Hace poco más de un mes, el ministro de Economía y Finanzas, Cr. Danilo Astori, suscribió un préstamo con el Banco Interamericano de Desarrollo (BID) por un monto de 8 millones de dólares, en el marco del Programa de Fortalecimiento de la Ciberseguridad en Uruguay. Este crédito está dirigido a apoyar el fortalecimiento de la capacidad de Uruguay de proteger su espacio digital con la mejora en la prevención, detección y respuesta de los ataques cibernéticos. Este es el primer crédito para ciberseguridad que aprueba el BID en su historia.
Según informó Presidencia, el programa tiene como objetivo mejorar las capacidades operativas del Centro Nacional de Respuestas a Incidentes de Seguridad Informática (CERT.uy), estimular e incorporar profesionales especializados ciberseguridad, fortalecer el ecosistema de conocimiento en la materia en entidades públicas, empresas y universidades públicas y privadas.
La ejecución de este programa durará cuatro años y se compondrá por varios proyectos. Los mismos estarán alineados con los objetivos estratégicos trazados en la Agenda Uruguay Digital 2020. Principalmente enfocado en la promoción y generación de “Confianza y seguridad en el uso de las tecnologías digitales”.
Muy digitalizado, pero poco seguro
Previo al préstamo que recibió la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic) por parte del BID, la entidad financiera emitió un documento en el que advertía sobre los riesgos de la seguridad informática en Uruguay, en base a un informe realizado en el año 2016.
Si bien destaca que nuestro país tuvo, en la última década, un amplio desarrollo del gobierno digital, en lo que respecta a trámites, comunicación y servicios del Estado, según el BID esa modernización no se vio reflejada en una mayor seguridad de los procesos de información, si no todo lo contrario. El nuevo escenario representa una “mayor vulnerabilidad para los ataques informáticos”.
Uruguay es el país que cuenta con mayor desarrollo de gobierno digital entre los países de América Latina y el Caribe según la ONU. Además, en materia de agenda digital, ocupa el puesto 42 de 176 según la International Telecommunications Union. Sin embargo el Informe de Ciberseguridad 2016 muestra que Uruguay, que obtuvo 149 puntos en 245 posibles, y “no alcanza la mitad de la puntuación del modelo de madurez que representa una adecuada política de ciberseguridad para países con un desarrollo comparable”.
El documento también alertaba sobre el impacto económico mundial que tienen los delitos relacionados a las tecnologías de información. Según un informe del Centro de Estudios Estratégicos Internacionales que cita el BID, los ataques cibernéticos se han convertido en el riesgo más preocupante para los grandes empresarios, inclusive por encima de las burbujas financieras y las crisis fiscales.
En el informe, el banco hizo hincapié en los tres grandes problemas de Uruguay. El primero, y más genérico, es el “bajo nivel de implantación” de políticas de seguridad, lo que repercute en una mayor vulnerabilidad para eventuales ataques.
Otra gran debilidad que identifica el BID tiene que ver con las falencias actuales del sistema de seguridad uruguayo. El banco internacional entiende que en nuestro país “no se detectan o se detectan en forma tardía” los incidentes informáticos que se producen y, por lo tanto, “no es posible responder en forma oportuna a los mismos y evitar que el ataque se propague y genere grandes daños.
El BID detectó que Uruguay no contaba con un monitoreo integral para el control de los sistemas por lo que “existen limitadas capacidades de analizar las alertas” y a su vez señaló que no hay un “mecanismo seguro y confidencial para compartir información con el sector privado relativo a ataques e incidentes informáticos”.
La tercera debilidad que advirtió el organismo sobre la seguridad digital en nuestro país es la relativa a los recursos humanos, ya que el “rápido crecimiento en la necesidad de profesionales en ciberseguridad produjo una brecha entre la oferta y la demanda” de trabajadores, lo que generó una “importante escasez”. El BID estima que Uruguay deberá duplicar, en los próximos dos años, el número de especialistas en seguridad informática. Actualmente son 650 los profesionales. También preocupa la insuficiente oferta académica. En Uruguay solo la Udelar cuenta con un curso especializado para la formación en seguridad informática.
Además advierte falencias en la capacidad técnica e infraestructura tecnológica de CERT.uy. El BID entiende que el departamento, que depende de Agesic desde hace una década, “no se ha actualizado al ritmo que demandan los rápidos cambios que se producen en el mundo digital”. El Government Security Operation Center (GSCO), inaugurado en 2017, “no fue equipado “con todos los recursos que precisa para cumplir adecuadamente su función” dice el diagnóstico.
Por lo expresado anteriormente, el principal desafío del proyecto, es mejorar el “bajo nivel de implementación” de las políticas de ciberseguridad en Uruguay.
Cifras sobre ataques cibernéticos en Uruguay y la región
Desde la instalación del GSCO en 2017, la detección de ataques cibernéticos se incrementó en un 69%. Por la falta de capacidad operativa, de monitoreo, detección y respuesta de ataques, 40 de estos 2000 incidentes detectados generaron un “alto impacto” debido a que se detectaron de forma tardía. A partir de la instalación del Centro de Monitoreo 24 hs., en el edificio anexo Torre Ejecutiva, se detectaron el doble -170- de delitos informáticos por mes.
En 2018 se registraron un total de 2.159 incidentes de este tipo contra los organismos públicos, entidades bancarias y mutualistas principalmente. Apenas el 7% de estos ataques o vulnerabilidades criticas detectadas revestían gravedad. El año pasado también se detectaron 585 vulnerabilidades entre las 1.300 URLs que tiene el Estado uruguayo. 113 de estas fueron catalogadas como graves.
Los delitos detectados más comunes según el informe de Agesic son el spam/phishing (método delictivo en el que el cibercriminal u organización, estafan al usuario haciéndose pasar por una persona o una empresa de confianza) 37%, compromiso de sistemas 30% e indisponibilidad de sistemas 20%.
Tres casos fueron los más resonantes que ocurrieron durante los últimos años en el país. El ataque cibernético perpetuado al Círculo Católico en enero de 2017, por el cual un ingeniero fue a prisión. La maniobra de phishing contra varios clientes del BROU en mayo de 2018, que representó pérdidas por más de 25 mil dólares. Y por último el ataque masivo que sufrieron tres bancos de plaza que bloqueó durante casi todo el viernes 1° de marzo de este año sus operaciones online.
Según la compañía rusa Kaspersky Lab, en 2018 se registraron 746 mil ciberataques, un 60% mayor a las cifras del año anterior. Los países que sufrieron más ataques durante ese período son Venezuela, Bolivia y Brasil, la mayoría de ellos vinculados a delitos económicos. Al igual que en 2017, Brasil es el primer país en alojar de sitios maliciosos. El 50% de los servidores latinoamericanos utilizados en ataques de todo el mundo estaban alojados en ese país. En 2018, Brasil también estuvo entre los 20 países más atacados a nivel global.
El informe indicó que la mayoría de estos ataques ocurrieron en línea mientras el usuario afectado navegaba en la red o descargaba archivos. A su vez, el año pasado aumentaron los casos de ataques a través de teléfonos móviles.
El período preferido para los cibercriminales para realizar ataques de tipo phishing, según detectó Kaspersky Lab, son los llamado “Black Friday”, campaña de importantes descuentos que repercute en una jornada masiva de compras online. Ese día de 2017, se bloquearon 380 mil ataques solo en Latinoamerica.
BID: “los esfuerzos por proteger el espacio digital no han avanzado al mismo ritmo que el proceso de digitalización”
Previo a transferir a nuestro país un préstamo para el fortalecimiento de la seguridad digital, el Banco Interamericano de Desarrollo alertó sobre las debilidades del sistema de seguridad informática uruguaya
