra la Dirección Nacional de Identificación Civil (DNIC): «Teníamos computadoras viejísimas, lamentablemente, muy vulnerables. Eso es lo que heredamos. […] Las máquinas que teníamos eran prehistóricas». En el mismo sentido, el director de la DNIC, José Luis Rondán, afirmó: «Heredamos un tema que estaba debajo de la alfombra». Además, trajo a colación un supuesto incidente ocurrido en 2018 contra el organismo. La discusión al respecto se disparó a raíz de que la senadora Silvia Nane recibió la respuesta a un pedido de informes que había hecho en marzo de 2021: «La respuesta llegó un año y medio tarde y es alarmante». El ataque sucedió en 2020 y comprometió la información relativa a por lo menos 84.001 pasaportes.
El episodio fue reportado en febrero de 2021 por el periodista Gabriel Pereyra. Media hora más tarde, el Ministerio del Interior (MI) emitió un comunicado en el que señalaba: «Ante la información publicada hoy sobre un supuesto hackeo a la DNIC, informamos que el 8 de diciembre la DNIC detectó un incidente de ciberseguridad que se contuvo, por el que se desplegaron medidas técnicas, operativas y administrativas para contrarrestar el evento con expertos en la materia, tanto del MI como del CERT-Uy». El mismo día el ministerio anunció que se había registrado una «alta demanda y saturación de la base de datos de la DNIC».
Un poco de contexto. El CERT-Uy es el Centro Nacional de Respuesta a Incidentes de Seguridad Informática y depende de la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento. Un CERT (computer emergency response team) o CSIRT (computer security incident response team) es un equipo de respuesta a incidentes de seguridad informática. Un incidente de seguridad informática es la violación o la amenaza inminente a la política de seguridad de la información, implícita o explícita, de un Estado o un organismo; por ejemplo, un ataque a un servidor, un correo de phishing (correo falso cuyo objetivo es robar información) o un ataque de denegación de servicios (miles o millones de intentos de acceder a un sitio web o servidor para superar sus niveles de respuesta y bloquearlos). Los afectados suelen alertar a la dirección de correo del centro (cert@cert.uy) para dar comienzo a los protocolos.
NO SE SABE
En la respuesta al pedido de Nane, pocas cosas quedan claras. La senadora pregunta: «¿Qué tipo de vulnerabilidad fue explotada por los atacantes?, ¿había sido detectada con anterioridad por CERT-Uy o personal propio? De ser así, ¿existían acciones de mitigación pendientes de ejecución?, ¿cuáles?, ¿por qué estaban pendientes?». El MI respondió: «El informe del CERT-Uy concluye que “no fue posible identificar el vector de ataque inicial, el origen del ataque ni las subsiguientes actividades dentro de la red de la DNIC”». No refiere a ataques detectados con anterioridad al 8 de diciembre de 2020. Hay que apuntar, además, que es alarmante que no se haya podido detectar la procedencia del ataque (vector) ni determinar qué sucedió luego de que los atacantes accedieran a los sistemas. ¿Acaso sembraron programas que continuaron robando información? ¿Están actualmente los servidores y las bases de datos limpias de software maligno? Nada de eso se explica.
«¿Cuáles son los activos y la información contenidos en la infraestructura comprometida a la que accedieron los atacantes?», preguntó Nane. El MI respondió: «Información de pasaportes electrónicos, incluyendo nombres, apellidos, fecha de emisión y vigencia, firma del ciudadano, firma ológrafa del ciudadano y de quien autoriza el documento. El análisis realizado por el CERT-Uy no pudo constatar ni descartar la extracción de datos fuera de la infraestructura de la DNIC». Valiosísima información puede estar hoy a la venta en el mercado negro, en la dark web o en manos de delincuentes capaces de clonar pasaportes.
«¿Cuáles son las actividades que llevan adelante el MI y la DNIC para analizar periódicamente los riesgos asociados a sus activos de información críticos? ¿Qué resultados han tenido últimamente?», preguntó Nane. El MI contestó: «Se designó recientemente un responsable de seguridad de la información para el MI». ¿Debe entenderse que el MI, encargado de velar por la seguridad de información altamente sensible, dejó de tener un responsable de políticas de seguridad para el resguardo de los activos informáticos? Por lo pronto, la respuesta indica que no cuenta con un centro de operaciones de ciberseguridad.
OTRAS PREGUNTAS
Respecto a la herencia, desde 2010 el MI cuenta con un data center. Según Federico Laca, exdirector general de secretaría del MI y asesor de su predecesor, Charles Carrera, en tecnología e informática, «cuando se empezó a usar […], no había otro igual en la administración central». Hay que recordar que en 2017 el MI puso en funcionamiento nuevos storage (unidades de almacenamiento) para las bases de datos de producción, contingencia y respaldo, e implementó la actualización de la plataforma de administración y gestión de esas herramientas.
Por medio de Twitter, el exdirector nacional de la DNIC Ruben Amato respondió: «¿Computadoras obsoletas? Porque no revisan las dos últimas auditorías en seguridad y el informe del BID sobre seguridad, previo a comenzar la emisión de los nuevos pasaportes en el 2015».1 No cabe duda de que el MI heredó una de las infraestructuras más modernas de la administración. Y para tenerla en funcionamiento también heredó un importante equipo de ingenieros y analistas especializados en la administración de servidores y bases de datos de acuerdo a los estándares internacionales. Sin embargo, aún no sabemos a dónde fueron a parar los activos informáticos afectados por el incidente de la DNIC.
En declaraciones a El País, Rondán intentó transmitir tranquilidad a la población: «En más de dos años no hemos tenido noticias de que alguien haya hecho o intentado hacer algo con nuestros pasaportes». Y aseguró que «nadie va a ser detenido porque alguien clonó su pasaporte». Nos preguntamos cuál de estas afirmaciones causa menos tranquilidad. ¿Acaso podrán circular por el mundo varios Enrique Amestoy con diferente fotografía sin que ninguno sea detenido ni se activen alertas de la Interpol? ¿No debemos preocuparnos por el ataque, sino tan solo porque nadie ha encontrado aún un pasaporte clonado?
Aclaremos, además, que, aun en equipos obsoletos, es posible instalar y configurar un software capaz de garantizar la seguridad, registrar accesos no autorizados y seguir el rastro de un ataque, así como un software que, luego de consumado un ataque, permita llevar a cabo tareas de informática forense, como sugería en las redes sociales, el 9 de julio, Marcela Pallero, experta argentina en ciberseguridad. Pero es técnicamente imposible realizar tareas de informática forense con lo sucedido en diciembre de 2020, debido a la aparente inexistencia de respaldos y servidores de contingencia. En la respuesta a Nane, el MI tampoco menciona archivos de log, en los que se registran las actividades de cada uno de los procesos en un servicio informático determinado, ni aclara si se dejó en stand-by el o los servidores atacados para analizarlos en profundidad. Al respecto, señala que «se implementó un servidor de contingencia y un plan de respaldos diarios» fechado el 21 de junio de 2021 y firmado por el actual encargado del Área TIC, el ingeniero Saúl Scanziani. El lector puede preguntarse: ¿qué sucedió con el servidor de contingencia y los respaldos existentes, que fueron migrados en noviembre de 2017 a una nueva infraestructura informática?
El de herencia es un concepto informático. Pero es posible que también se mencione en algún manual de cómo hacer política basándose en la posverdad. Se ha sugerido que también hubo una herencia maldita en la pérdida de datos denunciada en junio, fruto de una supuesta rotura de discos duros que contenían pericias balísticas pertenecientes a la Policía Científica. No hacer un mantenimiento de la infraestructura, no tener políticas de ciberseguridad y respuesta a incidentes informáticos, no hacer respaldos diarios de la información almacenada, no actualizar de forma continua el software… ¿es, acaso, un asunto de herencia? ¿Cuándo se comenzará a hablar de incapacidad para llevar adelante la gestión? Tal vez, con los datos de la encuesta recientemente publicada –que indica un 42 por ciento de desaprobación a la gestión del gobierno–, pueda concluirse que el solo hecho de decir herencia no alcanza para mover de forma correcta las perillas de un país.
1. El estudio Reporte de ciberseguridad 2020. Riesgos, avances y el camino a seguir en América Latina y el Caribe destaca que Uruguay fue el país calificado con la madurez más alta de la región en cuatro de las cinco dimensiones analizadas.