La denuncia de La Mañana que quedó “en la nube”

Sobre la tarde del 29 de noviembre de 2019 el sitio web del semanario La Mañana fue víctima de un ataque cibernético. El redactor responsable del medio realizó la denuncia correspondiente ante el Departamento de Delitos Informáticos de la Jefatura de Policía de Montevideo pero el caso quedó en una especie de “nube” judicial. A casi tres meses del episodio, todavía no se sabe a qué Fiscalía se le asignará la investigación de este incidente informático. Lo poco que se llegó a conocer es que ningún otro medio sufrió ataques de esa índole y por ende se entiende que fue una acción dirigida a la web del semanario.

Según fuentes judiciales consultadas por La Mañana, sucede que en los delitos tipo “hacker”, para poder recabar determinada prueba, al tratarse de evidencias que invaden la privacidad como averiguar una dirección IP, el fiscal necesita la autorización de un juez. Por dicho motivo estos casos resultan más trabajosos que otros y suelen ser postergados, ya que antes de pedir la orden del juez, la Fiscalía debe haber investigado y creado una carpeta con información preliminar.

El camino engorroso de las denuncias de ataques informáticos en Uruguay

La oficina que toma el caso es la Sección de Delitos Tecnológicos, unidad policial dependiente del Departamento de Delitos Informáticos, forma parte de la Dirección General de Lucha contra el Crimen Organizado e Interpol desde 2016. Según las características del hecho, la oficina de Delitos Tecnológicos deriva el caso a otras unidades de acción como la Dirección de Información Táctica, la Brigada Antidrogas, la Unidad de Delitos Financieros o a mismo a la Interpol.

Si el delito proviene de una red social, el problema es que los servidores de las grandes empresas de social media se encuentran en países del exterior y estas son bastante reacias a difundir los datos solicitados por la Policía o la Fiscalía local.

Cuando se logra identificar la dirección de IP involucrada, ese número es chequeado por el Centro Nacional de Respuesta a Incidentes de Seguridad Informática, unidad dependiente Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (Agesic).

Recién en ese momento los investigadores pueden solicitar una orden judicial para ser presentada ante la empresa prestadora del servicio de internet; para que esta brinde los datos de la dirección IP correspondiente a uno de sus clientes.

Los especialistas aseguran que cuando el atacante realiza la maniobra por intermedio de una cuenta falsa es muy difícil poder identificar al responsable. Si resulta que la conexión es privada, por ejemplo una vivienda, o si se trata de una red pública, como el wifi de universidad, la investigación también se cae.

Uruguay y el cibercrimen

En la Convención de Cibercriminalidad de Budapest, que no participó Uruguay, 56 países firmaron el primer tratado internacional contra delitos informáticos y de Internet, vigente desde julio de 2004. El documento prevé nueve delitos específicos que al día de hoy no tienen una pena estipulada en nuestro país asegura publicación de Ecos según una tesis doctoral de la Universidad Católica.

En octubre del año pasado el BID le realizó un préstamo de 8 millones de dólares en el marco del Programa de Fortalecimiento de la Ciberseguridad en Uruguay. Previamente, el organismo realizó un informe identificando los problemas que sufre nuestro país en esta materia. En primer lugar se detectó un “bajo nivel” de implementación de políticas de seguridad, lo que repercute en una mayor vulnerabilidad para eventuales ataques. Para el BID en nuestro país “no se detectan o se detectan en forma tardía” los incidentes informáticos que se producen y, por lo tanto, “no es posible responder en forma oportuna a los mismos y evitar que el ataque se propague y genere grandes daños.

Además remarcó que Uruguay no contaba con un monitoreo integral para el control de los sistemas, y por ende “existen limitadas capacidades de analizar las alertas”, ya que no hay un “mecanismo seguro y confidencial para compartir información con el sector privado relativo a ataques e incidentes informáticos”.