Durante una década, las advertencias estuvieron sobre la mesa. Pero no se tomaron en serio. Y esas omisiones podrían afectarte. Es que el ataque al Banco Hipotecario del Uruguay (BHU), con 700 GB de información robada, fue el resultado de años de omisiones y de una cultura que subestimó la ciberseguridad.
En esta nueva edición de Nueva Pestaña, te quiero contar por qué, hasta ahora, es el más grave en la historia del país.
Nueva pestaña N° 52
El grupo internacional ciberdelincuente llamado Crypto24 atacó al Banco Hipotecario mediante un ransomware: secuestran la información y exigen dinero a cambio para liberarla. Como eso no sucedió, los atacantes liberaron la información en la internet profunda.
El BHU nunca estuvo preparado para evitar un ataque de este tipo. Nunca le importó de verdad la seguridad informática.
Si le hubiera importado tendría que haber escuchado advertencias que el Banco Central le hizo ¡desde 2014!
Por dar un ejemplo: en 2020, la Superintendencia de Servicios Financieros del BCU hizo una “evaluación integral” del Hipotecario y, en 2021, se hizo una “actuación de seguimiento”.
En 2020, se “advirtió a la institución que se esperaba que tomara acciones para dar cumplimiento a los requerimientos en materia de seguridad de la información a efectos de evitar la eventual aplicación de futuras sanciones”. En 2021, cuando se hizo el seguimiento, “se constató que no surgieron avances significativos en la corrección de las debilidades, algunas de las cuales se arrastraban desde 2014”, según informó en su momento el diario El País.
¿Cuáles fueron los problemas específicos que le reportó el BCU al BHU? Fueron 11 puntos. Algunos de los más graves: se constató que “no se realiza el control y monitoreo de las actividades de los administradores de bases de datos”; “no se han implementado controles mínimos por parte del área de Seguridad de la Información en su rol de segunda línea de defensa, en cuanto a análisis de vulnerabilidades y fugas de información”; “el área responsable de la gestión de usuarios y roles no abarca la totalidad de los sistemas, existiendo sectores que administran directamente sus usuarios de manera autónoma”; y “el área de seguridad de la información no participa de la gestión y evaluación de los proveedores, a pesar de estar previsto en el Manual de Políticas de Seguridad de la Información que dicha área participe”.
Pero al Banco Hipotecario nunca le importó. La expresidenta del Banco Hipotecario, Casilda Echevarría, dijo en 2023:
- “Es muy importante expresar que de ningún modo está afectada la seguridad de nuestras cuentas o la protección de los datos personales de nuestros clientes, en absoluto”.
Por qué es el más grave
El experto en ciberseguridad de Birmingham CyberArms, que analizó la información filtrada, dijo que es “probablemente el ataque más grave de la historia del Uruguay al momento”. Y lo es “tanto por la naturaleza de los archivos filtrados, que son altamente sensibles, como por la cantidad (casi 1 TB de datos)”.
“No se veía un caso de ransomware de esta criticidad desde el ataque del grupo PLAYCrypt al Ministerio de Transporte y Obras Públicas en 2022”, dijo Eldritch.
“Es aún más grave si prestamos atención al filetree (un archivo en texto plano que funciona como ‘índice’ o ‘lista’ de los archivos filtrados), donde se pueden observar varios documentos que almacenarían claves en texto plano (una práctica absolutamente insegura, puesto que cualquiera que leyera el archivo tendría acceso a claves y cuentas con información sensible)”, agregó.
El experto condenó “la comunicación del banco”. “No fue transparente: se limitó a decir que no hubo afectación financiera, pero el mismo filetree indexa archivos que refieren a este tipo de datos (como cuotas, ejecuciones hipotecarias, contratos, pagos) e incluso a contenido más sensible, marcado como auditoría, actas de directorio/junta e incluso documentos marcados como secreto bancario”, dijo.
En términos prácticos, ¿qué puede hacerte un atacante con tanta información? Podría tener facilidades para suplantar la identidad del usuario o acceder a más datos personales mediante ingeniería social (por ejemplo, llamando o escribiendo haciéndose pasar por el banco); se podría identificar públicamente a clientes en situación de morosidad o litigio, afectando su reputación o privacidad.
Y lo que ya se sabe que pasó: pérdida de confianza en la capacidad del banco para resguardar su información y posibles demoras o dificultades en la atención.
¿Quién manda en seguridad en el BHU?
La institución avanza en el proceso para cubrir el cargo de jefe de ciberseguridad (CISO, por sus siglas en inglés), luego de que los llamados internos realizados quedaran desiertos.
Según confirmaron fuentes del organismo, ante la posibilidad de que esto ocurriera, el banco había gestionado en paralelo la autorización correspondiente ante la Oficina Nacional del Servicio Civil (ONSC) y la Oficina de Planeamiento y Presupuesto (OPP), trámite que fue solicitado en febrero de 2025.
La autorización fue aprobada la semana pasada, y ahora el Directorio del BHU tiene previsto considerar en su próxima sesión las bases para los llamados abiertos. Una vez aprobadas, se dará inicio al proceso de convocatoria externa para cubrir el puesto.
Por otra parte, según supo El Observador, había un responsable de ciberseguridad hasta 2023. Luego de que esa persona abandonó su función, el BHU abrió un concurso que todavía no culminó. Es decir, no hay un CISO (Chief Information Security Officer, en inglés), como se los conoce en la jerga de expertos en ciberseguridad al encargado de esta área.
Lo que queda claro de este incidente es que los ciudadanos tienen que aprender sobre ciberseguridad para protegerse. Pero quienes deben aprender más para protegerlos son los políticos. Y hasta ahora no han estado a la altura.
