En los primeros seis meses de 2015 hubo 378 ataques informáticos que fueron atendidos por el Centro de Respuestas de Seguridad Informática (CERTuy). Casi en su totalidad contra oficinas del Estado y bancos. En todo el año pasado hubo 499 incidentes de este tipo.
CERTuy, la oficina que depende de la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic), que a su vez responde a la Presidencia de la República, clasifica los incidentes por nivel de severidad y advierte que el 1% de estos representaron una peligrosidad "muy alta" y el 7% "alta".
"Los incidentes graves muchas veces suceden cuando un hacker logra acceder de manera completa a un sistema", explicó a El País el director de CERTuy, Santiago Paz. Por otro lado, señaló que el protocolo establece que no se hace público cuáles son las instituciones que son víctimas de ataques.
"Voy a hacer una equivalencia con la computadora de cualquier persona", ejemplifica Paz. "Alguien entra a su máquina y puede ver si tiene fotos o algún documento, pero también puede empezar a rastrear si no hay contraseñas de tarjetas de un banco o de crédito. Si hay un correo abierto también puede entrar a él para buscar información. Y así va rastreando. Esto mismo, a mayor escala, pasó en una institución que no puedo decir cuál es. Este es considerado un incidente muy grave".
La mayoría de los ataques, el 36%, tienen que ver con una técnica denominada Phishing, y que consiste en engañar a los usuarios para que sean ellos mismos los que revelan los datos. Una práctica común es mandar un correo electrónico que supuestamente es de un banco de plaza, en el que se expresa que por disposiciones internas es necesario cambiar la contraseña. El usuario hace click en un link que supuestamente lo lleva a la web del banco, pero en realidad entra a una página clonada. Una vez que coloca su clave bancaria, esta queda en manos de los hackers.
Otra práctica, cuenta Paz, es recibir un supuesto mail de un familiar que dice estar en el extranjero, cuenta un problema (que lo robaron, que perdió la plata, lo que sea) e insta a la persona a que le haga un giro de dinero. Cuando estos ataques son masivos, es decir que muchos funcionarios los reciben, o involucran a algún banco, es que actúa CERTuy.
Según sostiene Paz, tardan sólo 10 minutos en identificar un ataque a una de las webs de las oficinas del Estado (aquellas cuyo dominio es .gub.uy). Pero esto es sólo para visualizar el problema, solucionarlo puede llevar mucho más, "un día, una semana o incluso más tiempo".
Si no puede ver la gráfica haga click aquí
En los últimos meses CERTuy capacitó a 1.500 funcionarios para evitar que sean víctimas de ataques en las computadoras de las oficinas públicas. Empezó por Presidencia, y luego en cada ministerio se nombró un responsable de seguridad de la información y un comité que tiene como objetivo llevar adelante capacitaciones. A su vez, miembros de CERTuy han recibido cursos de parte del Servicio Secreto de Estados Unidos y de la Organización de Estados Americanos (OEA).
Si no puede ver la gráfica haga click aquí
Cambios.
Un blindaje para el país con leyes con fuertes sanciones, un presupuesto adecuado para prevenir el ciberterrorismo y la seguridad internacional, forman parte de las recomendaciones que la Unión Interparlamentaria Mundial (UIP) hizo a Uruguay y al resto de sus miembros este año, debido a la amenaza que constituye el avance tecnológico.
El tema llegó a formar parte de la agenda de la UIP, fundada en 1889 y con sede en Ginebra, Suiza, por una inquietud y posterior planteo que hiciera el diputado frenteamplista José Carlos Mahía en 2013, y que cristalizó este año con un documento que establece una serie de recomendaciones para evitar que Uruguay sea vulnerado.
Según la ley que crea un Sistema Nacional de Inteligencia (SIN) estatal, que está analizando una comisión bicameral, quien fijará la estrategia para prevenir los ciberataques será el Poder Ejecutivo. Por ejemplo, el jefe de inteligencia del Estado, cuyo cargo hoy está vacante desde el fin del gobierno del hoy senador José Mujica, tiene la tarea de recomendar al gobierno la implementación de medidas en aeropuertos, sistema portuario, el Poder Legislativo y organismos estratégicos como Ancap, UTE, OSE y el sistema bancario oficial.
Fuentes de la comunidad de inteligencia confiaron a El País que en el gobierno se han tomado ya medidas, como el envío de personal al exterior para entrenarse en situaciones de este tipo. La resolución de la UIP se adoptó en su última reunión, en Hanoi (Vietnam), el 1° de abril de este año, concretando la iniciativa presentada por Mahía en representación de Uruguay.
En el documento, al que accedió El País, se establece que el Parlamento debe blindar a Uruguay con un marco normativo apropiado para evitar los ciberataques y con "fuertes sanciones" para estas operaciones, "adaptando mejor las leyes a las nuevas amenazas en materia de criminalidad, terrorismo y guerra susceptibles de derivarse de la naturaleza evolutiva del ciberespacio". Y se reconoce que "la ciberguerra, la paz y la seguridad internacionales no son comúnmente comprendidas" por la población civil.
Otro elemento relevante es que la UIP alienta al Parlamento a "un control escrupuloso de las finanzas públicas para asegurar que suficientes recursos sean asignados para la ciberseguridad". También le pide que colabore con el Poder Ejecutivo "en la elaboración de una estrategia de ciberseguridad que englobe la ciberdefensa y la lucha contra el ciberterrorismo".
Se afirma que "los riesgos para la paz y la seguridad internacionales han aumentado con el desarrollo y la difusión de técnicas y herramientas maliciosas sofisticadas por actores estatales y no estatales".
La UIP se opone a que "los Estados se sirvan del ciberespacio para aplicar medidas económicas, restrictivas o discriminatorias contra otros países". Plantea también la conveniencia de una conferencia mundial sobre Internet para evitar que la red de redes "sea utilizada por terroristas u organizaciones terroristas para actividades ilegales, recaudar fondos, reclutar miembros o difundir el odio y la violencia". Además, la organización pide que haya "equilibrio" entre el control del ciberespacio en cada país para fines de seguridad y "el respeto de la vida privada, de los secretos de Estado, de la propiedad intelectual", entre otros.
Hackers desconciertan al ocultar el lugar desde donde operan.
Consultado sobre el lugar de origen de los ataques cibernéticos que reciben las oficinas del Estado y los bancos con sede en Uruguay, el director de CERTuy, Santiago Paz, reconoció que "es muy difícil saberlo" ya que "es muy simple ocultar el origen".
"Uno mira la dirección de IP (clave que identifican a las máquinas que están en red) y puede decir: este ataque viene de Rumania o este otro viene de China. De hecho las direcciones de IP de los ataques que nosotros atendemos dicen que vienen de esos lados. Pero eso no quiere decir que el atacante esté en ese país. Si yo tengo acceso al servidor de otro país, puedo hacer como que el ataque viene de ese país y no desde Uruguay. Nosotros no tenemos herramientas para hacer el rastreo, eso queda en manos de la Policía", explicó.
Paz señaló que una de las grandes dificultades para llevar adelante la investigación es "el tema de las jurisdicciones". Si la dirección de IP dice que el ataque vino de Rumania, Uruguay deberá pedir un permiso a ese país para analizar el servidor desde donde se generó.
Llevar al mínimo la cantidad de ataques informáticos es una prioridad para el presidente Tabaré Vázquez, que busca hacer crecer el denominado gobierno electrónico, en el sentido de que cada vez más trámites se puedan hacer a través de Internet.
CINCO TIPOS DE DELITOS.
1 - Phishing: robo de claves.
La víctima recibe un correo electrónico de, por ejemplo, su banco. Le piden entrar a una web para confirmar su clave. El usuario entra a la página que es idéntica a la de la institución bancaria, hace lo que le piden, pero al poner la clave ésta le es robada por el hacker. Es el ataque más común en Uruguay.
2 - Malware: envío de virus.
Consiste en el envío de un virus, con el objetivo de infiltrarse en la computadora de la víctima o generar un daño en el sistema. El 12% de los ataques que atendió CERTuy en el primer semestre de este año fueron catalogados Malware. Se combaten a través de antivirus en las computadoras.
3 - Defacement: cambiar el sitio.
Es cuando se desfigura un sitio web, cambiando, por ejemplo, su contenido de portada o los perfiles de los usuarios. El año pasado se hicieron cursos a funcionarios para saber qué hacer en caso de que se dé una situación de estas características. El 4% de los ataques recibidos en el primer semestre fueron de este tipo.
4 - C. de sistemas: lo que no se debe.
El incidente conocido como "Compromiso de sistemas, es el que se sucede cuando alguna información que no debería hacerse pública es filtrada y aparece publicada en alguna página web. Que lo oculto salga a la luz, es algo que suele pasar por descuidos humanos o errores de programación.
5 - Otros: ejemplo, "difamación".
Entre los casos que CERTuy califica como "otros", el 13%, están los delitos de difamación. Esto sucede, por ejemplo, cuando en redes sociales se crean cuentas falsas de políticos. Al principio los atacantes escriben mensajes que parecen verdaderos para ganarse la confianza de los usuarios.
Alerta por robo de claves de tarjetas e ingreso de hackers a oficinas públicasC. TAPIA / D. ISGLEAS
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
de modo que se deslice hacia la izquierda.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
. Se pondrá en gris, lo que indica que ya no se bloquearán los anuncios de ese sitio web.
.