Un decreto firmado por el presidente Yamandú Orsi exige a todas las entidades públicas activar mecanismos de autenticación reforzada. La medida responde al aumento de hackeos contra el Estado registrados en los últimos meses.
“Las entidades públicas deberán, en un plazo de 120 días a contar de la publicación del presente decreto, activar sistemas de autenticación multifactor u otros mecanismos con niveles de seguridad superior, para el acceso a todos sus sistemas y servicios por parte de sus funcionarios, personal contratado y proveedores”, se afirma en el documento.
La resolución advierte que el contexto actual “exige mecanismos adicionales” para proteger la infraestructura digital del Estado y asegurar la continuidad operativa de los servicios.
Durante este año, se registraron incidentes en el Banco Hipotecario del Uruguay (BHU), la Administración Nacional de Educación Pública (ANEP), el Sistema Único de Cobro de Ingresos Vehiculares (Sucive) y otros organismos, lo que aceleró la discusión interna sobre medidas de protección.
El 30 de abril, Búsqueda informó que la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (Agesic) “elevó el nivel de alerta” tras una sucesión de hackeos “al Estado con fines políticos claros y deliberados”. Consultado sobre esta situación, el director ejecutivo de Agesic, Daniel Mordecki, afirmó a la diaria en agosto de este año que los ciberataques, que comenzaron un poco antes del cambio de mando a finales de febrero, cesaron.
“Estuvimos trabajando intensamente en ese período, fue un fenómeno relativamente nuevo para Uruguay por la intensidad y por el fin político. En general, ese tipo de ciberataques tienen fines económicos, pero no hubo ningún pedido de dinero, sino la intención de dañar la reputación del gobierno, utilizando la imagen del presidente y de otras autoridades”, añadió en aquel entonces.
Otras disposiciones
El decreto fija un segundo plazo clave: 30 días a partir de su publicación para asegurar el cumplimiento inicial de las obligaciones. En ese lapso, los organismos podrán optar por garantizar el acceso remoto a través de una red privada virtual (VPN), siempre y cuando cuente con autenticación multifactor o un nivel de seguridad equivalente.
Si la entidad no cumple con los plazos establecidos, se señala que “el acceso remoto a través de internet deberá ser suspendido y sólo podrá ser reactivado una vez cumplida dicha obligación”.
Otra de las medidas centrales obliga a todas las instituciones públicas a confeccionar un inventario de los sistemas y servicios expuestos en internet, que deberá actualizarse anualmente o cada vez que se incorporen nuevos sistemas o servicios.
Además, las entidades deberán eliminar el acceso a sistemas o servicios no utilizados o considerados innecesarios dentro del mismo plazo de 30 días. De ser posible, también deberán desinstalar o eliminar de forma definitiva estos sistemas.
El rol de Agesic
El decreto también incluye un componente de monitoreo: cada organismo deberá informar mensualmente a Agesic los avances en el cumplimiento de las medidas hasta completar las exigencias.
Agesic viene alertando desde hace meses sobre el aumento de la superficie de ataque digital del Estado, consecuencia del crecimiento de servicios en línea, la interconexión entre sistemas y la mayor actividad delictiva en el plano digital.
En agosto, Mordecki evaluó el estado de la ciberseguridad en Uruguay en diálogo con la diaria. Señaló que la situación del país es “buena” en términos generales, aunque con desafíos.
“Si nos comparamos con la región, estamos muy bien. Si nos comparamos con el pasado, obviamente ha evolucionado y hay una cantidad de incidentes mucho mayor, porque lo digital ha crecido notablemente”, explicó.
Aun así, advirtió que “hay una cantidad de cosas a trabajar y mejorar”.