Uruguay

Pasaportes hackeados e infraestructuras vulnerables

En 2020 un hackeo masivo a la Direccion Nacional de Identificación Civil de Uruguay puso en manifiesto las vulnerabilidades y carencias del estado uruguayo en cuanto a ciberseguridad y manejo de datos personales. Un pedido de informes, contestado casi dos años después, deja más dudas que respuestas.

En diciembre de 2020, la base de datos de la Dirección Nacional de Identificación Civil (DNIC, organismo que se encarga de la identificación de las personas físicas que habitan el territorio del Uruguay) del Ministerio del Interior de Uruguay fue hackeada.

La dirección del organismo lo reconoció con un comunicado donde declaró: “Informamos que el 8 de diciembre la DNIC detectó un incidente de ciberseguridad que se contuvo y por el que se desplegaron medidas técnicas, operativas y administrativas para contrarrestar el evento con expertos en la materia, tanto del Ministerio del Interior como del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CertUy)”.

La senadora Silvia Nane, representante del partido Frente Amplio realizó, en marzo de 2021, un pedido de informe parlamentario con 28 preguntas, en el que se solicitaban datos sobre el incidente. La solicitud fue reiterada en el mes de junio y, el 6 de julio, el Senado completo hizo su propio requerimiento al respecto.

“¿Están nuestros datos biométricos en peligro?”, preguntó en Twitter la legisladora. Agregó que: “Nos preocupa la falta de transparencia ante esta situación, y las explicaciones que se han hecho públicas no condicen con la realidad”.

En julio de 2022 se conocieron los resultados que arrojan más dudas que certezas y la discusión está lejos de aclararse.

De acuerdo con lo señalado en la respuesta al pedido de informes, la DNIC y el Ministerio del Interior de Uruguay vieron sus bases de datos comprometidas por un ataque informático que vulneró los datos de 84.001 pasaportes electrónicos, comprometiendo información sensible que incluye datos biométricos de las personas: fotografía, huella digital, nombre y número de documento de identidad.

Según Nane, el informe pone en manifiesto que las autoridades desconocen el alcance real del ataque. La Senadora expresó con preocupación que, respecto de los datos vulnerados en 2020, no se cuenta con información de que no hayan sido utilizados para otros fines. Consultado por medios de prensa, el informe del Centro Nacional de Respuesta a Incidentes de Seguridad Informática concluye que “no fue posible identificar el vector de ataque inicial, el origen del ataque, ni las subsiguientes actividades dentro de la red de la DNIC”. Además, cataloga el incidente como de “intrusión” con una “severidad muy alta”, y sostiene que “el análisis no pudo constatar ni descartar la extracción de datos fuera de la infraestructura de DNIC”. Las fuentes detallaron que “tampoco se puede hablar de hackers” ya que “no se pudo determinar si esa situación irregular fue externa o no”.

Otra de las preguntas realizadas por la Senadora consultó al Ministerio “desde qué momento se estima que los atacantes contaban con acceso a los datos”. La respuesta oficial sostiene que los “primeros registros del ataque” datan del 29 de octubre de 2020, mientras que las irregularidades fueron detectadas el 8 de diciembre del mismo año.  

En la respuesta al pedido de informes, el Ministerio del Interior declaró que no se cuenta con un Centro de Operaciones de Ciberseguridad en el organismo.  El informe que fue enviado a la legisladora indica que “se desplegaron las medidas técnicas de bloqueo inmediatas” ni bien se identificó la vulneración.  También indica que debido al ataque se han decidido migrar las bases de datos al Datacenter de Antel (empresa de telecomunicaciones estatal uruguaya). También se realizó una licitación pública internacional para poder cambiar el sistema de enrolamiento biométrico, ya que el vigente funciona hace 23 años.

El ministro del Interior de Uruguay, Luis Alberto Heber, manifestó a diferentes medios de prensa que se puede “asegurar a la población que no volverá a suceder”.  Afirmó también que se renovará el equipamiento de la Dirección Nacional de Identificación Civil, ya que las máquinas existentes son “prehistóricas”. Dijo: “Hicimos la compra y un software que nos dé la seguridad de que no se pueda hackear así fácilmente”.

Sin embargo, Federico Laca, exdirector general del Ministerio del Interior y asesor en ciberserguridad, indicó a La Diaria que “la infraestructura que está en el data center ministerial no fue comprometida”. Afirmó también que “son innegables las inversiones que se realizaron en tecnología en la administración pasada, pero  sucede que cuando hacés inversiones en tecnologías es que tenés que estar comprometido a mantenerla”.

 ¿Qué sucedió con los datos?

De acuerdo con las respuestas recibidas por parte del Ministerio del Interior, Nane manifestó que “no se pudo establecer el alcance total del ataque a la infraestructura de la DNIC”. Afirmó que “Los atacantes estuvieron más de un mes sin ser descubiertos” y que el informe deja en evidencia que quienes atacaron el sistema cuentan con “conocimientos avanzados de los sistemas internos, lo que le permitió acceder al servidor de esa base de datos y descargar a una máquina local toda la información vinculada al sistema de pasaportes”. 

La Senadora dijo al diario uruguayo El Observador que si bien se sabe que se afectó la información de pasaportes, no puede asegurarse que no se hayan comprometido otros datos de personas. Tampoco se puede asegurar el destino de la información obtenida de los pasaportes electrónicos, por lo que es imposible establecer la magnitud del hecho.

“¿Falta sentido de urgencia dado el incidente?”, cuestionó la representante nacional. Aclaró que aún se encuentra a la espera de los resultados de una auditoría iniciada en octubre de 2021 respecto al “estado actual en el marco de la ciberseguridad” en el Ministerio del Interior.

Según Nane, las respuestas brindadas por el Ministerio “no tienen nada que ver con lo que nos respondieron por escrito”. Advirtió que “El Ministro del Interior, Luis Alberto Heber, dijo que tuvieron ese problema porque las computadores eran prehistóricas, pero cuando nos manda el listado de acciones que se van a tomar para remediar esta situación no hay un solo renglón que refiera a la compra de computadoras, por ejemplo”.

Silvia Nane declaró también que realizará un nuevo pedido de información. “Ahora vamos a volver a hacer preguntas; y nuevamente esperamos y exhortamos que este tema sea tratado con seriedad, y que tengamos respuestas serias”.

Es recurrente, cuando se habla de ciberseguridad pensar en criminales y estafas. Sin embargo, es importante pensar más allá de eso. El caso de Uruguay nos abre la posibilidad de pensar en la infraestructura de gobernanza de datos personales en la región. Hay actualmente en América Latina un desmonte de instituciones estatales encargadas de tecnología. Casos ocurridos en los últimos meses en Brasil, Costa Rica o República Dominicana son prueba de esto. Deja en evidencia la necesidad de reglamentaciones que exijan auditorías, y controles serios y profundos para que el tema no quede supeditado a pedidos de información que deban ser reiterados y reformulados.  No es posible alcanzar la tan deseada “digitalización” del Estado si esta no se hace en un marco de garantías para la ciudadanía. Y la garantía más básica debería ser una respuesta clara y concreta a la pregunta: ¿Quién tiene nuestros datos?