¿Qué es el Centro Nacional de Respuesta de Incidentes de Seguridad Informática y cómo cuida a los organismos estatales de posibles vulneraciones?

¿Qué es el Centro Nacional de Respuesta de Incidentes de Seguridad Informática y cómo cuida a los organismos estatales de posibles vulneraciones?

Cada vez más las instituciones se enfrentan a incidentes de seguridad informática que vulneran sus sistemas y afectan su operativa, por lo que el CERTuy vio incrementadas sus acciones en los últimos años. En 2024 se triplicaron los incidentes informáticos respecto al año anterior.

En la mañana del 24 julio, los funcionarios de la Intendencia de Paysandú se encontraron con que no podían acceder a ninguno de los programas informáticos: los sistemas de cobro y de pago, la página web o el registro de nacimientos y defunciones. Nada funcionaba. Un “ransomware” se había infiltrado en la red de esa comuna y había dejado inoperativos todos sus servicios.

Este ransomware es un tipo de malware, un código de programación malicioso, cuya finalidad es el secuestro de datos para luego pedir rescates económicos. Los atacantes informáticos dejaron un archivo con una dirección que llevaba a la “deep web” y un código para acceder al mensaje: la exigencia era de un pago de 650.000 dólares a un grupo autodenominado “Alfa” a cambio de que fuera devuelto el acceso a los datos.

“Nos mataron”, afirmó entonces el intendente Nicolás Olivera y requirió la intervención de la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic), dependiente de Presidencia de la República. Finalmente, la intendencia debió desembolsar al menos 600.000 dólares para recuperar sistemas e infraestructuras; sin embargo, buena parte de la información fue dada por perdida.

“Es un negocio más lucrativo que el narcotráfico”, dijo a la diaria Verifica Mauricio Papaleo, director del Área de Seguridad de la Información de Agesic, que engloba al Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay (CERTuy). El término CERTuy deriva de la sigla de “Computer Emergency Responding” y este organismo es el encargado de monitorear y prevenir vulnerabilidades a los “activos críticos informáticos” del Estado.

Creado en 2008, define sus principales objetivos como “centralizar, coordinar y optimizar los procesos de respuesta a incidentes en seguridad de la información; difundir mejores prácticas de prevención y realizar tareas preventivas”. Para ello disponen de un equipo de 25 especialistas que monitorean “24/7” las posibles amenazas que puedan poner en riesgo a los organismos del Estado.

“Cuando una institución del Estado tiene un ataque informático, tiraron abajo la página web por el tráfico que está soportando, están haciendo un ataque de denegación de servicio, le robaron las contraseñas a los funcionarios, a los usuarios le robaron información o entró un malware; es obligación por ley denunciarnos los incidentes a nosotros”, explicó Papaleo.

El CERTuy forma parte desde 2010 de una red internacional llamada FIRST (siglas en inglés de Foro de Respuesta ante Incidentes y Equipos de Seguridad) con otros CERTs de más de 60 países y cuya finalidad es colaborar entre sí ante la posibilidad de ataques informáticos que sobrepasen las capacidades de los países por sí solos.

Asimismo, en 2023, Uruguay fue aceptado como miembro observador del Convenio Budapest, un tratado firmado en 2001 y que entró en vigor el 1° de julio de 2004, en el que 78 países acordaron criterios y normativa común en temas de cibercrimen, así como fomentar la cooperación entre países en el combate a estos delitos.

Para ingresar al acuerdo, el país debió actualizar su normativa y tipificar los distintos delitos comprendidos, que se concretó en la Ley de prevención y represión de la ciberdelincuencia N° 20.327, pero aún resta definir el aspecto procesal para solicitar el ingreso pleno al tratado.

Estafas digitales

Si bien el organismo no atiende el ciberdelito, potestad de la Unidad de Cibercrimen del Ministerio del Interior, sí actuó en los recientes intentos de estafa que utilizaron la imagen de empresas públicas y jerarcas de gobierno en el que se ofrece a la ciudadanía, a través de publicidades de redes sociales, supuestos mecanismos de inversión financiera en los que los delincuentes obtienen datos personales y de medios de pago de los usuarios.

En estos casos, el grupo de trabajo acciona para dar de baja el sitio web que simula pertenecer al Estado, se coordina con el proveedor de hosting y, eventualmente, se pone en contacto con el CERT nacional correspondiente al país para que facilite las gestiones en el origen. Además, en los casos donde el contacto con las víctimas se da a través de redes sociales, se coordina con la Unidad de Cibercrimen. El organismo no hace un monitoreo activo de estas situaciones, por lo que es importante la comunicación que puedan hacer los organismos estatales al detectar estos casos.

El CERT divide su trabajo en tres divisiones. Dos de ellas pueden asimilarse al trabajo del cuerpo de bomberos. Primero, un grupo de respuesta encargado de “apagar incendios” ante las alertas. Luego, se suma el trabajo del Centro Nacional de Monitoreo, que maneja el sistema de alertas que detecta posibles incidentes (“incendios”) de seguridad informática en los distintos organismos estatales.

A modo de ejemplo, los grupos de trabajo han encontrado usuarios y contraseñas filtradas de funcionarios estatales en la “deep web”, esa oscura zona de la red oculta de los motores de búsqueda convencionales e inaccesible a la mayoría de los internautas, y que deriva en un aviso al organismo para que sus equipos de tecnologías de la información (TI) tomen medidas preventivas a daños mayores. Estos sistemas se activan ante la detección temprana de incidentes o ante una denuncia. “Generalmente, cuando te llaman es porque el fuego está declarado”, explicó Papaleo.

Al caso de la Intendencia de Paysandú se suman otros donde organismos estatales vieron vulnerados sus sistemas informáticos y que incluyen robo de datos personales a centenares de ciudadanos. En 2020, un ciberataque a la Dirección Nacional de Identificación Civil logró “robar” información de 84.000 pasaportes electrónicos, algo a lo que el exministro del Interior Luis Alberto Heber atribuyó al uso de “máquinas prehistóricas”. En abril de 2022, se publicaron en línea más de 211.000 registros de menores de edad obtenidos del Instituto del Niño y el Adolescente del Uruguay.

“A veces la gente no le da valor a la información, y es un activo más. Como es tu casa, un coche o una máquina en una fábrica”, lamentó Papaleo. “La gente muchas veces tiene esa noción de que ‘estamos en Uruguay, esas cosas no van a pasar’. Hoy en día no hay ningún país del mundo libre. Sí, hay algunos más atacados”, comentó.

Y agregó: “Esto te va a pasar y hay que prepararse para cuando te pase. Es un concepto muy importante que hay que cambiar en la gente. Primero en las personas y segundo en las empresas, que es peor todavía. Hay que trabajar la resiliencia: Tenés que estar preparado para que, cuando te ocurra, los efectos sean los menos devastadores posibles”.

El informático recordó el mega ataque que sufrió el gobierno de Costa Rica en 2022, que afectó a más de 30 instituciones y significó que el país paralizara su operativa por al menos un mes, tiempo durante el cual no funcionaron o sufrieron desperfectos las aduanas, la recaudación de impuestos y los servicios de salud. Los atacantes exigieron al gobierno costarricense un pago de diez millones de dólares a cambio de la restitución de los sistemas. “Al final del día, casi todos los atacantes se transformaron en ciberdelincuentes que lo que quieren es ganar dinero. Cuando te roban datos, hoy en día la estrategia más común es extorsionar”, afirmó.

Sobre esto, señaló la importancia de participar de los círculos de colaboración como el ya mencionado FIRST y el CSIRTs Américas, una iniciativa de la Organización de Estados Americanos de intercambio constante de información y alertas entre países: “Una empresa por sí sola no puede contra un ciberataque y Uruguay por sí solo no puede contra un ataque como el de Costa Rica”.

Por este motivo, Uruguay participa de una iniciativa de “cyber defenders”, una red de acciones coordinadas y de rápida respuesta con expertos de distintos países que opera ante grandes ciberataques. Esto requiere una serie de adecuaciones normativas de los países participantes y firma de convenios para concretar el engranaje.

Un incremento sostenido en los incidentes

Uno de los principales puntos de apoyo para minimizar riesgos es la concientización de la población en general sobre prácticas seguras en el uso de internet. Por eso, el organismo impulsa una campaña pública bajo el nombre “Seguro te Conectas”, que genera y difunde contenido informativo. En estos años han trabajado con PYMES y empresas en el cuidado y prevención de hackeo de redes sociales, así como en concientizar a la población en el uso de los home banking y los riesgos de ingresar a una plataforma falsa, mecanismo que se ha acrecentado en los últimos años y que se volvió un dolor de cabeza para los bancos.

A pesar de los esfuerzos, de acuerdo a los datos difundidos por el CERTuy, en 2024 esa dependencia atendió 14.264 incidentes de seguridad de la información, cifra que triplica a las del año anterior. El informe atribuye este avance al ”incremento natural y exponencial de los incidentes a nivel mundial, la implementación de nuevas metodologías de detección, la incorporación de nuevos casos de uso en el análisis de amenazas y el fortalecimiento de los sistemas de monitoreo en los organismos del Estado”.

Casi 45% de estos casos fueron intrusiones con el objetivo de recolectar información; no obstante, solamente 0,48% corresponde a la categoría de “severidad alta” o “muy alta”. La tercera parte de estos casos, unos 5047, ocurrieron en el último bimestre del año.

.