El preocupante incremento de los ciberataques contra el Estado uruguayo se enmarca en un fenómeno global de crecimiento de los delitos informáticos. Uno de los métodos más utilizados es el ransomware, que consiste en vulnerar un servidor, encriptar la información contenida y luego solicitar un rescate monetario para su recuperación. Estos ataques suelen ejecutarse a través de plataformas de grandes organizaciones criminales, como ocurrió con el caso de LockBit contra el estudio Guyer y Regules, en que el rescate exigido superó ampliamente los 300 mil dólares originalmente solicitados. Una situación similar se vivió en el Ministerio de Transporte y Obras Públicas en 2022. Los expertos sugieren que esa vez se hizo un pago por el rescate, aunque no se ha podido confirmar que el dinero haya salido de las arcas del Estado.
Una de las principales vulnerabilidades que explotan los ciberdelincuentes es la falta de mantenimiento y actualización del software. Muchas veces, los ataques se producen aprovechando brechas de seguridad ya detectadas y solucionadas en versiones más recientes de los programas utilizados. Varios de los ataques recientes a organismos estatales parecen haberse originado por esta razón. Además, algunos grupos atacantes han demostrado intenciones políticas en sus acciones, lo que se evidencia en los mensajes publicados en sitios especializados en los que se hacen públicos estos delitos o con mensajes en los propios sitios vulnerados.
El ataque en febrero a la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic) involucró la filtración de datos de más de 500 mil personas físicas y jurídicas en Uruguay. Se sospecha que el grupo responsable utilizó credenciales autorizadas para explotar una vulnerabilidad en el sistema. La Agesic rápidamente se deslindó de responsabilidades, al indicar que la Unidad Reguladora y de Control de Datos Personales (URCDP) debía responder sobre las consecuencias del incidente. Sin embargo, la URCDP se ocupa de hacer cumplir la normativa respecto de la protección de datos personales, mientras que la responsabilidad por la integridad y la seguridad de los datos almacenados en un servidor recae sobre la empresa o el organismo que lo administra. Por lo tanto, es la Agesic la responsable de velar por la seguridad y la no filtración de los datos almacenados en sus bases de datos. Hasta la fecha no se ha informado públicamente sobre la gestión de los datos comprometidos.
El resultado del análisis forense es fundamental en estos casos. Consiste en examinar sistemas, redes y dispositivos electrónicos para identificar el origen de un ataque, determinar el alcance de los daños y recopilar evidencia digital. Luego de un ataque, los técnicos en informática forense rastrean las vulnerabilidades explotadas, reconstruyen los eventos previos al incidente y buscan responsables, con lo que ayudan a la prevención y proporcionan pruebas para posibles acciones legales.
En marzo, el número de ataques contra el Estado uruguayo aumentó significativamente, aunque la mayoría fueron de baja calidad y poco sofisticados. Un ejemplo es el ataque a la Dirección Nacional de Aviación Civil e Infraestructura Aeronáutica (Dinacia) en el que se publicó la foto del presidente Yamandú Orsi junto con su número de celular. Es probable que los atacantes hayan explotado debilidades en la herramienta con la que se diseñó la página web, posiblemente debido a la falta de actualizaciones.
El fin de semana pasado, el dominio gub.uy estuvo inaccesible durante varias horas, lo que afectó todos los sitios oficiales del Estado. También la Fiscalía General de la Nación sufrió un ataque, aparentemente en represalia por la prisión preventiva de un joven de 18 años, presunto responsable de ataques a la Dinacia, Buquebus, el Ministerio de Desarrollo Social y el shopping de Las Piedras. En este contexto, la página oficial de eficiencia energética fue intervenida con un mensaje dirigido al Ministerio del Interior (MI) y la Fiscalía que denunciaba supuesta corrupción. Asimismo, recientemente se hizo pública una filtración de datos personales del sitio de dedicación total de la Universidad de la República. Un atacante afirmó que posee información de alrededor de 500 docentes, aunque más tarde se comprobó que la cifra ascendía a más de 1.400. Este ataque se lo atribuyó el grupo ExPresidents, que anteriormente había vulnerado la seguridad de la Intendencia de Flores y que se presume que opera desde Argentina.
La gestión de la seguridad informática en Uruguay sigue fragmentada, con cada organismo estableciendo sus propias estrategias y políticas. La Agesic emite recomendaciones generales, pero no existen protocolos claros de seguimiento ni sanciones en caso de incumplimiento. Un simple ejemplo de esto es la falta de aplicación del decreto 92/14, que obliga a los entes estatales a utilizar dominios gub.uy y a alojar sus servidores en territorio nacional. Sin embargo, se siguen recibiendo correos oficiales desde cuentas @gmail.com y hay sitios alojados en servidores fuera del territorio nacional sin consecuencias para los responsables.
No se ve con claridad en qué ámbito del Estado se maneja la ciberinteligencia. Todo parece indicar que la Secretaría de Inteligencia Estratégica del Estado sería el ámbito natural para dirigir estas políticas en coordinación con la Agesic, el MI, la Fiscalía y el Ministerio de Defensa, al que le compete todo lo relacionado con ataques desde fuera del territorio nacional. La legislación en la materia hasta el momento se ve muy insuficiente o directamente inexistente.
Es imperativo que el Estado uruguayo considere la ciberseguridad una prioridad al mismo nivel que otros temas de seguridad pública. A la luz de acontecimientos recientes, como el entredicho entre Brasil y Paraguay por un supuesto caso de seguimiento y espionaje informático que pausó las negociaciones sobre Itaipú, o el aumento de ataques contra el Estado, sumar las políticas de prevención de estos delitos a la agenda nacional no parece en absoluto descabellado. Sin dudas es de esperar señales de cambios o proyectos al respecto por parte de la administración entrante.
No podemos permitir que gente sin experiencia, siguiendo tutoriales en internet, vulnere las páginas web estatales o robe bases de datos con facilidad, de la misma forma que no podemos permitir ser atacados por organizaciones u otros Estados. Si Uruguay se enorgullece de Ceibal y de su avanzada infraestructura de fibra óptica, debe también garantizar la protección de sus sistemas informáticos. Una de las iniciativas recientes para mejorar la situación fue la creación de una tecnicatura en ciberseguridad en la UTU. Tendremos un grupo de egresados allá por 2028 con un importante acumulado de conocimiento teórico, pero con poca práctica enfrentando problemas reales. Es imposible esperar todo ese tiempo para armar equipos que se ocupen del área, como sugirió de forma un tanto ingenua algún actor de gobierno saliente el año pasado.
La fragmentación de los servicios informáticos del Estado impide centralizar el desarrollo de software, la infraestructura y las políticas de seguridad. Unificar centros de datos y recursos humanos podría hacer más eficiente la informática estatal, al permitir que expertos de distintos organismos trabajen en conjunto para definir y ejecutar estrategias de ciberinteligencia, ciberseguridad y respuesta a incidentes. El punto será desarrollado en futuras columnas.
