A partir de un pedido de informes de la senadora del Frente Amplio Silvia Nane, trascendió que en 2020 hubo un ataque electrónico en el que hackearon 84.000 pasaportes electrónicos, que fue calificado como “intrusión” de “severidad alta” por el Ministerio del Interior (MI).
Según Luis Alberto Heber, ministro del Interior, esto ocurrió porque “teníamos computadoras viejísimas, lamentablemente. Muy vulnerables”. “Eso es lo que heredamos”, afirmó. El ministro dijo que se hizo “la compra de un software que realmente nos dé la seguridad de que no se nos pueda hackear fácilmente” y que “permanentemente hay que hacer inversiones para proteger la información”. Por eso, aseguró que hay una licitación en curso prevista para “la adecuación permanente”.
Heber informó que “no tenemos datos de que se nos haya extraído información para otros fines”, y que, a partir de un informe de la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento, “no se puede asegurar ni una cosa ni la otra”. Aseguró que hasta ahora “no hemos visto ninguna consecuencia de una información reservada, que es la que tiene identificación civil”. “Lo que tenemos que hacer es proteger esa información, y eso no se había previsto porque las máquinas que teníamos eran totalmente prehistóricas”, reiteró Heber.
Desmienten a Heber: “La mayor inversión en tecnología de la historia”
Federico Laca, ingeniero y exdirector general del MI, antes asesor en tecnología e informática de la cartera, contradijo al actual ministro y explicó a la diaria que en la anterior gestión se hizo “la mayor inversión en la historia en varias áreas, también en tecnología”. “Además de la tecnología aplicada a la seguridad, como tobilleras, armamento y videovigilancia, entre otras cosas, se realizó el primer data center del Ministerio del Interior”, contó, y agregó que “cuando se empezó a usar ese nuevo data center no había otro igual dentro de la Administración Central”. A ese data center se empezaron a migrar todos los sistemas del MI y, a su vez, a instalar los nuevos. Señaló, como ejemplo, que en este data center está “toda la infraestructura para la firma digital de las cédulas de identidad y de los pasaportes”, y que lo que quedó en la DNIC es “todo el proceso de emisión”.
Laca también resaltó que para la instalación del Sistema de Gestión de Seguridad Pública a nivel nacional, donde se registra toda la información policial, “se compraron computadoras para que en todas las dependencias del ministerio hayan computadoras conectadas a la red ministerial”. Por otra parte, destacó que “se centralizaron las licitaciones de tecnología, incorporando criterios técnicos, escritos por profesionales, para las adquisiciones”. Aclaró que dentro de estas licitaciones está todo lo que respecta a las computadoras adquiridas.
El exdirector general del MI indicó que “la infraestructura que está en el data center ministerial no fue comprometida [la firma digital de cada persona para las cédulas y pasaportes]”. “Data center que se hizo en la administración pasada, claro está”, subrayó.
A su vez, afirmó que “son innegables las inversiones que se realizaron en tecnología en la administración pasada, desde computadoras, software para realizar tareas propias de las investigaciones policiales, el Guardián, el sistema balístico, AFIS, ADN-Codis y analítica para la videovigilancia”. Laca aclaró que “lo que sucede cuando hacés inversiones en tecnologías es que tenés que estar comprometido a mantenerla”. “Cuando desde el Poder Ejecutivo afirman que ‘hay que ahorrar’, hay cosas que van quedando por fuera”, continuó. El exjerarca cuestionó si las compras para evitar hackeos fueron de las cosas que no se compraron “para cumplir la meta puesta por el Ministerio de Economía y Finanzas”.
Para Laca es llamativo que esto se sepa un año después de que sucedió el incidente. “El gobierno dice ser muy transparente, pero tuvo que existir un pedido de informes de Nane y luego pasar más de un año para estar hablando sobre información personal de 84.000 personas”, sentenció.
En línea con lo planteado por Laca, Rubén Amato, que dirigió la DNIC desde 2007 hasta el cambio de gobierno en marzo de 2020, cuestionó al ministro Heber en Twitter: ¿Computadoras obsoletas? ¿Por qué no revisan las dos últimas auditorías en seguridad y el informe del BID sobre seguridad, previo a comenzar la emisión de los nuevos pasaportes en el 2015?”. “Hay que hacerse cargo de una vez”, sentenció.
Computadoras obsoletas? Porque no revisan las dos últimas auditorías en seguridad y el informe del BID sobre seguridad, previo a comenzar la emisión de los nuevos pasaportes en el 2105. Hay que hacerse cargo de una vez @canal10uruguay @FedericoLaca @ChCarreraLeal @SilviaNaneFA
— Ruben Amato (@RubenAmatoLusar) July 11, 2022
Por su parte, Enrique Amestoy, experto en tecnologías de la información y la comunicación (TIC), publicó un hilo en Twitter en el que explica la renovación de equipamiento que hubo en el MI y también desmintió al actual ministro: “Desde 2010 el Ministerio del Interior ha hecho un cambio total de sus servidores e infraestructura. Doy fe de ello. Hardware de última generación, todo muy bien planificado. Hágase responsable ministro Luis Alberto Heber. Si la DNIC tuviera los datos en Data Center del MI, esto no pasaba”. “Investigue”, agregó.
Desde 2010 el @Minterioruy ha hecho un cambio total de sus servidores e infraestructura. Doy fe de ello. Hardware de última generación, todo muy bien planificado. Hágase responsable Ministro @Luisaheber
— Enrique Amestoy (@eamestoy) July 11, 2022
Si DNIC tuviera los datos en Data Center del MI, esto no pasaba. Investigue https://t.co/npoEy18Szt
Amestoy aclaró: “Cuando digo ‘doy fe’, digo que participé del comienzo de migración del data center en 2010 (expiró la firma de secreto por 10 años)”. “Varias reparticiones se negaban a centralizar sus datos y los mantenían en simples PC. Muy complejo entender la importancia de centralizar”, acotó.
Por otro lado, indicó que fue consultado sobre si la DNIC tiene su información en el data center del MI. Compartió una imagen de un llamado público para la “Administración de infraestructura servidores de DNIC” y afirmó, a partir de la letra del llamado, que “claramente demuestra que no tenían (tienen) centralizada su infraestructura”. “¡Muy mal!”, opinó.
Director de la DNIC responsabilizó a la anterior gestión: “Heredamos un tema que estaba debajo de la alfombra”
Este martes, el MI convocó a una conferencia de prensa para informar sobre lo sucedido. José Luis Rondán, comisario mayor retirado que dirige la DNIC, aseguró que “nadie va a ser detenido porque alguien clonó su pasaporte”. “Sus pasaportes y sus datos están a resguardo”, afirmó, y recalcó que la DNIC es “custodio natural en todo lo que hace a la identidad” de los uruguayos. “Somos muy serios en eso, con eso no se juega”, indicó.
Según Rondán, cuando se conoció este hecho, a fines de 2020, “se tomaron las medidas correspondientes: investigación de urgencia para que no se disipe la prueba; investigación penal; se puso a recaudo la información que no había sido vulnerada y fueron sumariados y relevados los dos jefes del área informática”. Subrayó que “la DNIC no soslayó este tema, se hizo cargo”. El jerarca dijo que el mensaje que tiene que llegar a la gente es que “no va a ver vulnerados sus datos”. “En más de dos años no hemos tenido noticias de que alguien haya hecho o intentado hacer algo con nuestros pasaportes”, afirmó.
Rondán aclaró que aquellas personas cuyos datos estuvieron involucrados en el hackeo fueron notificadas por la DNIC y que ante las consultas recibidas sobre la posible clonación de pasaportes y que notaran esto estando de viaje, responden que “no ha pasado, no va a pasar”. “Nuestro pasaporte goza de muy buena salud, está entre los más seguros del mundo, el Estado ha invertido en eso y se están haciendo inversiones para dotarlo de más seguridad de la que tiene”, enfatizó.
Rondán disparó contra la anterior gestión. Señaló que en 2018 el entonces director de la DNIC, Ruben Amato, “recibió un aviso tras una auditoría por ‘hallazgos con nivel de criticidad extrema’ por ‘acceso al sistema principal’ y ‘dio la alerta de que se pusieran a trabajar en eso’”. Según Rondan, “los subalternos de él lo encajonaron y esto volvió a reflotarse después del evento de 2020”.
“Heredamos un tema que estaba debajo de la alfombra. ¿Qué medidas podíamos tomar si había una alerta y nadie nos dijo?”, cuestionó. “Del sumario sale la mala gestión de ese director y ese subdirector que ahora no pertenecen más al instituto y no tomaron estas medidas”, concluyó. El director del Departamento de Tecnologías de la DNIC, Guillermo Lugo, que también participó en la conferencia, indicó que “el nuevo software demandará un trabajo de 12 meses”. En la conferencia también participó Alberto Lacoste, comisario general y subdirector de la DNIC.