Nacional > Ministerio del Interior
Hackeo a Identificación Civil afectó datos de 84.000 pasaportes; autoridades desconocen alcance real del ataque
Un hackeo que afectó hace casi dos años a la Dirección Nacional de Identificación Civil (DNIC) comprometió los datos personales de 84.001 personas, aunque las autoridades desconocen hasta hoy la magnitud completa de ese ataque, cuyos primeros registros se produjeron más de un mes antes que el Ministerio del Interior pudiera descubrirlo.
El hecho había sido reconocido por la cartera mediante un comunicado público el 12 de febrero de 2021. Allí se indicaba que, el 8 de diciembre anterior, se había detectado un "incidente de ciberseguridad" que pudo contenerse. Pero los primeros registros del ataque datan del 29 de agosto de 2020, según lo señaló ahora el ministerio en la respuesta a un pedido de informes efectuado por la senadora frenteamplista Silvia Nane.
En ese informe, al que accedió El Observador, se explicó que los datos comprometidos están relacionados a la información contenida en los pasaportes electrónicos: incluye nombres, apellidos, fecha de emisión y vigencia, foto y firma olográfica junto a la rúbrica del funcionario que autorizó el documento.
El ministerio anexó un informe en el que el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy) sostuvo que se trató de una intrusión de una "severidad muy alta" y que "no fue posible" identificar el vector del ataque inicial, su origen ni las subsiguientes actividades relacionadas con este caso dentro de la base de registros personales la DNIC. Tampoco se pudo constatar ni descartar la extracción de datos fuera de la infraestructura de esa dirección, así como tampoco su alcance total. Lo que sí fue posible evidenciar es que el atacante contaba con "conocimientos avanzados de los sistemas internos, lo que le permitió acceder al servidor de esa base de datos, y descargar a una máquina local toda la información vinculada al sistema de pasaportes.
La dirección, según lo que afirma la cartera, hizo la comunicación correspondiente al centro en las 24 horas que siguieron a la detección del hackeo. Sin embargo, "no consta" que en esas 24 horas la repartición aplicara algún tipo de medidas de remediación. El ministerio señaló que, en cuanto se tomó conocimiento, el Área TIC de la cartera "desplegó medidas de bloqueo inmediatas", así como el corte del acceso a internet y el reseteo de las principales contraseñas. Interior además se presentó ante la Fiscalía General de la Nación, a fin de "instar" a una acción penal.
La senadora Nane había solicitado la información el 4 de marzo de 2021, días después de ocurrido el incidente. La respuesta de Interior llegó recién el pasado 10 de junio, luego de un nuevo pedido efectuado por la legisladora. En su respuesta, Interior admite que no cuenta con un centro especializado en ciberseguridad. Recientemente fue designado un "responsable" de Seguridad de la Información, que "está trabajando en protocolizar la identificación y el seguimiento de riesgos".
El caso derivó en un "análisis profundo" que culminó con recomendaciones a corto, mediano y plazo por parte de un equipo de trabajo, destinadas evitar la reiteración de este tipo de incidentes. Una de mas medidas fue publicar un llamado a una licitación pública internacional para así cambiar el sistema de enrolamiento, ya que el vigente contaba con lenguaje de 23 años. A su vez, se decidió la migración de la infraestructura de la dirección de su sala de datos al Datacenter de Antel en Pando.
Se estimó que sería necesaria una inversión de $ 15 millones para afrontar todas las adquisiciones para ejecutar las medidas de seguridad correspondientes.
La DNIC había iniciado el 7 de octubre de 2021 una auditoría a los efectos de tener una "primera devolución" sobre el "estado de madurez" de la institución y trabajar en eventuales mejoras. "Se está a la espera de la presentación de los resultados", dice el ministerio en su respuesta a Nane.
Falta de Urgencia
En un primer análisis a partir de la información recibida la senadora dijo a El Observador que, si bien se sabe que se afectó la información de pasaportes, no puede asegurarse que se no se hayan comprometido otros activos críticos de la Dirección Nacional de Identificación Civil. Tampoco que la información sustraída de esos pasaportes electrónicos no esté aún en poder de los que realizaron el ataque, por lo que no se puede establecer la magnitud del hecho. "Los atacantes estuvieron más de un mes sin ser detectados" sostuvo, al señalar además la "falta de sentido de urgencia" de las autoridades al no haber culminado aún la auditoría correspondiente.
