Son cientos de miles de millones de incidentes de seguridad informáticos que se dan cada año a nivel mundial. Es imposible conocer la cifra exacta por la naturaleza del hecho pero, si hay algo que es seguro, es que los organismos del Estado uruguayo no son ajenos a esta realidad.
Durante el año 2023, se registraron 4.968 incidentes, de los cuales el 1% tuvo una severidad alta o muy alta.
La Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic) tiene a su cargo el monitoreo de estos datos. El organismo constató que el año pasado hubo un aumento de 16% en la cantidad de incidentes en comparación con 2022.
Una de las causas que lo explica, según Agesic, es la “implementación de nuevas metodologías de detección y a la mejora continua en el monitoreo de los organismos del Estado”.
A partir de 2024 habrá más datos sobre los incidentes informáticos ya que, a través de la rendición de cuentas, se estableció que algunos privados también deban informar a Agesic. En la ley se incluyó varios puntos vinculados a la seguridad informática, como, por ejemplo, la creación de un Comité de Gestión de la Estrategia Nacional de Ciberseguridad, presidida por la agencia e integrada por varios ministerios como Defensa, Interior, Industria. También estarán representados allí el Banco República, el Banco Central del Uruguay, Antel, Ancap, UTE, entre otros.
El presidente de Agesic, Hebert Paguas, indicó que el comité se reunió ayer por primera vez y que concurrieron delegados de todos los integrantes, incluidos los presidentes de las empresas públicas y la ministra de Industria, Elisa Facio. En el encuentro se definieron los primeros pasos para elevar al Poder Ejecutivo un proyecto de decreto reglamentario de la rendición de cuentas y otro proyecto de decreto que definirá la primera estrategia nacional de ciberseguridad.
“Pretendemos tener una mirada más transversal del Estado, pero también de los privados que interactúan con el Estado. Por lo tanto, es importante reglamentar hasta dónde vas, hasta dónde podés pedir”, comentó Paguas, y recordó se le dio a Agesic la posibilidad de sancionar. Por lo tanto, queda pendiente reglamentar qué será pasible de penalización y cuál será la sanción aplicable.
Podría ser -dio el jerarca a modo de ejemplo, lo que no quiere decir que se implemente- que se sancione a una empresa con infraestructura crítica de información que no informe un incidente grave en seguridad en las siguientes 24 horas.
Uno de los cambios que se comenzará a implementar, que está vigente en la ley, es que Agesic deberá informar cada seis meses a la Asamblea General de los incidentes que se le reportan. Paguas argumentó que es para que “todo el sistema político que está representado en el Poder Legislativo pueda enterarse de lo que está ocurriendo y quién está incumpliendo” con las normas.
Una de las propuestas que tiene Agesic para la estrategia nacional de ciberseguridad es poder tener un Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy) que atienda las personas, algo que hoy no existe, según explicó Mauricio Papaleo, director de seguridad de la información de Agesic.
Uno de los elementos que “detectaron” es que los individuos no saben a dónde dirigirse ante un incidente, dijo Papaleo, y añadió que un país que lo implementa es España -se llama Instituto Nacional de Ciberseguridad-, donde hay un “área específica” para la ciudadanía.
Otro de los cometidos que adquirió Agesic es colaborar con la Agencia Reguladora de Compras Estatales “en la inclusión de requisitos de seguridad por diseño en los pliegos de compras públicas”, dice la normativa. Ambos “determinarán un listado de servicios o productos que requerirán, previo a la publicación de la compra respectiva, de un informe en materia de seguridad por parte de la agencia”.
Menos episodios con softwares maliciosos
Agesic informó que se detectaron y respondieron unos 4.968 incidentes de seguridad informática en 2023. La mayor parte, el 31%, fueron por recolección de información, y le siguieron los incidentes por intrusión (17%). Luego, los problemas con softwares maliciosos (malwares, en inglés) fueron el 13% del total, lo que implicó una reducción en comparación con el 22% que se registró en el año anterior.
Un 12%, por otra parte, estuvo vinculado a la seguridad de la información.
El Centro Nacional de Respuesta a Incidentes de Seguridad Informática indicó que se continuó en el trabajo de “ampliar la cantidad de fuentes de inteligencia de amenazas disponibles y la correlación de datos, lo que permitió detectar más incidentes de este tipo”.
Eso es lo que explica que hubo un crecimiento en relación con 2022, cuando representaron el 3% del total.
Otro 12% fueron intentos de intrusión, el 6% incidentes de indisponibilidad de sistemas, el 4% de vulnerabilidad, 1% de fraude y 1% de contenido inapropiado.
Al analizar los episodios registrados cada mes, Agesic indicó que mayo, noviembre y diciembre fueron los que registraron la mayor cantidad de incidentes. “En mayo se incrementaron las campañas de malware y recolección de información; en noviembre se destacaron los incidentes de recolección de información; y en diciembre, los incidentes de recolección de información y seguridad de la información”.
-
Advierten numerosas maniobras de estafa; Instituciones sacan comunicados para alertar a sus usuarios
Ciberseguridad: la Inteligencia Artificial, el ransomware y las elecciones, ¿las tendencias que se vienen?
¿Qué hacer si me llaman por WhatsApp desde un número internacional desconocido? Las precauciones a tomar
Transformación digital: expertos debaten sobre el futuro de la Inteligencia Artificial en evento de El País