Para continuar, hacete socio de Caras y Caretas. Si ya formas parte de la comunidad, inicia sesión.
ASOCIARMEVarios organismos del Estado sufrieron hackeos y datos sensibles quedaron expuestos. Sobre esta problemática dialogó Caras y Caretas con el experto en ciberseguridad, Enrique Amestoy.
¿Quiénes están detrás de los hackeos recientes y qué los motiva?
Foto: CCOCaras y Caretas Diario
En tu email todos los días
Uno de estos golpes lo recibió la Dirección Nacional de Aviación Civil e Infraestructura Aeronáutica (Dinacia). Los atacantes se infiltraron en su sistema y publicaron información personal del presidente, Yamandú Orsi, en el sitio web del organismo. La página de Buquebus Turismo también fue intervenida con un mensaje incendiario contra el actual presidente: “Los políticos de Uruguay son una basura, Orsi corrupto”.
Además, hackearon la Dirección Nacional de Migración, donde los atacantes dejaron expuestos 14.877 formularios de solicitudes de visa, con datos personales de ciudadanos que confiaron en la seguridad de la institución.
El Ministerio de Desarrollo Social también fue embestido: más de 250 documentos internos fueron filtrados, dejando al descubierto información sensible. No se detuvo allí: hubo un ataque masivo contra la mismísima infraestructura digital del Gobierno. Durante horas, todas las páginas web con dominio “gub.uy” quedaron inaccesibles, afectando servicios esenciales y dejando en evidencia la vulnerabilidad del Estado ante estas nuevas amenazas.
La Universidad de la República no corrió mejor suerte: los ciberdelincuentes sustrajeron datos de más de 1.400 profesores y los pusieron a la venta en foros clandestinos. El último ataque fue a la Fiscalía, aunque desde el organismo informaron que no existió riesgo de información sensible. Todo esto sucedió en marzo.
¿Estamos ante una simple ola de ataques aislados o frente a una embestida planificada contra la seguridad informática del país? ¿Quiénes están detrás de estos ataques?, ¿qué buscan? ¿Qué medidas debe tomar Uruguay para proteger su soberanía digital? Para entender este nuevo frente de batalla, Caras y Caretas dialogó con Enrique Amestoy, experto en ciberseguridad.
Amestoy explicó que un hackeo o incidente informático implica “la vulneración de un sistema”, algo que puede ocurrir de diversas maneras. Uno de los ataques más comunes es la desfiguración de sitios web, como sucedió recientemente con la página de la Dinacia. En estos casos, detalló, los atacantes encuentran una pequeña vulnerabilidad que les permite modificar la web, agregando imágenes, textos o mensajes. Otro tipo de ataque es la intromisión en servidores, como ocurrió con los de la Udelar, donde ciberdelincuentes lograron acceder y sustraer información.
Entre los ataques más complejos destacó el ransomware, una técnica que implica el secuestro de información mediante su encriptación. Esto significa que los datos quedan inaccesibles para su propietario a menos que se pague un rescate por la clave de desencriptación. “Acceden al sistema explotando alguna vulnerabilidad, alguna puerta que quedó mal cerrada, toman la información de esa computadora o servidor y la encriptan volviéndola ilegible para cualquier otra persona”, detalló. Como ejemplo de estos casos en Uruguay, mencionó el ataque al estudio Guyer & Regules, donde alguien pagó más de 300 mil dólares, y el ocurrido hace algunos años al Ministerio de Transporte y Obras Públicas (MTOP). “La lógica del ransomware es que a alguien más le interesan esos datos”, explicó Amestoy, señalando que, en algunos casos, incluso empresas competidoras pueden estar dispuestas a pagar por información robada.
Otro método de ataque que señaló el entrevistado es la denegación de servicio (DDoS), que satura los servidores de un sitio hasta bloquear su acceso, como sucedió el pasado fin de semana con los dominios oficiales del gobierno (gub.uy). “Atacan determinadas partes del sistema de tal manera que, cuando el resto de la gente quiere acceder, se encuentran con el mensaje de que la página está caída o que la aplicación no funciona”.
Explicó que después de un ataque comienza el trabajo de la informática forense, cuyo objetivo es reconstruir lo sucedido, identificar las vulnerabilidades explotadas y, en el mejor de los casos, rastrear el origen del ataque. “Intentamos encontrar qué pasó, por dónde pasó, qué vulnerabilidad se explotó y, finalmente, lograr saber de dónde vino y quién fue”, concluyó.
En el mundo de la seguridad informática, el término hacker no siempre tiene una connotación negativa, aunque popularmente se lo asocie con ciberdelincuentes. Consultado por la diferencia entre el hacker ético y el ciberdelincuente, el experto expresó: “Según la Real Academia Española, un hacker es una persona con grandes habilidades en el manejo de computadoras, que investiga un sistema informático para avisar de los fallos y desarrollar técnicas de mejora. Es decir, alguien que conoce herramientas de seguridad y las utiliza para hacer el bien, por así decirlo. En el mundo hacker hablamos de hacker de gorro blanco y hacker de gorro negro. El de gorro blanco es el que estaría dentro de esta definición, y el de gorro negro es aquel que utiliza sus conocimientos en seguridad para cometer ciberdelitos”.
Sobre el perfil de quienes están detrás de los ataques informáticos, Amestoy explicó que quienes ejecutan las maniobras más sofisticadas suelen ser grandes corporaciones dedicadas al ciberdelito a nivel global, operando bajo un modelo similar al de una franquicia. “Los atacantes alquilan el servicio de ransomware, es decir, utilizan una herramienta que alguien tiene para atacar, hackear y encriptar, y le pagan un porcentaje del rescate. La lógica de afiliados, de gente que contrata sus servicios, es la más común. Estos son los ataques donde normalmente estamos todos muy expuestos, porque son de gran complejidad, y las medidas de defensa muchas veces son vulneradas”.
En contraste, existen hackeos de menor sofisticación, prosiguió el entendido, como los que han afectado reiteradamente al sitio web del Partido Nacional en los últimos años, en los que se alteraban imágenes o textos. Este tipo de intrusiones, según Amestoy, pueden ser realizadas incluso por “adolescentes trasnochados” con conocimientos básicos que “buscan en Internet métodos para vulnerar sistemas”. Uno de los grupos de Uruguay vinculado a estos ataques es Ex Presidents, que también vulneró a la Intendencia de Flores y a la Udelar.
A pesar de la diversidad de actores involucrados en estos delitos, los ataques recientes en Uruguay, según el experto, fueron protagonizados principalmente por grupos de jóvenes, algunos incluso menores de edad, motivados por una necesidad de exponerse para obtener cierto reconocimiento, ya que difunden sus acciones en foros y redes sociales sin medir las consecuencias. “Siempre recuerdo el caso de aquel que robó un banco, se compró un auto caro y se fue de viaje a Europa. Todo el barrio se enteró de que había robado porque era una persona sin recursos. Esa lógica, la necesidad de mostrarse con el Rolex y el auto caro también se ve en el mundo de delincuentes informáticos, donde se debaten por exponer quién hizo la cosa más fea. Pero se ponen a hablar en un foro y se olvidan de que ese chat alguien lo puede estar escuchando, leyendo y viendo desde dónde está hablando cada uno”.
Y añadió: “Los daños de este tipo de hackers de bajo nivel, sin gran profesionalismo, que publican todo lo que hacen, no tienen valor comercial ninguno porque una vez que hacen pública la información no se la pueden vender a nadie, con el daño enorme que se genera, entre otras cosas, a la privacidad de datos personales, que debería ser un desvelo para nuestro gobierno, ya que tenemos una ley muy fuerte y bien redactada en protección de datos”.
Con respecto a los casos en los que los atacantes dejaron mensajes en contra del actual presidente, el especialista expresó: “Si lo analizamos fríamente, estamos ante la presencia de grupos anti Frente Amplio que quieren, de alguna manera, hacerle daño a la gestión de Gobierno en términos informáticos”. En ese sentido, consideró necesario que la fuerza política revise las medidas adoptadas en materia de ciberseguridad y refuerce las asignaciones presupuestarias para la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic). También cuestionó si la nueva estructura de inteligencia estratégica, cargo que podría ocupar el exdirector de Policía Mario Layera, incluirá equipos especializados en seguridad informática. “Una impresión que tengo, mirando la foto completa, es que en los últimos veinte años los temas de seguridad informática no se consideraron como prioritarios, algo que preocupa, porque en algún momento podemos estar expuestos a cosas más graves”, dijo, subrayando la urgencia de fortalecer la protección de los sistemas estatales ante posibles amenazas más graves en el futuro.
Cuando se habla de ciberseguridad, solemos imaginar sofisticados ataques orquestados por expertos informáticos. Pero, ¿y si la mayor vulnerabilidad no estuviera en los sistemas, sino en las personas? ¿Es Uruguay más susceptible a ciberataques que otros países de la región?
Amestoy explicó que el problema no radica en que Uruguay esté más o menos expuesto, sino en que el usuario sigue siendo el punto más frágil de cualquier sistema. “Quienes trabajamos en estas cosas siempre decimos que el usuario es el virus más complicado”, afirmó, haciendo referencia a la facilidad con la que un empleado puede, sin quererlo, abrir la puerta a un ataque.
Uno de los ejemplos más notorios en Uruguay fue el hackeo a la Dirección Nacional de Identificación Civil (DNIC), donde se sustrajeron más de 50.000 pasaportes. Amestoy señaló que, lejos de tratarse de un ataque sofisticado, la vulnerabilidad estuvo en una funcionaria que tenía acceso a información sensible y que, posiblemente, abrió un archivo malicioso o permitió el ingreso de malware. “La respuesta de quien era el ministro del Interior en aquel momento, Luis Alberto Heber, fue paradigmática, ya que desestimó el ataque diciendo que no había sido un ataque informático, sino que se le habían metido a la computadora de una funcionaria. Utilizó casi la definición de diccionario de lo que es un ciberataque”.
Más allá de los errores humanos, también existen vulnerabilidades técnicas, como configuraciones incorrectas en servidores o contraseñas débiles. Para evitar estos riesgos, Amestoy destacó la importancia del rol del hacker ético, cuya tarea consiste en realizar pruebas controladas para detectar fallos de seguridad. “La tarea del hacker ético es sumamente importante porque nos hace ver qué tan sólido es lo que implementamos como medida de seguridad en una empresa o en un ministerio”, explicó. Estas pruebas, conocidas como tests de penetración o pruebas de estrés, permiten evaluar qué tan resistente es un sistema antes de que sea vulnerado por un atacante real.
¿Cómo debería intervenir el Estado para garantizar la seguridad digital de los ciudadanos y proteger los datos nacionales? Para Amestoy “el Estado debería tener una actitud muy proactiva, estar abriendo el paraguas y verificando la seguridad constantemente para evitar ataques”, destacó, subrayando que la prevención es clave para mitigar riesgos. “No puede pasar que cuatro muchachitos que buscaron en Internet la forma de romper algo, que no son los superhackers que dieron vuelta el sistema del universo, estén molestando todos los días al Estado”.
Amestoy plantea una diferenciación clara: mientras que los ciberataques de gran escala, como los basados en ransomware, pueden ser ejecutados por grupos muy organizados con enormes recursos, las agresiones menores realizadas por individuos sin infraestructura ni conocimiento avanzado deberían ser evitadas a toda costa. “Si luego soy víctima de un grupo enormemente organizado, que me genera ransomware, que me secuestró datos, estamos hablando de que tienen miles de millones de dólares, tienen computadoras y toda una infraestructura. Lo que no podemos es ser víctimas de un par de chiquilines que están aburridos”, insistió.
En este contexto de ciberamenazas, la preparación de Uruguay para enfrentar incidentes de ciberseguridad se vuelve un tema crucial. Según Amestoy, si bien el país cuenta con técnicos capacitados, aún existen varios desafíos en términos de inclusión y formación práctica. La falta de diversidad en el campo, especialmente la escasa presencia femenina en temas de seguridad informática, es solo uno de los aspectos que señala. Para él, el enfoque educativo, a pesar de algunos intentos de mejorar la preparación, sigue siendo insuficiente. “Si yo arranco hoy con la licenciatura para formar expertos y expertas en ciberseguridad, dentro de cuatro años tengo formado un grupito de gente con un montón de marco teórico, pero con casi nula expertise. ¿Y mientras tanto qué hacemos?”, cuestionó.
Una alternativa, según el experto, podría residir en aprovechar los recursos estatales existentes, pero sin descartar al sector privado, ya que, a su entender, “pequeñas empresas que exportan servicios de ciberseguridad han mostrado experiencias exitosas”. Además, destacó la necesidad de entender la importancia que deberíamos darle a estos temas como Estado. “En tanto le demos una relevancia significativa vamos a poder encontrar los recursos humanos que tenemos en plaza para empezar a mejorar las cosas y dar alguna señal”.
Señalando que Uruguay es un ejemplo mundial en otros aspectos tecnológicos, como el Plan Ceibal y la fibra óptica, Amestoy lamentó que, cuando se trata de ciberseguridad, “nos miren porque nos robaron unos pasaportes”. A su entender, la falta de preparación para enfrentar ataques menores pone de manifiesto la urgencia de mejorar la infraestructura y las políticas del Estado en esta área vital. “Se nos están metiendo por un montón de lugares, de formas muy infantiles”, advirtió.
A pesar de los avances en algunos campos tecnológicos, la legislación en Uruguay sobre ciberseguridad aún está en deuda. Según Amestoy, el país carece de políticas específicas que aborden de manera eficaz los riesgos y vulnerabilidades en el ciberespacio. A su juicio, la ausencia de legislación clara y protocolos bien definidos es una de las grandes falencias del sistema. “No hubo consecuencias para la persona a la que le robaron los 50.000 pasaportes del ministerio. Tampoco para quien estaba a cargo de la base de datos de los usuarios de Agesic ni al que le robaron los datos de docentes de la Udelar. No estoy sugiriendo que manden en cana a un compañero o colega porque se le metieron en una base de datos; tenemos que tener una legislación que obligue a las instituciones a implementar medidas de ciberdefensa y ciberseguridad, así como equipos capacitados que pongan en marcha políticas que prioricen la protección de datos, con recursos humanos y económicos bien distribuidos. Tenemos un montón para hacer en Uruguay", sentenció.
¿Pueden los ciberataques ser utilizados como una herramienta de presión política o incluso como una estrategia de guerra? ¿Esto podría suceder en Uruguay? “El ciberataque es un arma geopolítica por excelencia, de la misma forma que se utiliza la amenaza de tirar la bomba nuclear”, aseguró Amestoy. Como ejemplo, mencionó los ataques que dejaron sin suministro eléctrico a Venezuela en varias ocasiones. También mencionó un caso ocurrido en el año 2002, cuando el Gobierno de Hugo Chávez nacionalizó el petróleo. “Petroleras extranjeras con base en Miami llevaron a cabo un ciberataque de gran magnitud que bloqueó la salida de hidrocarburos del país durante varios días. Y, paradójicamente, fueron jóvenes investigadores quienes lograron detectar y neutralizar el ataque antes de que el gobierno venezolano estuviera al tanto de la situación”, recordó.
Otro caso emblemático señalado por Amestoy fue el ciberataque contra las centrifugadoras de uranio de Irán en enero de 2010 que, según señaló, fue ampliamente atribuido por expertos a Estados Unidos o la OTAN. “Hay expertos en defensa en el mundo que definen este ciberataque como el primer hito en la historia de un ciberataque de gran escala contra un Estado con motivos claramente geopolíticos”, sostuvo. Explicó que el ataque se llevó a cabo a través del virus Stuxnet, que infiltró los sensores encargados de regular la temperatura de las centrifugadoras. Este software, presuntamente introducido mediante dispositivos vulnerables en la red, alteró la información de los sensores para que indicaran erróneamente que la temperatura era baja, impidiendo la activación del mecanismo de enfriamiento. Como consecuencia, las centrifugadoras se sobrecalentaron. “Recuerdo que el comunicado oficial del Gobierno iraní en aquel momento fue que les habían hecho al menos retroceder 10 años en su programa nuclear. Entonces, claramente estamos ante un arma geopolítica”.
Para Amestoy, estos episodios reflejan el papel clave de la ciberseguridad en la defensa de los Estados. En ese sentido, subrayó que “todos los ejércitos del mundo o todos los Estados tienen sus ciberejércitos, sus soldados entrenados para atacar o para repeler ataques en términos informáticos”.
Para Amestoy, el futuro de la ciberseguridad no es nada prometedor, especialmente cuando se observa el impacto de las tendencias actuales. Uno de los mayores desafíos seguirá siendo el ransomware, un tipo de ciberataque que, según él, “va a seguir avanzando, porque son muy rentables. Al igual que el narcotráfico o la trata de personas, todo lo que genera mucho dinero tiene capitales que lo sostienen y recursos humanos para hacerlo”. Además, la irrupción de la inteligencia artificial en los ataques cibernéticos es una tendencia que Amestoy ve como particularmente peligrosa. “El ChatGPT no te va a decir cómo hacer un hackeo, pero cualquier persona puede instalar programas de inteligencia artificial y entrenarlos en ciberdelitos y en cómo hacer programas para atacar”.
A nivel geopolítico, señaló que Uruguay, aunque hasta ahora ha sido un objetivo menor, no está a salvo de las tensiones globales. Los ataques, a menudo invisibles para el público, pueden estar motivados por intereses políticos internacionales. En tal sentido, advirtió la importancia de la soberanía tecnológica y de desarrollar capacidades locales y regionales en lugar de depender de potencias extranjeras que podrían tener sus propios intereses en juego. “Si no tenemos la capacidad de tener nuestro propio desarrollo de software, de correo y de defensa, nuestra seguridad va a depender de las intenciones que tenga el Estado al que respondan las empresas trasnacionales que contratemos”.
