El gobierno trabaja en varias líneas de acción a nivel nacional e internacional para prevenir el ciberdelito, mientras en el Parlamento se intentará priorizar este año la aprobación de un proyecto de ley que tipifica las penas.
La Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic) tiene muy presente la serie de ataques que a mediados de 2022 afectó a más de treinta instituciones públicas de Costa Rica, lo que paralizó a ese país y le provocó pérdidas por más de 200 millones de dólares.
Si bien Uruguay está bien posicionado en el continente, se asume que aún hay instituciones públicas y privadas sin la debida madurez para enfrentar la amenaza que representa la ciberdelincuencia global, fundamentalmente la que se dedica al ransomware, que es el bloqueo de archivos sensibles a cambio de un rescate.
Debido a esto, la Rendición de Cuentas de 2022 dispuso que Agesic lidere una serie de acciones que fortalecerán al sector público y privado, definido como crítico.
El director de Seguridad de la Información en Agesic, Mauricio Papaleo, es claro en su planteamiento: “Lo importante en ciberseguridad es trabajar en la detección y prevención de los incidentes. Partimos de la base de que más tarde o más temprano existirán los ataques, por lo que la estrategia debe apuntar a detectar a tiempo el incidente y estar preparados para que sea lo menos dañino posible”.
Una de las novedades es la inclusión del sector privado en el Registro Nacional de Incidentes de Ciberseguridad, el que hasta ahora relevaba solamente lo ocurrido en el sector público. Los bancos, las redes de pagos, las mutualistas y las empresas de telecomunicaciones han sido definidos como sectores críticos, y deberán cumplir con una serie de obligaciones.
El registro relevará los datos técnicos y antecedentes vinculados a los incidentes de ciberseguridad denunciados, además de los informes elaborados por el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy).
Las entidades públicas y privadas vinculadas a servicios o sectores críticos del país deberán comunicar la ocurrencia de incidentes de ciberseguridad a Agesic en un plazo de veinticuatro horas.
Estas entidades privadas, al igual que las públicas, tendrán que adoptar por ley medidas de seguridad eficaces para proteger sus activos de información críticos de acuerdo a lineamientos que indica Agesic.
Deberán designar un responsable de seguridad de la información, planificar medidas para mejorar los controles y adoptar medidas de prevención. Quedarán obligadas a informar de forma completa e inmediata la existencia de un potencial incidente de ciberseguridad y poner a disposición toda la información que les sea requerida.
Papaleo detalló que se está trabajando en un decreto reglamentario que baje a tierra las disposiciones y precisó que este proceso demandará tiempo ya que no todas las entidades privadas tienen el mismo nivel de madurez en materia de ciberseguridad.
No obstante, frente a instituciones del sector privado que no acaten lo dispuesto, Agesic tendrá la potestad de exigir los ajustes de procedimiento necesarios y el cumplimiento de medidas específicas para la prevención de riesgos vinculados al sector de la entidad. Incluso podrá apercibir en función de la gravedad del incumplimiento.
La Asamblea General recibirá informes semestrales de las entidades públicas y privadas que no cumplan con sus obligaciones.
“En materia de ciberseguridad no se puede trabajar en manera solitaria. Es algo que no puede afrontar ningún país en soledad, ni tampoco ningún organismo dentro de cada país puede hacerlo sin el apoyo de otras áreas públicas y privadas. Hay que tener claro que nadie puede defenderse solo”, indicó Papaleo.
Durante 2023 se detectaron y respondieron 4.968 incidentes, de los cuales el 1% fue clasificado con severidad alta o muy alta.
Papaleo aseguró que estos incidentes seguirán creciendo y serán cada vez más críticos. “Esto no es algo que se pueda evitar. Están involucradas organizaciones muy preparadas que funcionan como si fueran multinacionales. Las organizaciones de hackers son como una multinacional, tienen departamentos de gestión humana, contrataciones, ingeniería. Funcionan igual o mejor que una gran empresa”, detalló.
Ataques
Días atrás el Reino Unido anunció que desmanteló al grupo de hackers LockBit. Este fue el que extorsionó en setiembre del año pasado al estudio Guyer y Regules, pidiéndole US$ 300 mil a cambio de la información hackeada. Ese grupo en 2023 atacó al operador postal británico, a un hospital canadiense para niños, y en Francia a los hospitales de Corbeil Essonnes y Versalles en la región parisina. Se estima que por el rescate de información recaudó más de 120 millones de dólares.
“Nosotros tratamos de trabajar con las organizaciones para generar más protección y ciberresiliencia, que es la capacidad de recuperarse rápidamente de un ataque. El tema no es si nos van a atacar, el tema es cuándo será. Por eso hay que estar preparados para que la afectación sea lo menos posible”, sostuvo Papaleo.
El pasado 14 de febrero el Poder Ejecutivo informó que Uruguay recibió de parte del Consejo de Europa la invitación formal a adherir al Convenio de Budapest sobre la Ciberdelincuencia. Papaleo señaló que esto constituye un gran avance para perseguir un delito que es transnacional. El Convenio de Budapest es el único tratado internacional exclusivo para perseguir la ciberdelincuencia y cuenta con la adhesión de 66 países mientras hay otros quince en calidad de observadores.
Esto le permitirá a Uruguay formar parte de una red de colaboración entre los países miembros, acceder a programas de creación y fortalecimiento de capacidades para instituciones nacionales y asistencia legislativa; y brindar y solicitar asistencia a los estados parte en materia de investigaciones sobre delitos cibernéticos.
“El ciberdelito es gestionado en la órbita del Ministerio del Interior. Uruguay adhirió al Tratado de Budapest y eso es muy importante porque permite perseguir al delincuente fuera de fronteras de forma inmediata”, explicó Papaleo.
Esto mitiga en parte una debilidad de Uruguay que es la ausencia de una legislación específica para tipificar el delito. Un proyecto de ley fue sancionado en Diputados a mediados del año pasado pero no está claro que sea prioridad para el Senado en esta legislatura.
El proyecto fue presentado por Cabildo Abierto y el senador Guillermo Domenech dijo a El País que cuando se retome la actividad hará una gestión personal ante la Comisión de Constitución y Legislación para que se priorice. Este define toda una gama de delitos informáticos y les asigna penas.
Papaleo estuvo a mediados de febrero en Santo Domingo representando a Uruguay en el Diálogo Específico sobre Ciberseguridad entre la Unión Europea y América Latina y el Caribe. “Se habló sobre la necesidad de generar sinergias. Cada país y organización expuso lo que está haciendo. Tomamos nota de los avances y las carencias de cada uno. Los niveles de riesgo son altísimos y seguirán creciendo. Este delito mueve más dinero que el narcotráfico y con menos riesgo. Toda la información sensible de una persona está en línea y hay que educarse para saber protegerla. Y las empresas también tienen que tomar conciencia de que deben asumir medidas de protección de la misma manera que lo hacen para proteger sus bienes físicos”, reflexionó Papaleo.
Y en esta línea de razonamiento, agregó: “Hay sectores mejor preparados que otros, depende mucho del rubro. Hoy toda empresa necesitar estar en línea. Hasta un tambo o un criadero de pollos tienen mucha tecnología integrada. Las empresas deben tomar conciencia de que son susceptibles de un ataque que los deje sin servicio. Y eso se complica aún más si la empresa maneja información de personas. Hay lugares donde la información se observa como un activo más y tiene un valor. Una vez que se le asigna un valor, se puede determinar cuánta seguridad requiere para protegerla”.
Una de las debilidades que presenta Uruguay para enfrentar el ciberdelito es la carencia de profesionales capacitados. Agesic estimaba previo a la pandemia que faltaban 600 profesionales especializado. Al día de hoy ese cálculo se ha duplicado. Con una currícula elaborada por la Facultad de Ingeniería, la UTU creó la tecnicatura específica de seis semestres: Tecnólogo en Ciberseguridad. El primer año se anotaron más de 900 estudiantes, pero se abrieron unos 70 cupos porque la cantidad de docentes es una limitante. Además de Montevideo, este año se sumaron cursos en Melo y Paysandú. Existe una fuerte demanda laboral para expertos en ciberseguridad dentro y fuera de fronteras.
Así es la estrategia nacional para la ciberseguridad
Agesic fue encargada de liderar una Estrategia Nacional de Ciberseguridad que mejore la gobernanza y otorgue mayor madurez a las infraestructuras de información sensibles del país.
El Comité ya se ha reunido y comienza a establecer las bases de esta estrategia. Lo integran representantes de los ministerios de Defensa Nacional, Interior, Industria, Energía y Minería, Banco de la República, Banco Central, Antel, Ancap, UTE y la Secretaría de Inteligencia Estratégica de Estado.
Agesic también tiene el cometido de diseñar y desarrollar una estrategia nacional de datos e inteligencia artificial basada en estándares internacionales, en los ámbitos público y privado.
La ley establece que “La estrategia deberá fundarse en principios de equidad, no discriminación, responsabilidad, rendición de cuentas, transparencia, auditoría e innovación segura, respetando la dignidad humana, el sistema democrático y la forma republicana de gobierno”.
-
Ciberdelitos: quejas de Cabildo Abierto por “proyecto estancado”
Los cambios que ya son realidad en el sector de tecnológicas en Uruguay y las tendencias en el mundo
Desmantelan a grupo de ciberdelincuentes "más dañino del mundo" que intentó hackear al estudio Guyer & Regules
El 2024 se perfila como "el año del engaño" por el uso de Inteligencia Artificial en ataques de hackers
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
de modo que se deslice hacia la izquierda.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
. Se pondrá en gris, lo que indica que ya no se bloquearán los anuncios de ese sitio web.
.