El preocupante incremento de los ciberataques contra el Estado uruguayo se enmarca en un fenómeno global de crecimiento de los delitos informáticos. Uno de los métodos más utilizados es el ransomware, que consiste en vulnerar un servidor, encriptar la información contenida y luego solicitar un rescate monetario para su recuperación. Estos ataques suelen ser ejecutados a través de plataformas de grandes organizaciones criminales, como ocurrió con el caso de Lockbit contra el estudio Guyer y Regules, donde el rescate exigido superó ampliamente los 300.000 dólares originalmente solicitados. Una situación similar se vivió en el Ministerio de Transporte y Obras Públicas (MTOP) en 2022. Los expertos sugieren que esa vez se realizó un pago por el rescate, aunque no se ha podido confirmar que los dineros hayan salido de las arcas del Estado.
Una de las principales vulnerabilidades que explotan los ciberdelincuentes es la falta de mantenimiento y actualización del software. Muchas veces, los ataques se producen aprovechando brechas de seguridad ya detectadas y solucionadas en versiones más recientes de los programas utilizados. Varios de los ataques recientes a organismos estatales parecen haberse originado por esta razón. Además, algunos grupos atacantes han demostrado intenciones políticas en sus acciones, lo que se evidencia en los mensajes publicados en sitios especializados donde se hacen públicos estos delitos o con mensajes en los propios sitios vulnerados.
El ataque en febrero del que fuera víctima la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (AGESIC) involucró la filtración de datos de más de 500.000 personas físicas y jurídicas en Uruguay. Se sospecha que el grupo responsable utilizó credenciales autorizadas para explotar una vulnerabilidad en el sistema. AGESIC rápidamente deslindó responsabilidades, indicando que la Unidad Reguladora y de Control de Datos Personales (URCDP) debía responder sobre las consecuencias del incidente. Sin embargo, la URCDP se ocupa de hacer cumplir la normativa respecto a protección de datos personales, mientras que la responsabilidad por la integridad y seguridad de los datos almacenados en un servidor recae sobre la empresa u organismo que lo administra. Por lo tanto, es AGESIC la responsable de velar por la seguridad y la no filtración de los datos almacenados en sus bases de datos. Hasta la fecha no se ha informado públicamente sobre la gestión de los datos comprometidos.
El resultado de lo que se conoce como «análisis forense» es fundamental en estos casos. Este análisis consiste en examinar sistemas, redes y dispositivos electrónicos para identificar el origen de un ataque, determinar el alcance de los daños y recopilar evidencia digital. Luego de un ataque, los técnicos en informática forense rastrean las vulnerabilidades explotadas, reconstruyen los eventos previos al incidente y buscan responsables, ayudando así a prevenir futuros ataques y proporcionando pruebas para posibles acciones legales.
En marzo, el número de ataques contra el Estado uruguayo aumentó significativamente, aunque la mayoría fueron de baja calidad y poco sofisticados. Un ejemplo es el ataque a la Dirección Nacional de Aviación Civil e Infraestructura Aeronáutica (DINACIA), donde se publicó la foto del presidente Yamandú Orsi junto con su número de celular. Es probable que los atacantes hayan explotado debilidades en la herramienta con la que se diseñó la página web, posiblemente debido a la falta de actualizaciones.
El pasado fin de semana, el dominio gub.uy estuvo inaccesible durante varias horas, afectando todos los sitios oficiales del Estado. Se presume que se trató de un ataque de denegación de servicio (DDoS), que consiste en saturar una infraestructura informática hasta dejarla inoperativa. Un grupo denominado @gov.eth se atribuyó la responsabilidad del ataque, el mismo que previamente había atacado DINACIA y la empresa Buquebus, donde se publicaron mensajes de corte neonazi y anti Agenda 2030. También la Fiscalía sufrió un ataque, aparentemente en represalia por la prisión preventiva de un joven de 18 años apodado “Vladi”, presunto responsable de los ataques a DINACIA, Buquebus, MIDES y el Shopping de Las Piedras. En este contexto, la página oficial de Eficiencia Energética fue intervenida con un mensaje dirigido al Ministerio del Interior y la Fiscalía, denunciando supuesta corrupción.
Recientemente, se hizo pública una filtración de datos personales en el sitio de Dedicación Total de la Universidad de la República (UDELAR). Un atacante afirmó poseer información de alrededor de 500 docentes, aunque más tarde se comprobó que la cifra ascendía a más de 1400. Los datos comprometidos, disponibles para la venta en un foro especializado, incluían nombres, cédulas, teléfonos, correos electrónicos personales e institucionales, además de credenciales de acceso en texto plano. Este ataque se lo atribuyó el grupo Expresidents, que anteriormente había vulnerado la seguridad de la Intendencia de Flores y que se presume opera desde Argentina.
Por la mañana de este sabado 6 de abril el sitio web del diario El Pais de Uruguay https://elpais.com.uy sufrió un defacement a cargo del actor de amenazas @gov.eth donde se publicaron las mismas fotos del presidente Yamandú Orsi que en anteriores ataques del grupo. Fue comunicado, como en otras ocasiones, en un canal de Telegram. Pasadas las 22hs del mismo día el portal del Semanario Brecha https://brecha.uy sufrió idéntico ataque. En los dos casos @gov.eth publicó mensajes neonazis, esvásticas y fotos de Hitlet, mensajes en contra del gobierno y pidiendo por la liberación del ciberdelincuente “Vladi” con prisión preventiva, como se señala mas arriba.
La gestión de la seguridad informática en Uruguay sigue fragmentada, con cada organismo estableciendo sus propias estrategias y políticas. AGESIC emite recomendaciones generales, pero no existen protocolos claros de seguimiento ni sanciones en caso de incumplimiento. Un simple ejemplo de esto es la falta de aplicación del Decreto 92/14, que obliga a los entes estatales a utilizar dominios .gub.uy y a alojar sus servidores en territorio nacional. Sin embargo, se siguen recibiendo correos oficiales desde cuentas @gmail.com y hay sitios alojados en servidores fuera del territorio nacional sin consecuencias para los responsables.
No se ve con claridad en qué ámbito del Estado se maneja la ciberinteligencia, es decir, todo lo relacionado con la recopilación, análisis y uso de información sobre amenazas digitales para prevenir, detectar y mitigar ciberataques, protegiendo infraestructuras y datos sensibles. Todo parece indicar que la Secretaría de Inteligencia Estratégica del Estado sería el ámbito natural para dirigir estas políticas en coordinación con AGESIC, el Ministerio del Interior, la Fiscalía y el Ministerio de Defensa Nacional, al que le compete todo lo relacionado con ataques desde fuera del territorio nacional. La legislación en la materia hasta el momento se ve muy insuficiente o directamente inexistente.
Otro problema radica en la respuesta institucional ante incidentes de ciberseguridad. Cuando la Intendencia de Paysandú sufrió un ataque de ransomware y su intendente Nicolás Olivera declaró públicamente que no tenían respaldo de los datos, esta admisión pudo haber incentivado a los atacantes a aumentar el monto del rescate exigido. Estas situaciones evidencian la falta de reglas claras y de un enfoque serio en la ciberseguridad a nivel estatal. Sin dudas es de esperar señales de cambios o proyectos al respecto por parte de la administración entrante.
Es imperativo que el Estado uruguayo considere la ciberseguridad como una prioridad, al mismo nivel que otros temas de seguridad pública. Entre los pilares prioritarios del Estado deben estar la pobreza infantil, la situación de las personas en calle, la problemática de vivienda, los salarios sumergidos y los grandes temas de seguridad. No hay duda de que es fundamental trabajar en delitos como el narcotráfico, el lavado de dinero y la trata de personas, así como en la inserción internacional de nuestro país.
A la luz de acontecimientos recientes, como el entredicho entre Brasil y Paraguay por un supuesto caso de seguimiento y espionaje informático —presumiblemente ocurrido durante la administración Bolsonaro— que pausó las negociaciones sobre Itaipú, o el aumento de delitos informáticos contra el Estado, sumar las políticas de prevención de estos delitos a la agenda nacional no parece en absoluto descabellado.
No podemos permitir que gente sin experiencia, siguiendo tutoriales en internet, vulneren las páginas web estatales o roben bases de datos con facilidad, de la misma forma que no podemos permitir ser atacados por organizaciones u otros Estados. Si Uruguay se enorgullece del Plan Ceibal y de su avanzada infraestructura de fibra óptica, debe también garantizar la protección de sus sistemas informáticos. Una de las iniciativas recientes para mejorar la situación fue la creación de una licenciatura en ciberseguridad de la UTU. Tendremos un grupo de egresados allá por 2028 con un importante acumulado de conocimiento teórico pero con poca práctica enfrentando problemas reales. Es imposible esperar todo ese tiempo para armar equipos que se ocupen del área, como sugirió de forma un tanto ingenua algún actor de gobierno saliente el pasado año.
La fragmentación de los servicios informáticos del Estado impide centralizar el desarrollo de software, la infraestructura y las políticas de seguridad. La unificación de centros de datos y recursos humanos podría hacer más eficiente la informática estatal, permitiendo que expertos de distintos organismos trabajen en conjunto para, en el caso de la seguridad informática, poder definir y ejecutar estrategias de ciberinteligencia, ciberseguridad y respuesta a incidentes. El punto será desarrollado en futuras columnas.
Rebelión ha publicado este artículo con el permiso del autor mediante una licencia de Creative Commons, respetando su libertad para publicarlo en otras fuentes.