Uruguay sufrió 15 ciberataques de alta severidad durante 2016

Las instituciones públicas del Estado uruguayo, y algunos actores relevantes del sector privado, nunca recibieron tantos ciber ataques como en el correr de 2016. En total, el Centro de Respuesta a Incidentes de Seguridad Informática del Uruguay (CERT) contó 21 casos –seis de muy alta severidad y 15 de alta severidad- en los que un agente externo penetró una dependencia considerada como "infraestructura crítica" por brindar un servicio masivo e indispensable.

Esa veintena de casos de importancia extrema se enmarca en una realidad más amplia: 768 casos de "incidentes" de seguridad informática detectados por el CERT en 2016, lo cual implica un 33% de los incidentes atendidos por CERT en 2015. Sin embargo, esos números son apenas los casos que el Centro de Respuesta pudo detectar, pero no constituyen la totalidad de los casos, dijo a El Observador, Santiago Paz, director del área de Seguridad Informática de Agesic (agencia del gobierno electrónico). Por eso es que el gobierno proyecta para 2017 la creación de un Centro Nacional de Operaciones con el objetivo de mejorar la capacidad operativa en materia de ciber seguridad. Paz explicó que ese centro dará la posibilidad de hacer un análisis y monitoreo en tiempo real durante las 24 horas del día, los siete días de la semana. "Podremos ver el problema, detectarlo y trabajar sobre él en tiempo real", dijo el especialista. Esto se traduce, en los hechos, en una capacidad preventiva que hoy depende únicamente de las buenas prácticas de los usuarios. "Podremos bloquear antes de que ocurra un ciber ataque porque detectaremos sutilezas. Por ejemplo, si vemos que todos los meses en un determinado momento alguien intenta atacar la página de una institución, podremos actuar preventivamente sobre ello", dijo Paz.

El nivel de exposición y las amenazas son las dos variables que hay que medir cuando se pretende calcular el nivel de riesgo de cualquier entidad. Tan importante como vigilar las posibles áreas que hacen vulnerable a un Estado, es no invertir energía en amenazas que no existen, explicó Paz.

Países como Estados Unidos, Rusia o China reciben infinidades de ataques y por tanto requieren una alta capacidad operativa. "Dentro de unos años, para ellos será mucho peor y nosotros pasaremos a estar donde están ellos", comentó Paz. El CERT sabe con exactitud el nivel de tecnología de todas las dependencias del Estado y la potencial exposición que eso conlleva. Sin embargo, es constante la pregunta sobre posibles flancos descubiertos.

La mayoría de los ciber ataques que hoy se suceden en Uruguay son "randómicos" –no están definidos por una estrategia delimitada-, excepto de un tipo particular: aquellos que se focalizan en el sector bancario.

En una reciente reunión con el especialista israelí, Rami Efrati (ver página 3), Agesic logró reunir a todos los jefes de seguridad de los bancos en una misma mesa, lo cual sorprendió al experto. "Tenemos que trabajar en colaboración", dijo Paz, quien agregó que uno de los grandes desafíos es poder conformar un ecosistema de la ciber seguridad en Uruguay. "Debemos integrar nuestros esfuerzos con las diez o 20 empresas de ciber seguridad que operan en Uruguay", comentó.

Este fenómeno que acecha al país no es exclusivo de Uruguay, sino que se enmarca en una amenaza global que cada vez tiene un peso mayor. Pero lejos de encontrarlo adormecido, Uruguay se viene preparando para estos eventos desde hace más de una década.

Antes de la creación de Agesic en 2007 existían ocho grupos de componente académico. Uno de ellos estaba estrictamente dedicado al estudio de las cuestiones de ciber seguridad. "Desde que se empezó a considerar una estrategia intensa de desarrollo digital se tomó en cuenta la cuestión de la ciber seguridad", dijo Paz. Eso facilitó las cosas porque en este tema, como en tanto otros, es más difícil trabajar para atrás "emparchando" situaciones que no fueron bien resueltas.

Con la creación de Agesic se conformó un consejo asesor que reunía a representantes de distintas dependencias del Estado que discutió con un "enfoque abierto" dónde se debería poner el énfasis.

Esos primeros pasos institucionales no sólo prepararon al país para el futuro sino que además lo posicionaron a la vanguardia en Latinoamérica en este tema. "En su momento éramos muy innovadores, no había muchos países en la región trabajando en el tema", subrayó Paz. Eso llevó a que estados como Panamá, El Salvador, Colombia y Ecuador acudieran a la experiencia uruguaya para su desarrollo estratégico y contrataran especialistas uruguayos para volverse operativos.

Estudios del Banco Interamericano de Desarrollo (BID), de la Organización de Estados Americanos (OEA) y de la Universidad de Oxford en Reino Unido, que pretendían evaluar "el estado de madurez" de la ciber seguridad en Latinoamérica, pusieron a Brasil y Uruguay al tope de la región.

A pesar de este panorama positivo, quedan aún algunos desafíos. El primero es crear una "mayor sensibilización" en la ciudadanía. "Somos muy tecnológicos en Uruguay y hay un acceso masivo pero tenemos que crear una cultura de ciber seguridad", afirmó Paz. Agesic lanzó en noviembre del año pasado la campaña "Conectate seguro" que apunta a la construcción de esa toma de conciencia.

El segundo desafío que Paz marcó es que todos aquellos que opten por carreras vinculadas a la tecnología tengan un curso en cyberseguridad de manera obligatoria.