El titular de la Dirección de Seguridad de la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (AGESIC), Santiago Paz, informó a la diaria que se creará un organismo interinstitucional para “mejorar la capacidad operativa en la respuesta a incidentes de ciberseguridad”. Se trata del Centro Nacional de Operaciones de Ciberseguridad, un espacio en el que se trabajará “codo a codo” con el sector privado, la academia y la sociedad civil, según adelantó Paz, ingeniero en telecomunicaciones especializado en seguridad informática y también director del Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay (Certuy).
Para aclarar qué es un “incidente” en la jerga de la seguridad informática, Paz lo había comparado, en diálogo con el portal de Presidencia, con lo que ocurre cuando uno, acostumbrado a cerrar la puerta con llave, regresa a su casa y encuentra la puerta abierta: algo sucedió. Para el jerarca, esto “significa que la política de seguridad se incumplió”. En 2009 se contaban 33 incidentes de ciberseguridad por año, mientras que en 2016 el número llega a 1.000. Este aumento, según dijo el jerarca a la diaria, se debe a “los esfuerzos” realizados por el Certuy para afinar la detección. Pero también existe una tendencia a nivel global, y año a año se registran cada vez más incidentes. Dos días antes de la Navidad de 2015, un grupo de hackers atacó la red eléctrica en la región de Ivano-Frankivsk, en Ucrania, con un virus: 80.000 personas se quedaron sin electricidad. En octubre de este año, plataformas y medios como Twitter, Spotify, Netflix y The New York Times -todos con el mismo proveedor- quedaron inhabilitados durante casi 11 horas a raíz de un ataque informático. En Uruguay, la red de hackers Anonymous advirtió en 2011 de un posible ataque a los sitios web del Parlamento y del Ministerio del Interior, en reclamo de más seguridad. “Este año no hemos tenido amenazas concretas de Anonymous”, aseguró Paz.
Según la norma ISO 27035, un incidente de seguridad de la información es indicado por un único evento o una serie de eventos indeseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones de negocios y de amenazar la seguridad de la información. Así lo explica el Certuy en su página web, y como ejemplos incluye los casos de robos de contraseñas, la alteración de información y la introducción de códigos maliciosos (como los virus). En este contexto, el gobierno -con el apoyo de instituciones financieras- lanzó en noviembre la campaña Seguro Te Conectás, orientada a sensibilizar a los usuarios de internet y dispositivos digitales sobre los riesgos que puede generar el mal uso de las herramientas informáticas. Durante 2012 y el primer semestre de 2013 la mayor cantidad de reportes recibidos fueron sobre phishing y spam. “Este tipo de incidentes busca justamente engañar al usuario, explotando su desconocimiento”, explica el Certuy. Además, Uruguay está entre los países con mayores índices de spam (mecanismo que se utiliza para engañar al usuario enviando información no solicitada) per cápita.
“Uruguay tiene un nivel de coordinación y colaboración muy alto con otros países, tanto de la región como de otras partes”, explicó Paz respecto de la conformación del Centro Nacional de Operaciones de Ciberseguridad. Por su parte, uno de los integrantes del Consejo Directivo Honorario de AGESIC, Jorge Abín, dijo a la diaria que ya se hicieron contactos para saber quiénes formarán parte de este centro, aunque por ahora es “prematuro” hablar de nombres. En setiembre de 2013, Paz decía, en entrevista con la diaria, que “existen modelos de referencia, y la AGESIC adoptó el de la International Technological University [ITU] de California, que define que sólo con más tecnología o sólo con un marco legal no es suficiente”. Y agregaba: “Hay que tener un enfoque integral: lo legal y el desarrollo de capacidades, con la cooperación internacional, con la tecnología”.