1/5:  20081010 600x441 ()

2/5:  20081010 600x452 ()

3/5:  20081010 600x350 ()

4/5:  20081010 600x502 ()

5/5:  20081010 384x400 ()

FABIÁN MURO

La rama uruguaya de internet, esa que se conoce como el dominio ".com.uy", estuvo a unos escasos comandos de quedar desconectada del mundo.

El sitio web de Presidencia de la República estuvo fuera de línea y fue invadido por hackers en Estados Unidos -camuflados, como si estuvieran actuando desde Uruguay- que publicaron en esa página datos falsos acerca de las negociaciones comerciales del país, que fueron recogidos por medios de prensa en Estados Unidos.

Y un avión que partió del aeropuerto de Carrasco fue amenazado durante el vuelo por alguien con consistentes conocimientos acerca de la nave y sus instrumentos de navegación. El hacker, que operaba desde otro país latinoamericano, fue capturado gracias al servicio de inteligencia uruguayo, y se comprobó que el avión nunca corrió peligro de ser derribado.

Todos estos incidentes -interrupción de servicios esenciales, desinformación y riesgo de atentado- fueron confirmados por distintas fuentes, que exigieron anonimato para colaborar con este informe.

Los incidentes dan cuenta de los potenciales peligros que encierran los sistemas informáticos conectados en red, y la importancia de contar con mecanismos de protección contra sabotajes, intrusiones y chantajes. "Se acabaron las épocas en la que los que se metían en las redes ajenas lo hacían por el desafío intelectual que eso significaba. Hoy, los delincuentes informáticos tienen metas más ofensivas, como dinero o poder", dice el subcomisario Gabriel Lima, jefe de la división de Delitos Informáticos de la Jefatura de Policía de Montevideo.

La información guardada en discos duros y servidores es cada vez más importante. De la integridad de los datos almacenados digitalmente dependen muchas de las más importantes funciones y servicios de un país, ya sean de dominio público o privado. Jubilaciones, historias clínicas, bases de datos con clientes y cuentas bancarias, todo puede ser atacado desde internet.

Como la red no conoce de límites territoriales, los ataques pueden provenir de cualquier país. Y Uruguay puede ser un blanco para los que se mueven en las zonas oscuras de la red de redes.

"A menudo se subestima el peligro de un ataque informático a Uruguay. Se piensa que como somos un país tan chico, somos poco `atractivos` como blanco. Pero justamente el tamaño puede ser un factor que aumente el riesgo. Si se quiere atacar a una importante empresa multinacional, es probable que sea más fácil entrar a la red de esa empresa a través de una filial que tirarse directamente contra las estructuras informáticas de la casa matriz", dice Gabriel Fernández, especialista de seguridad de la información de la empresa UNIT.

Otro informante, el analista y programador Dalton Martínez, aportó esta reflexión: "Hay aplicaciones críticas como la base de datos de trazabilidad vacuna del Ministerio de Ganadería, Agricultura y Pesca (... Si llegaran a hackear el sitio del ministerio, aún cuando no entren a esa base de datos, eso afectaría seriamente la credibilidad de nuestro país". La trazabilidad vacuna es el nombre que se le da a la acumulación de todos los datos a lo largo de la vida del animal, desde que nace hasta que es faenado.

Un repaso superficial de la infraestructura informática nacional corrobora los riesgos: más de la mitad de los uruguayos tienen un contacto habitual con internet, de acuerdo a un estudio, Perfil del Internauta Uruguayo, publicado hace dos años por la empresa consultora y de opinión pública Radar.

No hay organismo público de relevancia que no realice la mayor parte de sus operaciones por vía electrónica. En el sector privado, tampoco hay muchas empresas que no dependan de una conexión de banda ancha. Y aproximadamente 100.000 niños cuentan o contarán con su laptop personal, como parte del Plan Ceibal, una de las más promocionadas, y elogiadas, iniciativas oficialistas.

Tanta conexión y dependencia de servicios on-line tiene una contracara: la vulnerabilidad. "¿Qué pasaría, por ejemplo, si las computadoras del Plan Ceibal fuesen infectadas intencionalmente por un virus?", pregunta el ingeniero y experto en seguridad Eduardo Carozo, director del CSIRT ( sigla en inglés que se traduce como "Equipo de respuesta a incidentes informáticos"), el único organismo de su especie en Uruguay. "¿Cuánto tiempo llevaría reparar 100.000 computadoras? Y sobre todo: ¿cómo quedaría la imagen del gobierno si ello llegara a ocurrir?".

Desde la oficina de Carozo en la Torre de Telecomunicaciones en uno de los pisos más altos se tiene una amplia y -en días claros- espléndida vista. Pero el ingeniero rara vez puede apreciar el paisaje. Su mirada está casi siempre sobre los cuatro monitores que ocupan gran parte de sus dos escritorios. "Tenemos tres o cuatro incidentes pequeños por día", cuenta. "Por lo general se trata de `phishing`, que es cuando un correo electrónico que parece creíble y confiable le pide datos al usuario, como la contraseña de una cuenta bancaria, por ejemplo. Hay muchos usuarios que entran en esa, por inexperiencia, y luego ven cómo desaparecen sus ahorros. Eso se denuncia acá".

Pero a Carozo no le preocupan tanto los incidentes de "phishing" de unos pocos usuarios. "Puede pasarle a uno o dos, pero si le pasa a muchos es que pusieron en jaque a la seguridad del propio banco". Los ataques institucionales son los que demandan los mayores esfuerzos del equipo que dirige. "Hemos tenido incidentes graves vinculados a fraudes, corrupción, robos, de todo".

Aunque la mayoría de los delincuentes informáticos dejan huellas que llevan a su captura, algunos se escapan: "Hay uno que lo tengo acá", dice Carozo y se señala el cuello, como si se estuviera atragantando.

En la división de Delitos Informáticos, Lima y su equipo también tienen algunos viejos conocidos, adversarios virtuales que cuentan con los medios y los conocimientos requeridos para desafiar a la policía digital. Lima y uno de sus colaboradores intercambian miradas y comentarios en clave acerca de algunos de ellos, y queda claro que en algunos casos se trata de enfrentamientos que llevan mucho tiempo.

La sección que dirige Lima, integrada por policías con extensa formación técnica, siempre está ocupada. "Actualmente, estamos investigando 14 casos, algunos de ellos bastante graves. Creo que en la mayoría de ellos vamos a llegar a procesamientos", dice el policía.

Tanto el subcomisario como su colega también están a la expectativa de lo que puedan hacer dos hackers que en el momento de la entrevista estaban en el país: "Sabemos, gracias a nuestros contactos en Argentina, que vinieron a Uruguay dos tipos muy capacitados para ataques. Tenemos indicios de que lograron entrar a la base de datos del sistema judicial argentino. En Uruguay, aún no han hecho nada y tal vez no lo hagan. Tal vez vinieron a ver propiedades en Punta del Este. O puede ser que estén esperando una oportunidad".

CRÍTICO. La seguridad de los sistemas de computadoras como parte de un concepto mayor, la seguridad de la información, es cada vez más importante para los intereses estratégicos del país. Sin embargo, aún quedan muchos a los que les cuesta convencerse de lo vital que es protegerse.

"Esto es algo que principalmente lo entienden los involucrados en el manejo de la información. O sea aquellos que se encuentran en un nivel intermedio y técnico de las jerarquías públicas y las gerencias de empresas privadas. Sin embargo, cuanto más alto se llega en las jerarquías, menos se entiende. Cuando les planteo el tema de la seguridad, se agarran la cabeza como diciendo `Esto me va a costar mucho`. Todavía no se comprende que la seguridad es una inversión y no un gasto", dice otra de las fuentes consultadas, que prefiere realizar esa declaración en reserva y bajo la premisa del anonimato.

La poca conciencia acerca de la relevancia de proteger datos de intrusiones y ataques es algo que todos los entrevistados repiten. Y eso que no hay escasez de antecedentes. Uruguay tiene en su historia una catástrofe informática que debería haber inspirado medidas decididas y radicales: el incendio en el Palacio de la Luz, que ocurrió hace 15 años. "Además de la pérdida de vidas, ¿qué fue lo que se quemó ahí? El centro de cómputos. Se produjo una destrucción total. Fue el desastre informático más grande en Uruguay", relata el ingeniero Roberto Clark, director de la empresa Compuseguridad. No pasó nada. Un año antes, el directorio de UTE había contratado los servicios de, precisamente, Compuseguridad, que se dedica al resguardo externo de los respaldos de información de empresas y organismos públicos.

Clark reconoce que tuvo entre sus clientes a UTE, pero nada más. La confidencialidad es clave para el servicio. Todos los días se recogen los respaldos informativos de empresas y organismos públicos y los llevan a una bóveda de seguridad, ubicada en algún lugar de Montevideo que no se revela. "Pese al caso del incendio, y otros que han tenido difusión pública, en Uruguay hay muchas empresas que aún no son concientes de los riesgos y de lo valioso que es su centro de cómputos y sus bases de datos".

Aunque algunos incidentes informáticos se hagan públicos, muchos de ellos son contenidos dentro de la empresa o institución, por temor a la pérdida de prestigio y la alarma que pueda generar que ciertos hechos se conozcan.

En el caso de las empresas, sobre todos aquellas que operan en el mercado financiero, ese temor es directamente proporcional a la eventual pérdida de dinero si llega a conocerse una brecha en el sistema de seguridad. "Si uno se entera que en tal o cual banco hubo un vaciamiento de cuenta, ¿deja su dinero ahí?", pregunta retóricamente el subcomisario Lima.

Pero no solo las compañías intentan contener potenciales fugas de información. Otras fuentes policiales mencionan, siempre pidiendo no ser citadas, que los sistemas informáticos de varios organismos de la administración pública han sido atacados por delincuentes informáticos, como el propio Ministerio del Interior.

Uno de los principales problemas que plantea el mundo electrónico es la estructura que conecta computadoras y servidores entre sí. "Solo una red completamente cerrada, que está off-line, es segura. Si hay una apertura, hay riesgos de seguridad", explican varios de los entrevistados.

Como actualmente es imposible prescindir de las redes que sostienen el trasiego de datos de una parte del mundo a otra, hay que invertir dinero y capacitación de recursos humanos en la protección de discos duros y servidores, tanto en tecnología como en recursos humanos. "Adherir a una aceptada política de protección de la información es cada vez más importante. Si no se hace, una de las consecuencias es que se hará cada vez más difícil para empresas uruguayas hacer negocios en el contexto internacional, ya que cada vez más organizaciones exigen que la contraparte tenga una gestión de seguridad comprobada", comenta Fernández, experto en seguridad de UNIT.

Como ejemplo de las carencias que tiene el país en ese sentido, Fernández menciona que hay una única empresa privada en Uruguay, la multinacional Ricoh, que está certificada con las normas 27001 y 27002, elaboradas por ISO y homologadas por UNIT.

En el sector público, en tanto, aún no hay ninguna certificación similar, aunque el Banco Central adhiere al sistema COIT, similar a las normas promovidas por ISO. Sin embargo, tanto Antel como UTE han avanzado en la implementación de normas y protocolos de seguridad informática. El ente de las telecomunicaciones es el que más lejos ha llegado, con la creación y el funcionamiento del CSIRT dirigido por Carozo. "UTE y BPS tienen incipientes equipos de seguridad. Y pará de contar", dice Carozo.

El docente de la Facultad de Ingeniería, Gustavo Betarte, también es el director del Grupo de Seguridad Informática, que fundó hace dos años y cuyo primer trabajo fue la elaboración de un curso, Fundamentos de la Seguridad Informática, que actualmente forma parte de la carrera de ingeniería. Para Betarte, puede que haya un poco de moda en torno al tema, pero eso responde a razones concretas: "Ha habido una explosión de incidentes de seguridad en lo que va de este siglo. El incremento ha sido muy grande del 2000 a esta parte, un recrudecimiento brutal".

Betarte es conciente de los riesgos, y de la necesidad de crear conciencia: "En este tema, hay que ser alarmista, pero con mesura. Potencialmente, la vulnerabilidad en Uruguay es enorme. Pero también en el resto del mundo es así. Tenemos que tomar medidas porque en los dos últimos años la curva de incidentes informáticos en Uruguay ha crecido mucho".

De acuerdo a Betarte, para dar una respuesta precisa acerca de la vulnerabilidad de nuestras infraestructuras tecnológicas habría que hacer un relevamiento serio de la infraestructura informática, algo que no se ha hecho aún.

La gran masa de usuarios, aquellos que carecen de un posgrado en ingenería informática y hacen uso de internet para los fines más elementales, es la más expuesta agrega el docente: "A nivel doméstico, somos totalmente vulnerables. La gran mayoría de los usuarios con conexión a internet no cuenta con las herramientas necesarias para protegerse. En la mayoría de los casos, el antivirus y el firewall no son suficientes como medidas preventivas".

El ingeniero Santiago Paz, de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (Agesic), indica que hay que tener el software con actualizaciones automáticas y en línea, antivirus actualizado, no utilizar software pirata, no abrir correos que llegan sin haber sido solicitados con archivos adjuntos, y no seguir vínculos desconocidos que llegan a través de los programas de mensajería instantánea.

Uno de los tantos riesgos que corren gran parte de los navegantes comunes es que sus computadoras sean usadas para ataques sin que lo sepan. "Así se llevan a cabo muchos ataques bot-net (por robot-net, red de robots)", explica Carozo. "El delincuente informático entra a una PC cualquiera y planta un virus, que puede dormir durante meses. Así va acumulando computadoras. Cuantas más tiene, más poder. En un momento dado, puede sincronizarlas para que todas manden pedidos de acceso a un sitio web, que colapsa por la cantidad de solicitudes de acceso. Hemos constatado ataques que involucran cientos de miles de PCs", cuenta el ingeniero.

En Delitos Informáticos, las cosas se expresan de manera más contundentes: "Los usuarios están regalados". u

"En la evaluación que hace el servicio de inteligencia neocelandés, el principal riesgo informático es un ataque de otro país. Luego viene el crimen organizado y en tercer lugar los hackers", comenta Eduardo Carozo, del equipo de respuesta a incidentes informáticos (CSIRT, en inglés) de Antel. Ese balance seguramente se refuerce luego del conflicto en Georgia. El 13 de setiembre, Qué Pasa publicó que semanas antes de la invasión militar, el ciberataque ya se había lanzado. "Virus rusos se apoderaron de miles de computadoras alrededor del mundo, dirigiéndolas a bloquear sitios web georgianos, incluyendo las páginas de presidencia, parlamento, cancillería, agencias de noticias y bancos". Ese no fue el primer asalto cibernético ruso. En abril del año pasado, todos los servicios de internet de Estonia fueron interrumpidos durante 21 días. "Me tocó participar en las discusiones sobre el nuevo proyecto de ley de Defensa Nacional. Con todo respeto, noté que entre los militares predominaba el temor a la invasión territorial y no tanto a los ataques informáticos. ¿Pero qué es más peligroso? ¿Que nos ocupen una parte del territorio o saquen de línea a una empresa privada de relevancia internacional como Artech? ¿Cuál sería la repercusión de un ataque así?". El Ministerio de Defensa fue consultado para este informe repetidas veces, pero no respondió.

Coloquio para expertos

Una de las medidas más importantes del gobierno, mediante la agencia Agesic, será la creación del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy) para prevenir y responder a incidentes que resulten críticos para el Estado, que comenzará a funcionar en diciembre. Un mes antes, del 17 al 20, se realizará el coloquio FIRST auspiciado por Antel, donde expertos de todo el mundo intercambiarán experiencias sobre seguridad y vulnerabilidad informática.

Recomendaciones

Así como internet da cobijo a delincuentes informáticos, también fomenta espacios para el intercambio de información sobre cómo protegerse. El programador Dalton Martínez recomienda agregar a los Favoritos del navegador los sitios Seguridad Informática (https://seguinfo.wordpress.com), Seguridad en América (www.seguridadenamerica.com.mx) y Noticias de Seguridad Informática (https://blog.segu-info.com.ar).

Agesic

"Lo primero que se debe entender que este es un problema y que hay que enfrentarlo", dice por correo electrónico Santiago Paz de la agencia gubernamental Agesic. Paz enumera las iniciativas del gobierno en esta materia. "En el plano normativo y legal se desarrolló la ley de protección de datos, se está trabajando con la ley de documentos y firma digital, y está en la agenda leyes para regular el comercio electrónico, anti-spam y delito informático". Legislación actualizada es algo que reclaman varios de los actores involucrados en este tema. "En las reuniones periódicas que mantenemos con el Instituto de Derecho Informático, hemos planteado la necesidad de legislar la actividad de los cibercafés, que por el momento son tierra de nadie", dice Gabriel Lima de la división Delitos Informáticos. "Lo primero que debe hacerse en ese sentido es implementar un sistema de registro de los usuarios. Cuando investigamos delitos que se cometen desde los cibercafés -amenazas, extorsiones, pornografía infantil- dependemos de la buena voluntad de los propietarios de los servidores".