Lo esencial es invisible a los ojos

Con la digitalización masiva la ciberseguridad se vuelve crucial para proteger los datos. Sin un sistema que identifique vulnerabilidades y ataques es imposible mantener la confianza pública. Por ejemplo, en la primera semana de agosto de 2024, MeFiltraron ―portal propiedad de la empresa DC5411 que ofrece a los usuarios la posibilidad de consultar y verificar si su correo electrónico o diversos datos digitales fueron filtrados― reveló la filtración de información del Estudio Foderé, incluyendo documentos legales, acuerdos y cédulas de identidad de menores. Además, a finales de julio piratas informáticos atacaron radios uruguayas resultando en la pérdida de gran parte de sus archivos. 

En el 2023 la Agencia de Gobierno Electrónico (Agesic) detectó y respondió 4.968 incidentes, de los cuales el 1% fue clasificado con severidad alta o muy alta según el último reporte que publicó la agencia. Al comparar esta cifra con 2022 hubo un aumento del 16%, ya que en ese año se habían registrado 3.102 casos, en 2021 un total de 2.767 y 1.952 casos en 2020, tal como resume el informe.  Por otro lado, en lo que respecta al período comprendido entre enero y junio de 2024, hubo 4.778 incidentes según consignó El País, lo que representa un aumento de 122% con respecto al mismo período del año pasado y está cercano a alcanzar la cifra total del 2023. En ambos casos, este aumento se atribuye en parte a “la adopción de nuevas metodologías de detección y a la mejora constante en el monitoreo realizado por los organismos estatales”, según consigna el informe.

Por otro lado, en MeFiltraron se registró un aumento de los ataques desde el 2021: en el 2023 hubo 23 ataques a usuarios y en lo que va del 2024 ya fueron 29. 

En este contexto, por medio de Agesic el gobierno elabora una Estrategia Nacional de Ciberseguridad (ENC) que incorpora “agentes de investigación, unifica una visión de Estado y se centra en las personas”. 

Sobre la estrategia

Bajo la dirección de Hebert Paguas, presidente de Agesic, se han introducido innovaciones que incluyen la formación de un comité interinstitucional y la expansión del Registro Nacional de Incidentes para incluir al sector privado. Este proyecto, enmarcado dentro de la Agenda Uruguay Digital 2025, se presentó durante el evento “Ciberseguridad y Consciencia Digital”, coorganizado por Antel y Netgate en la Torre de Telecomunicaciones.

Agesic lidera y coordina esta iniciativa junto con el Consejo Asesor Honorario de Seguridad de la Información (CAHSI) y el Comité de Gestión de la Estrategia Nacional de Ciberseguridad (CGENC), que incluye a ministerios, bancos, empresas estatales y la Secretaría de Inteligencia. Su creación, establecida en la Ley 20.212, busca “proteger las infraestructuras críticas de información” y fortalecer la ciberseguridad nacional mediante la “prevención y mitigación de amenazas digitales”.

La ENC se organiza en seis pilares fundamentales: gobernanza y marco legal y regulatorio, cibercrimen, infraestructuras críticas, cultura y ecosistema, ciberdefensa y por último política internacional. Cada pilar tiene objetivos específicos y líneas de acción destinadas a fortalecer la seguridad y resiliencia del ciberespacio nacional.

Paguas explicó a El País que la estrategia responde a la necesidad de una visión nacional de ciberseguridad, destacando la educación, actualización legal y protección de infraestructuras como líneas de acción clave. Fuentes del equipo de trabajo mencionaron como prioridades la definición de responsabilidades legales, la cooperación, la investigación del cibercrimen y el desarrollo de carreras especializadas.

Como principios rectores aparecen “la centralización de la identificación, evaluación y mitigación” de riesgos de forma proactiva y ágil, así como la “resiliencia” necesaria para concientizar personas y organizaciones de forma tal que “cuenten con las herramientas para prevenir, proteger y responder adecuadamente” a los incidentes. Finalmente, se proyecta “una visión integral de la ciberseguridad”, para abordar la temática “de forma holística”, con medidas “interdisciplinarias”. 

Más allá del borrador

Sala de Redacción conversó con Mauricio Papaleo, director de Seguridad de la Información en Agesic e ingeniero en computación especializado en arquitectura y seguridad de la Información, para profundizar en la ENC. El técnico destacó la importancia de la ciberseguridad en el contexto de la digitalización global y local, señalando que es esencial para la confianza en las actividades digitales aunque a menudo sea invisible y se subestimen los riesgos asociados.

Papaleo explicó que bajo la Ley 20.212 Agesic es responsable de desarrollar, implementar y monitorear la estrategia de ciberseguridad. Actualmente están en la fase de cocreación, realizando mesas de trabajo con diversos actores como la academia, el sector público, la industria, la sociedad civil y expertos nacionales e internacionales. “Se deben crear sinergias a través de convenios, carreras y proyectos de investigación para fortalecer la industria nacional de ciberseguridad,” dijo. Añadió que también son necesarios marcos normativos adecuados para facilitar y estimular estas iniciativas. La estrategia se someterá a consulta pública para obtener más contribuciones antes de su finalización.

También explicó que como parte del trabajo cotidiano se monitorean y revisan constantemente las amenazas para ajustar las medidas de prevención y respuesta. Cuentan con redes regionales e internacionales que proporcionan información y experiencias de otros países, además subrayó la importancia de elevar el tema a los niveles más altos para entender y abordar los riesgos, destacando la necesidad de invertir en desarrollo humano, herramientas y procesos.

Papaleo reconoció el desafío de mantener actualizado el marco legal de ciberseguridad debido a la rápida evolución de las amenazas. Destacó la necesidad de involucrar a los niveles organizacionales, legislativo y judicial para que estén capacitados y puedan tomar decisiones adecuadas, como la adhesión de Uruguay al Convenio de Budapest y la reciente aprobación de la ley sobre ciberdelitos. El ingeniero subrayó que las leyes deben ser flexibles y revisadas constantemente, requiriendo profesionales del derecho especializados y ciber diplomáticos para adaptarse a nivel regional e internacional.

Por otro lado, Uruguay también cuenta con un marco de ciberseguridad basado en las mejores prácticas (estándares de NIST e ISO, entre otros) que se mantiene actualizado y vigente, siendo obligatorio para todos los servicios críticos del país a través de la Ley 20.212 y en proceso de reglamentación. Esto también permite estar al día en estos temas mediante su adecuado cumplimiento. 

Con la evolución de tecnologías como la inteligencia artificial se requiere una gran coordinación. “Ambos campos están en constante desarrollo por lo que es crucial coordinarse y observarlos continuamente para hacer las adaptaciones necesarias, siempre respetando un ciberespacio seguro, abierto y respetuoso de los derechos humanos”, dijo.

Las personas son el centro de la ENC. Papaleo explicó que el borrador de uno de sus principios establece que es esencial garantizar un nivel adecuado de ciberseguridad para que las personas puedan realizar sus actividades en el ciberespacio de manera inclusiva y equitativa, mientras ejercen derechos fundamentales como la libertad de expresión, el acceso a la información, la privacidad y la protección de la propiedad. 

Concluyó diciendo que Uruguay debe aprovechar su experiencia en otras áreas para desarrollar una industria de TI destacada a nivel mundial, enfocada en productos seguros. Esto requiere una academia de alta calidad en ciberseguridad que continúe creciendo y apoyando el desarrollo de una industria pujante.

La situación actual

Mauro Eldritch, hacker argentino y fundador de DC5411 y Birmingham Cyber Arms LTD, dijo a Sala de Redacción que aunque hay mucha deuda técnica “el principal problema es cultural”. Existe una fuerte tendencia a negar los ciberataques y eso quedó demostrado en los casos como Guyer (afectada por ransomware, del grupo Lockbit), el Ministerio de Transporte (minimizando el incidente de ransomware a manos de PLAY), Geocom (víctima de Cactus) y la vulneración del sitio del Partido Nacional.

“Para un atacante comprometer una infraestructura puede llevar desde unos minutos a días. Para nosotros generar un reporte de inteligencia sobre el incidente puede llevar algunas horas”, explicó Eldricht. No obstante, el énfasis está en que el problema es cultural porque todos podemos ser víctimas de un ciberataque, pero “la diferencia está en cómo vamos a reaccionar ante esto, ya sea negando la realidad hasta que nos aplaste, o eligiendo la transparencia”. 

Cabe destacar que desde finales de 2023 Uruguay ha sido blanco del grupo de hackers ExPresidents, liderado por “r3agan”, quienes están inspirados en la banda criminal ficticia “ExPresidents” de la película de 1991 Point Break y se enfocan exclusivamente en entidades uruguayas. Eldritch explicó que esto les permitió consolidarse rápidamente en un mercado poco competitivo y opinó que, aunque no son técnicamente avanzados, son “persistentes y ruidosos” con ataques frecuentes que “suelen captar la atención de la prensa”.

ExPresidents se dedica a filtrar datos personales sin fines lucrativos, carecen de infraestructura y herramientas propias y frecuentan foros de cibercrimen. No tienen motivaciones políticas, activistas o monetarias, ni han publicado manifiestos, cualidades con las que sí cuentan otros grupos. Sin embargo, según Eldritch, han evolucionado: “Pasaron de filtrar sitios pequeños a atacar entidades de gobierno y robar infraestructura crítica como una VPN del Correo Uruguayo, hasta llegar a la web de un partido político”. Además, “aprendieron a monetizar mediáticamente sus ataques, es decir aprendieron a llamar la atención de los medios”, añadió el entrevistado.

Las TTPs (técnicas, tácticas y procedimientos) de los ExPresidents son pocas y difíciles de mapear, según Eldritch, debido a su comportamiento aleatorio y la falta de infraestructura y herramientas propias. El equipo de análisis concluye que el grupo utiliza herramientas de seguridad accesibles al público (es decir, que se venden como un servicio y cualquiera puede acceder) y se comunica mediante Tor y Tox. Sus ataques suelen explotar vulnerabilidades en aplicaciones web, como inyección SQL para filtrar bases de datos o malas configuraciones para robar archivos. En algunos casos, como el del Partido Nacional, también desfiguran sitios mediante inyección HTML o Cross-Site Scripting.

Como colectivo que utiliza amenazas básicas, los ExPresidents revelan que aún queda mucho trabajo por hacer. Eldritch advirtió: “si no podemos frenar a un grupo incipiente que apenas está aprendiendo y ya ha marcado historia en el cibercrimen local, el panorama es pesimista”. Además, subrayó que cualquier implementación de ciberseguridad estatal debe cumplir con requisitos previos para ser efectiva, alcanzando un nivel de madurez en el modelo de seguridad. Dado el estado actual, donde las bases técnicas y comunicacionales son débiles, sólo queda plantear una estrategia integral desde cero.

Eldritch es partidario de “tener organizaciones como el Information Comissioner’s Office (ICO) de Reino Unido, o normas como HIPAA (protección de datos relativos a salud) o GDPR/UK-GDPR (DPA 2018)”. Pero señaló que el problema principal es la madurez del modelo de seguridad en Uruguay. “No se pueden copiar y pegar estas normativas sin adaptarlas. Son marcos normativos maduros y punitivos, con objetivos coherentes pero aplicarlos aquí sin una base sólida en seguridad solo generaría una ola de quiebras debido a las sanciones”. Por eso, primero es necesario alcanzar un nivel básico de madurez en seguridad.

Para finalizar, Eldritch destacó que también existen amenazas más sofisticadas atacando a Uruguay en silencio. Grupos de ransomware cómo Lockbit, PLAY, AvosLocker, Knight, Cactus y Alfa ya han afectado al país cobrando rescates millonarios. Además, grupos de extorsión de datos como GODHAND colaboran con otros actores menores y han filtrado información de varias organizaciones uruguayas, incluyendo 38 empresas y el estudio que desarrolló el sitio web del Partido Nacional. También han atacado entidades con información sensible como el INAU.