En base a la información pública disponible, es fácil detectar que las noticias de vulneraciones a los sistemas informáticos institucionales y empresariales del país han aumentado. Daniel Alano, experto en seguridad informática consultado por CRÓNICAS, señaló que la visibilidad de estos casos ha crecido, pero no necesariamente la cantidad de ataques. Además, hizo hincapié en la falta de concientización sobre la seguridad de los datos personales, y expresó que aún queda camino por recorrer en materia de legislación.
Los casos de público conocimiento en Uruguay en cuanto a ingresos no autorizados a bases de datos masivas son múltiples. En febrero del 2020 un estudiante de ingeniería hackeó el sistema de la Dirección Nacional de Identificación Civil (DNIC), y demostró que la información de todas las personas que sacaron la cédula en Uruguay a lo largo de la historia carecía de protección. En el mismo mes del año siguiente, la DNIC fue hackeada nuevamente, comprometiendo los datos personales de 84.001 personas.
En diciembre del 2022 se divulgaron seis millones de datos pertenecientes a alumnos de la Universidad de la República, días después de que ocurriera lo mismo con datos de menores de edad, tras el hackeo de cuentas de correo electrónico de funcionarios del Instituto del Niño y Adolescente del Uruguay (INAU). La situación escaló el año pasado: en mayo, los datos de 200.000 usuarios del servicio de emergencia médica del Casmu fueron filtrados y puestos a la venta. En octubre atacaron a la red Geocom, dejando miles de POS inhabilitados.
En noviembre la mutualista SMI sufrió un ataque que resultó en la exigencia de un rescate de US$ 75.000, y días después se sospechó de un hackeo a los correos electrónicos de legisladores. Finalmente, en diciembre, se dio el mediático caso del estudio jurídico Guyer & Regules, en el que se exigieron US$ 300.000. La situación no frenó en este 2024. En febrero, hackers divulgaron datos confidenciales de la Intendencia de Flores y, en marzo, el Correo Uruguayo advirtió a la población sobre el aumento de hackeos usando su nombre para estafar a usuarios.
¿Más casos o más mediatización?
Daniel Alano es hacker ético certificado y CISSP (Certified Information Systems Security Professional) en la empresa de soluciones tecnológicas Isbel. Se dedica a asesorar empresas que buscan mejorar su seguridad, detectando puntos de falla en sus sistemas mediante pruebas de penetración (hacking ético). A su entender, lo que está en auge es la visibilidad de los casos de ciberataque, pero es algo que “siempre se hizo”. Y así es, en 1989 se dio el primer ataque de ransomware (un tipo de software malicioso) documentado. El aumento de casos “es una característica natural y esperable” en relación a la amplificación de la tecnología en el mundo. La realidad es que “si alguien no lo dice, eso no pasó”. Estas cuestiones tienden a ser ocultadas porque su conocimiento público significa una pérdida de confianza por parte de los usuarios. Por esto es difícil dimensionar el número de ingresos no autorizados a los sistemas de organizaciones que poseen nuestros datos personales.
Más allá de los simples entusiastas o estudiosos en la materia, existen hackers interesados en que sus ataques generen controversia. Hay “hacktivistas” movidos por causas ambientales, otros motivados por razones políticas o religiosas, y otros que disfrutan de burlar los sistemas importantes sin generar daños, pero alardeando de sus hazañas. Por último, están los oportunistas que ven una ventana para un negocio que “compite con el narcotráfico”, mediante “phishing” y ciberestafas, según describió Alano. Todos estos tipos de hackers se dedican a buscar “vectores de ataque” en los sistemas. “El vector más fácil es siempre a través de un humano. La mejor manera de que yo entre a tu casa es que vos me invites. En ese segundo que no te fijaste el link, o en la advertencia del buscador de que no se trata de una página web segura, ahí es donde caés”, ejemplificó.
Estos oportunistas no suelen tener objetivos concretos, sino atacar “caiga quien caiga”. Para Alano, la información es un recurso muy valioso. “Es algo que cambia el estado del conocimiento, y el conocimiento es lo que usás para tomar decisiones. Las empresas manejan muchísima información y es lo que mantiene vivo a su negocio”, advirtió. El experto piensa que las sociedades tienen claro el concepto de propiedad privada en los bienes tangibles, pero carecen de conciencia en cuanto al valor de los datos personales. Las empresas suelen tener sus datos esparcidos por la nube y en datacenters y, a su vez, sus integrantes mueven montos de dinero de forma remota y acceden a las bases de datos desde diversas conexiones a internet, lo que aumenta la “superficie de ataque”. Su mejor consejo: cuidar de las contraseñas, sobre todo las del correo electrónico.
Legislación en Uruguay
Para Alano, “nunca se está lo suficientemente preparado” si hablamos de ciberseguridad. No obstante, reconoce que hay actores que “están trabajando mucho” en cuestiones como la tipificación legal del ciberdelito. Si hay algo en lo que “estamos lejos” no solo a nivel nacional sino regional, es en la obligación de las organizaciones a comunicar a la población los casos de filtración de datos.
En marzo del presente año Uruguay dio un paso adelante en la elaboración de una estrategia nacional de ciberseguridad. Se introdujeron cambios en la Rendición de Cuentas, incluyendo la formación de un comité compuesto por instituciones públicas y la ampliación del registro nacional de incidentes para incluir a actores privados.
La cuestión de la tipificación del ciberdelito sigue suspendida. En junio del 2023 se aprobó en Diputados un proyecto presentado por el representante de Cabildo Abierto, Sebastián Cal, que proponía nueve nuevos delitos relacionados con el ciberespacio y la creación de un registro de los infractores. Los delitos incluyen desde el abuso de dispositivos informáticos hasta el fraude informático y la interceptación ilícita. Adicionalmente, la hipotética implementación de este proyecto permitiría a Uruguay estar en condiciones de integrarse al Convenio de Budapest, firmado en la órbita del Consejo de Europa, del que se recibió invitación en el 2022. Dicho convenio está integrado por más de 60 países y es el único tratado legal que busca hacer frente al cibercrimen. Sin embargo, el proyecto continúa estancado en el Senado.