Heber por éstas horas se está “comiendo un garrón”; primero debió lidiar con la situación carcelaria y el pregonado “Plan Dignidad” que parece haber corrido la suerte del ex ministro Larrañaga, y ahora “hereda” la vulnerabilidad en la seguridad informática, tema que al igual que el anterior, según reconoció públicamente, no sabe nada.
Hacete socio para acceder a este contenido
Para continuar, hacete socio de Caras y Caretas. Si ya formas parte de la comunidad, inicia sesión.
ASOCIARMECaras y Caretas Diario
En tu email todos los días
Mucho antes de la masividad de la internet, el ex ministro de defensa Eleuterio Fernández Huidobro (que aún no era ministro), advirtió que las futuras guerras y conflictos en el mundo se desarrollarían en el escenario de la Inteligencia, y la seguridad informática forma parte de ella.
El cine había generado la sensación de que los hackers eran unos adolescentes (de los modernos que pueden tener 30 años) que realizaban la picardía de violar los sistemas de seguridad e introducirse en las bases de datos; de puros pícaros nomás.
Ese mundo que resulta tan distante al ciudadano común, tiene un universo que en la medida que se ha masificado el mundo de las redes incluidas las instituciones del Estado, cobra una importancia de seguridad estratégica, y quienes apuestan a hackear persiguen objetivos más complejos que pasar el rato.
Mercado de datos
Si uno habla de los hackers que tanto Irán como Corea del Norte tiene como empleados para que trabajen 24/7 los 365 días del año, puede comprender el alcance político de esa inversión.
No hace mucho, hackers norcoreanos lograron ingresar a la base de datos de la empresa Sony para destruir un material audiovisual que ésta empresa había producido en una campaña de propaganda contra el régimen de Corea del Norte.
Pero además de los intereses políticos, geopolíticos y conflictos entre naciones, el mercado de la información, de obtención de datos, cotiza al alta.
Los Estados entonces tienen ante ésta amenaza que puede responder a diversos intereses, un capítulo entero de trabajo, y no menor, de inversión económica.
La Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic) es la responsable del ecosistema nacional de seguridad y el CERTuy es el Centro Nacional de Respuesta a Incidentes de Seguridad Informática, conformado por especialistas en ciberseguridad, trabaja en el monitoreo, prevención, coordinación y respuesta a incidentes, con un protocolo que categoriza la importancia de la amenaza.
Llaves para acceder
Quienes trabajan en el tema, explican que básicamente hay tres formas de acceder una base de datos.
La primera es utilizar las vulnerabilidades del software; alguna falla en el sistema operativo y/o en la base de datos que no se detectan o no se actualizan es uno de los mecanismos.
Los expertos consultados por Caras y Caretas coinciden que si bien la violación para ingresar a los sistemas puede darse tanto en software libres como en los pagos, la respuesta del parche de seguridad, ha sido de 48 horas en el caso de los primeros y hasta de 15 días en el caso de los segundos, por las comunicaciones que deben realizarse con las empresas privadas y dueñas de las licencias.
El segundo mecanismo se denomina “ataque a la fuerza” y se basa en el estudio de la personalidad de las personas que operan los sistemas informáticos y en función de sus gustos e intereses, poder obtener por deducción la contra seña.
Claro que esto no lo hace otra persona sino que es una aplicación que con los datos ingresados puede llegar a realizar miles de prueba en un minuto hasta dar. De allí las recomendaciones de no utilizar fechas de nacimientos, nombres de familiares, direcciones, y un largo etcétera.
El tercero similar al segundo es lograr “hurtar” las credenciales del operador obtenida bajo la ingeniera de comportamiento.
En cualquiera de los tres casos, la inversión económica para actualizar los sistemas como los equipos, resulta de una importancia estratégica.
Si pasa pasa.
El 20 de octubre del 2020 la base de datos de la Dirección Nacional de Identificación Civil (DNIC) fue hackeada pero recién se detectó el 8 de diciembre del mismo año.
Recién el 12 de febrero el Ministerio del Interior emite un comunicado expresando que por sobredemandas no se podía realizar los trámites de expedición del documento de identidad ni por los locales de cobranza, ni por teléfono ni por la red, pero el periodista Gabriel Pereyra denunció desde su twitter que el sistema había sido hackeado.
La senadora frenteamplista Silvia Nane recuerda que en noviembre del 2020 estaba trabajando en dos artículos del proyecto de presupuesto que incluía el reconocimiento facial digitalizado, migrando los datos biométricos de la DNIC a una base de datos del Ministerio del Interior.
“Cuando me entero del incidente”, explica Nane “tengo la preocupación de saber si el problema estaba en los datos a migrar o los datos migrados”.
El 4 de marzo del 2021 la senadora realiza un pedido de informes de unas 28 preguntas de las cuales la mitad tenían que ver con el incidente específicamente y el grado de severidad adjudicado por el CERTuy.
El 22 de junio se reitera el pedido ya que se vencieron los plazos sin que el Ministerio responda y la respuesta llega el 14 de junio del 2022 pero sin unos adjuntos como información adicional.
Se solicita el envío de los adjuntos y llegan el 27 de junio de éste año.
“La respuesta que recibimos no es la que Heber dio a la prensa” comienza analizando Nane “y si por toda respuesta era que las computadoras eran viejas, no tenía por qué haber pasado un año y medio sin responder, pero no es lo que está en la respuesta al pedido de informes”.
Hasta donde pudimos averiguar no existe un protocolo que dictamine que cuando un sistema institucional es hackeado no se deba informar públicamente; no pasó en el caso de la Armada ni tampoco en el caso del hackeo a Policía Científica.
Más extraño es que el Ministerio del Interior diera por toda respuesta que tenía un problema de sobre demandas en la solicitud de documentos de identidad que había hecho colapsar el sistema.
Nane enfatiza que en función de considerar que la información puede tener carácter confidencial y reservado, se ofreció a reunirse con las autoridades en el propio Ministerio a efectos de entender a cabalidad que fue lo que ocurrió y la dimensión del daño, pero hasta el momento la reunión no fue concedida.
Lo cierto es que al día de hoy, 84.001 datos de pasaportes han sido obtenidos y no se sabe cuál es su destino y tampoco está claro a que otro tipo de información se tuvo acceso, algo que da un poquito de escalofríos.
El ministerio del interior realizó una auditoría para ver en qué situación se encuentra con respecto marco de ciberseguridad que establece la Agesic (iniciada el 7 de octubre del 2021) se encuentra, pero aún no tiene los resultados, en un incidente catalogado como de “severidad muy alta”.
Según informó el ministro Heber se decidió migrar los datos de la DNIC hasta un datacenter en Pando.
Solo sé que no se nada
“Teníamos computadoras viejísimas, lamentablemente. Muy vulnerables. Eso es lo que heredamos. Hicimos la compra de un software que realmente nos de la seguridad de que no se nos pueda hackear fácilmente”, expresó el Ministro Heber a la prensa.
La senadora Silvia Nane calificó de poca seria la respuesta y descartó por el momento un llamado a sala o a comisión, “porque si fuera por las cosas poco serias que dice viviría acá adentro, y queremos que el Ministro trabaje porque se nota tiene mucho trabajo”.
El ex director de la DNIC Rubén Amato se refirió a los dichos del ministro y expresó que “No sabe diferenciar hardware y software. Por una computadora no viene un ataque, viene por las comunicaciones. Hasta el último día de febrero de 2020 teníamos los antivirus vigentes, todas las licencias”.
En declaraciones a M24 Amato recordó que “en 2015 se realizó un “cambio estructural” que permitió cambiar el pasaporte y el documento de identidad incorporando doble chip. “¿Con una tecnología obsoleta se puede hacer eso?”.
También trajo a colación que el Banco Interamericano de Desarrollo (BID) realizó una auditoría y no hubo observaciones en ese sentido.
“No hay nada seguro para un hacker. No podés decir que le das la seguridad a la población de que no va a volver a suceder. ¿Fue un hackeo o un virus? ¿Estaban las licencias actualizadas de los antivirus? Hay muchas cosas que no se saben. El Ministerio debió comunicar a las personas afectadas si es que tiene la información; No dijo un software obsoleto, (Heber) dijo computadoras, que no tienen nada que ver en un hackeo, vamos a hacernos cargo de una vez”.
“Computadoras viejas por toda respuesta”
Algunas de las preguntas en el pedido de informes de la senadora Nane.
- ¿Qué tipo de vulnerabilidad fue explotada por parte de los atacantes?, ¿había sido detectada con anterioridad por CERTuy o personal propio? De ser así, ¿existían acciones de mitigación pendientes de ejecución?, ¿cuáles?, ¿por qué estaban pendientes?
- ¿Cuáles fueron las medidas técnicas, operativas y administrativas desplegadas para contrarrestar el evento?
- De las recomendaciones planteadas por CERTuy como parte de su informe, ¿Qué plan de acción han definido el Ministerio del Interior y la DNIC para su implementación?
- Si bien se concluyó que no se detectaron pérdidas de información, puede asegurarse que los atacantes no lograron obtener información desde la DNIC? De no ser así, ¿Cuáles son los activos e información contenidos en la infraestructura comprometida a la que accedieron los atacantes?
- ¿Qué activos de información fueron comprometidos por el incidente informático?, ¿Qué datos o tipo de contenido alojan esos activos?
- ¿Cuál es el volumen de información potencialmente afectada por el incidente? (cantidad de registros, cantidad de archivos, cantidad de ciudadanos de los que sus datos pueden estar comprometidos)
- Listar la información sensible, reservada, confidencial y/o personal que puede haber sido accedida o afectada durante el incidente.