¿Cómo proteger nuestros datos, cuentas bancarias, familias y negocios de las crecientes amenazas digitales? Muchos nos hacemos estas preguntas, en un mundo cada vez más globalizado y vulnerable, del que Uruguay no escapa.
Un ejecutivo de una empresa multinacional recibe en la filial de Hong Kong un mensaje del director financiero, su jefe, diciéndole que necesitaba que hiciera una transacción de US$ 25 millones a distintas cuentas. El jerarca, que se encuentra en la casa central de la compañía en Londres, le indica que en breve le llegará un link para que pueda unirse a una videoconferencia en la que se le explicarán los detalles de la operativa. Así sucede y el ejecutivo ingresa a un Zoom con su jefe y otros directivos, a quienes reconoce tanto por su imagen como por su voz. Hace lo que le piden y el dinero se esfuma hacia cuentas de ciberdelincuentes, que utilizan Inteligencia Artificial para concretar la maniobra. Increíble; parece ciencia ficción. Pero ocurrió en la vida real, hace poco más de un mes.
La anécdota la contó el hacker profesional César Cerrudo la semana pasada en un seminario sobre “ciberseguridad y conciencia digital”, realizado en la Torre de las Telecomunicaciones de Antel con el apoyo de la firma Netgate, el Banco República (que ha tenido varios problemas de ciberestafas a sus clientes) y el Ministerio de Industria. El argentino ha sido hacker profesional por más de 20 años y es asesor de ciberseguridad de empresas, instituciones y gobiernos, habiendo logrado fama mundial tras hackear hace 10 años los semáforos de Nueva York.
El experto presentó su libro Guía de seguridad de un hacker, cuyos derechos cedió sin costo a Antel, en el que incorporó la realidad uruguaya, no muy diferente a la del resto del mundo por tratarse de un país con alta conectividad digital. La oportunidad fue propicia para conocer las preocupaciones y políticas del gobierno en materia de ciberseguridad. Y las herramientas que los uruguayos tienen para defenderse y denunciar el ciberdelito.
“En el sector público, el Estado es cada vez más digital, aunque muchas veces no nos demos cuenta de ello”, destacó Hebert Paguas, director ejecutivo de la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic), una unidad ejecutora con autonomía técnica dependiente de Presidencia. “A modo de ejemplo, Uruguay fue uno de los pocos países en el mundo que manejó la pandemia con una herramienta digital. Desde el presidente hasta la última dosis que se dio, se manejó con una herramienta de transformación digital. Y creo que nadie se lo cuestionó, pero esto es transformación del Estado”, agregó.
Uruguayos cada vez más digitalizados
Paguas dijo que la última encuesta (2022) que la agencia hizo junto al Instituto Nacional de Estadística (INE) reveló que los hogares con Internet aumentaron del 88% al 91%. “El 90% de las personas mayores de 14 años utiliza Internet y el 83% de ese porcentaje lo hace a diario, principalmente para comunicarse y un 81% para entretenerse”, informó. Además, destacó que aumentaron las transacciones online y el teletrabajo con la pandemia.
Otra encuesta realizada por Agesic junto a Unicef (Kids Online) arrojó que nueve de cada 10 niños escolarizados se conectan a diario a Internet y declaran “conocer algo nuevo” cada vez que lo hacen. “Principalmente los niños, niñas y adolescentes lo que hacen es participar en redes sociales y también jugar. Por un lado, el Estado mejora en transformación digital y por el otro debe necesariamente mejorar en seguridad digital”, destacó el director ejecutivo de la Agesic.
La agencia tiene una Dirección de Seguridad de la Información, dentro de la cual se encuentra el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERT) y una oficina que se encarga de monitorear previamente los incidentes para que no pasen a eventos. Además, existe un Consejo Asesor de Seguridad de la Información integrado por públicos y privados. “Con los privados tenemos un relacionamiento excelente que viene de larga data, porque Uruguay es uno de los países que más exporta software per cápita en el mundo”, dijo.
Paguas explicó que con la última Rendición de Cuentas se creó un nuevo comité que integran, junto a la Agesic, varios ministerios (Defensa, Interior, Industria), Antel, UTE, Banco República, Banco Central y la Secretaría Nacional de Inteligencia Estratégica. Su objetivo es sentar en la misma mesa a las infraestructuras críticas y a los tomadores de decisión, que deben tener una mirada largoplacista en cuanto a la estrategia nacional de ciberseguridad. “Hay dos proyectos de decreto que se van a firmar antes de fin de año, con la estrategia nacional y con la reglamentación de los artículos de la Rendición de Cuentas. Además de crear este instrumento, se crea el Registro Nacional de Ciberincidentes, que ahora incluye a los privados. Y se da la potestad de amonestar a aquellos que no informen, más algunas otras disposiciones que estamos esperando, aunque los borradores ya están prontos”, comentó Paguas.
Agesic es una agencia de un tamaño considerable para Uruguay: tiene unos 700 trabajadores en distintas direcciones y departamentos y un presupuesto de US$ 45 millones, lo cual es más de lo que perciben algunos ministerios. Su trabajo se enfoca no solo en la evolución de la tecnología, sino también en la regulación global de la misma.
“Hay que prestar mucha atención a lo que hace la comunidad internacional. Como poder, puedo obligar a una empresa extranjera a que haga o deje de hacer determinada cosa en Uruguay. ¿Pero queremos hacer eso? En principio nos parece que no. Imaginemos que nos quedamos sin algún proveedor (con Spotify casi nos pasa)… Esta disyuntiva la tienen Uruguay, la Unión Europea y todos los países. La clave está en la mirada a la comunidad internacional. Entiendo que lo que puede llegar a ocurrir es que existan determinados estándares en los que Uruguay debe estar, como está por ejemplo en el de Protección de Datos. Pero estamos asistiendo a un crecimiento tecnológico exponencial. La Inteligencia Artificial empezó en 1956, pero el debate público arrancó en 2022”, destacó Paguas.
Según el funcionario, Uruguay se encuentra en el “top 3” de todos los rankings internacionales. “En Transformación Digital del Estado estamos primeros en Latinoamérica y el Caribe y terceros en las Américas por detrás de Estados Unidos y Canadá; estamos dentro de los 30 mejores del mundo. En Cybersecurity Index (una ranking de la Unión Internacional de Telecomunicaciones - ITU) estamos quintos. Y en Gobierno Abierto nos encontramos muy arriba, por eso Uruguay está participando de muchísimos foros”, remató.
Base de datos con 700.000 alumnos
La Administración Nacional de Educación Pública (Anep) es una organización con una dimensión muy importante dentro del Estado que maneja las fichas académicas de casi 700.000 alumnos, 92.000 vínculos funcionales, 3.000 locales y un presupuesto de US$ 2.600 millones. Esto la transforma en un objetivo apetecible para los hackers, por lo que el Consejo Directivo Central (Codicen) de la Anep tiene mucho interés en lo que tiene que ver con el ciberdelito y las herramientas para combatirlo.
Según el consejero de Codicen Juan Antonio Gabito, los ciberataques, en su multiplicidad de variantes, no solo pueden afectar las inversiones, el pago a los proveedores o la gestión de personal, sino también la asistencia y evaluación del aprendizaje de los estudiantes. “En otra época estaba todo en libretas o carnets. Y ahora está en soportes informáticos que incluso son compartidos. Nosotros trabajamos con una entidad ajena que es Ceibal, a la que siempre estamos muy agradecidos, pero existe esta realidad”, destacó Gabito.
El jerarca del Codicen dijo que si bien el primer motivo de interés es la protección de la información, existe un segundo no menos importante: el ciberacoso y el ciberbullying. “Es un problema de todos, por lo que todos tenemos que adquirir las herramientas que nos permitan enfrentarlo. La buena noticia es que en 2022 la Anep definió su nuevo marco curricular nacional. Y en ese marco pretendíamos que los estudiantes, además de aprender Historia, Geografía, Matemáticas, etcétera, aprendieran a enfrentar situaciones nuevas. Ahí se definen una serie de competencias, una de las cuales es la ciudadanía, que definimos como global, local y digital”, destacó.
Para Gabito, lo importante es que la “dimensión digital” se incorporó a través de todo el ciclo educativo, incluso desde la Educación Inicial, de acuerdo al nivel de desarrollo intelectual de cada alumno. “Estamos comprometidos con esto. Y en otros planos, cumpliendo con otro de los roles que tiene la Anep, la Dirección General de Educación Técnico Profesional lanzó el año pasado una tecnicatura de nivel terciario sobre Ciberseguridad, que se hace conjuntamente con la Facultad de Ingeniería de la Udelar, con Agesic y la Fundación Ricaldoni. Es una tecnicatura de tres años, o seis semestres, con la cual estamos muy esperanzados”, subrayó.
César Cerrudo advierte en la Guía de seguridad de un hacker que en la actualidad los viejos consejos de seguridad personal de padres a hijos para manejarse en la calle y con extraños siguen siendo necesarios, aunque ya no bastan para formar en la mente de un menor el sentido común que se requiere para enfrentar situaciones de potencial peligro.
Muchos de los males que en persona podrían ser amenazas tienen su paralelismo en el mundo digital. Por ejemplo, el consejo de “no hablar con extraños” se puede extender a las redes sociales y mensajería (aunque pueda parecer exagerado), el “no aceptar cosas de desconocidos” podría aplicarse a aceptar recibir archivos o enlaces a sitios web. De igual manera, la cotidiana advertencia de “cuidarse al ir por la calle” bien podría tener su analogía con la navegación en Internet, en donde es necesario cuidarse de los sitios que se visitan ya que algunos pueden ser peligrosos por tener contenido no apto para menores o programas dañinos.
Generar conciencia
La dependencia que hoy tenemos de Internet era impensable hace 15 años: en general utilizamos los teléfonos celulares desde que nos levantamos hasta que nos acostamos y dependemos de ellos para una infinidad de cosas. Incluso hasta los televisores, las heladeras, los lavarropas y los autos se conectan a la red.
“Estamos utilizando cada vez más tecnología, por lo que eso cada vez va a tener un impacto más grande en nuestra vida. Por eso es cada vez es más importante saber cómo vamos a proteger esa tecnología que utilizamos y cómo hacer un uso más seguro de la misma”, destacó Cerrudo.
El experto dijo que cualquier persona, en cualquier parte del mundo, puede ser cibercriminal. “Están altamente organizados, todos tienen estructuras jerárquicas, gente que se encarga de reclutar, de recaudar, de organizar ataques. Es como la mafia. Y no necesariamente son gente violenta, puede ser un chico de 15 años sin trabajo que está en Europa del Este”, anota.
Este “hacker bueno” destaca que los “malos” por lo general hacen el mínimo esfuerzo para obtener la máxima ganancia. Por eso, es más probable que sus objetivos sean las cuentas de bancos u organismos públicos antes que las multinacionales que permanentemente están invirtiendo en ciberseguridad. “Hay tantos millones de usuarios a los que robarles dinero o información que por lo general se enfocan en lo más fácil. Y como estos hackers son tan exitosos, van acumulando recursos que les permiten seguir creciendo en su organización”, destaca.
Cerrudo advierte que todas las tecnologías tienen problemas de seguridad y que los teléfonos celulares son muy fáciles de intervenir. “Me ha contactado gente que quedó expuesta por fotos o video íntimos y la verdad es que estas personas, muy avergonzadas, entran en un estado de desesperación”, anota.
En cuanto a las empresas, sostiene que los ciberataques, además de costarles mucho dinero, las exponen frente a la opinión o pública y les hacen perder reputación.
Cerrudo señala además que actualmente hay hackers que ofrecen sus servicios de ransomware (ver nota aparte) a cualquier persona que quiera seguir por el mismo camino criminal, y que las herramientas para hacer hackeos se encuentran fácilmente en la Dark Web y la Deep Web (los submundos del ciberespacio), donde pueden comprarse por un puñado de dólares.
Cómo denunciar un ciberataque
En Uruguay, como en la mayoría de las jurisdicciones de la región, la protección de datos personales es algo esencial. Esto está previsto en la Ley N° 18.331, que la reconoce como un derecho fundamental incluido en la Constitución y crea la Unidad Reguladora y de Control de Datos (URCDP), con la competencia de garantizar el cumplimiento de la normativa vigente en la materia.
Según Agustina Pérez Comenale, abogada y escribana experta en tecnologías digitales, la mayoría de las personas que han sufrido intentos de estafa por Internet no hacen las denuncias respectivas en instituciones judiciales (Policía o Fiscalía) ni en las propias plataformas.
“En Uruguay hay varias vías para denunciar. Una de ellas es la Unidad Reguladora y de Control de Datos de la Agesic, que es la que más trabajó en lo que tiene que ver con vulneración de datos. Además, los usuarios pueden hacer denuncias presenciales o a través de la web de la institución”, destacó la experta y docente de la Universidad de Montevideo.
“En el Ministerio del Interior y en Fiscalía hay unidades especializadas en cibercriminalidad, algunas son muy recientes y otras tienen ya unos años. Uruguay también fue invitado por el Consejo Europeo a formar parte del Convenio de Budapest, cuya gran importancia es que facilita la cooperación internacional y capacita a las instituciones”, concluyó Pérez Comenale.
Engaños y secuestros virtuales de datos
Los ciberataques más comunes que se ven diariamente son los engaños popularmente conocidos como phishing (término que proviene del inglés, de “pescar”).
Esto se ha denunciado mucho en Uruguay en los últimos tiempos: el usuario recibe un mensaje que puede llegarle por mail, WhatsApp o Instagram, en el que le solicitan datos personales con intenciones de acceder, por ejemplo, a su cuenta bancaria.
Luego está el malware, una abreviatura de “software malicioso”, que refiere a cualquier código o programa informático escrito de manera intencionada para dañar un sistema en línea o a sus usuarios.
Hay distintos tipos de malware. Los más comunes son el spyware, que se utiliza para espiar (buscando nombres de usuarios y contraseñas o números de tarjetas de crédito) y el ransomware, una suerte de “secuestro” virtual de archivos o dispositivos del usuario que son bloqueados y desbloqueados a cambio de un “rescate” económico.
Los hackers incluso llegan a analizar qué tipo de bases de datos tienen entre sus manos, si son de empresas que manejan o no mucho dinero, para ponerle así valor a la recompensa.
Los niños con teléfono celular y en las redes
En algún momento de la vida de los niños llega su primer teléfono celular, lo cual varía bastante entre países, ciudades, culturas y niveles socioeconómicos, pero ciertamente es un momento en el que los datos personales del menor comienzan a estar expuestos de forma más abierta. Al principio puede que los padres lo hagan para poder estar en contacto con los hijos, pero con el tiempo es probable que ellos comiencen a buscar su independencia, por lo que, según César Cerrudo, es importante identificar cuándo llega ese momento.
“Seguramente nuestros niños hayan usado previamente computadoras de escritorio, notebooks o tablets en su hogar y hasta consolas de videojuegos. Sin embargo, el teléfono celular es el primer dispositivo electrónico individual y privado que tendrán en su vida, ya que allí reunirán datos de otros, compartirán los propios, se conectarán a las redes sociales y a Internet y no siempre estarán supervisados por un mayor”, advierte el experto en ciberseguridad.
Y agrega: “En algún momento los chicos comenzarán a tener su propia dirección de e-mail, sus cuentas de redes sociales y otros perfiles personales que formarán parte de una identidad digital que los acompañará el resto de su vida. Esto hace que sea importante la configuración inicial de las cuentas y el software para evitar, por ejemplo, que personas desconocidas entren en contacto con ellos”.
En general, la edad mínima para registrarse en la mayoría de los sitios de Internet serios que ofrecen servicios está entre los 13 y los 14 años cuando se trata de redes sociales, y de 18 años para aquellos lugares en los que se maneja dinero o contenidos específicos para mayores. En Facebook, por ejemplo, no es posible dar de alta un perfil para menores de 13 años, excepto que se mienta con la edad. Pero hoy la creación de Mark Zuckerberg es una “red para viejos”. Y mentir en la edad es algo habitual, por lo que los niños pequeños terminan usando las redes y quedando expuestos a posibles peligros. O engañándose con estándares de belleza (en Instagram por ejemplo, donde los “filtros” todo lo pueden) a los que jamás alcanzarán y que los pueden llegar a deprimir, al punto incluso de llegar a atentar contra sus propias vidas.
Con respecto al bullying en su versión digital, Cerrudo dice que tiene como “daño colateral” que la publicación de contenidos en Internet hace que las pruebas visibles del acoso (fotografías íntimas por ejemplo) permanezcan en línea por tiempo indeterminado, incluso hasta más allá del momento en el que dejan de ser utilizadas para su fin original.
Existen varios motivos por los que el ciberbullying está tan difundido. “Uno de ellos es la sensación de anonimidad de Internet. Es decir: la facilidad de ocultar o falsear la identidad online ofrece una suerte de anonimato que aumenta la sensación de poder por parte del acosador”, destaca el experto, quien observa que la inmediatez dada por la velocidad de las comunicaciones produce formas de actuar más impulsivas.
De todos modos, sostiene que no hay que negarles a los menores el uso de Internet o de dispositivos digitales que podrán ser muy importantes en sus vidas, aunque -destaca- es fundamental supervisar qué hacen, para lo cual existen herramientas de control parental que permiten por ejemplo vedarles el acceso a determinados sitios web. Además, Cerrudo dice que es esencial regularles el tiempo que están frente a los dispositivos e Internet, y enseñarles sobre el uso prudente de los sistemas de mensajería instantánea y redes sociales.
Según el libro Guía de seguridad de un hacker, es muy importante para los padres detectar temprano los posibles casos de acoso que estén sufriendo sus hijos. Para eso, deben estar atentos a algunos síntomas que podrían permitir identificarlo, entre los que se encuentran los cambios físicos y emocionales: manifestaciones de dolencias frecuentes (dolores de cabeza o estómago), cambios de estado de ánimo, estados sostenidos de tristeza o apatía sin razón aparente, ansiedad inusual o comportamientos agresivos.
También los cambios en su interacción con otros y en su desempeño escolar: involucramiento en incidentes dentro de la escuela, menor capacidad de concentración o atención, falta de interés en temas de su preferencia, baja en el rendimiento estudiantil, pérdida de pertenencias y útiles, y lesiones físicas inusuales.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
de modo que se deslice hacia la izquierda.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
. Se pondrá en gris, lo que indica que ya no se bloquearán los anuncios de ese sitio web.
.