Gobierno uruguayo bajo ciberataque

Luvis Hochimín Pareja

El gobierno de Uruguay investiga un ciberataque a sitios oficiales, presuntamente realizado desde Argentina, que dejó expuesta información personal del presidente uruguayo Yamandú Orsi, como uno de sus teléfonos, y amenazas a otros dirigentes y funcionarios. Un grupo de hackers de derecha atacó a la web oficial de la Dirección Nacional de Aviación Civil e Infraestructura Aeronáutica (Dinacia) y desde allí los ciberatacantes dijeron que “Uruguay está cada vez peor” y que se cansaron “del progresismo” y “las mentiras de los políticos”.

El hackeo ocurrió en el día aniversario de la Fuerza Aérea Uruguaya en el Comando General de las Fuerzas Armadas, acto al que asistió  Orsi. Más tarde participó de una misa interreligiosa en la catedral de Montevideo y en declaraciones a la prensa confirmó el hackeo. “Se puso un número de teléfono que lo tiene todo el mundo”, aseguró Orsi, aunque de todos modos sostuvo que “no está bueno que haya pasado eso. Recibí más llamadas que de costumbre pero es un teléfono que hace muchos años que estoy usando, y ya se disparó cientos de mensajes. Evidentemente no corresponde lo que pasó, y el tema de la ciberseguridad es un tema que nos preocupa a todos”, agregó.

Un ciberataque cada 30 minutos en Uruguay, el delito que mueve más plata que el narcotráfico y que preocupa a las empresas El periodista Eduardo Preve afirmó en su cuenta en la red X que “el ataque se produjo desde Argentina y su autor fue La Pampa Leaks”, en colaboración con BogotaLeaks & Uruguayo1337, según se indica en el foro de internet BreachForums.

Según los autores del ataque se trata de “una colaboración entre BogotaLeaks, el creador del código de desfiguración, y Uruguayo1937, quien proporcionó “acceso a la VPN de la intranet del Ministerio del Interior y a las credenciales de acceso al sistema de monitoreo del SGSP”, indicó Preve. Los hackers aseguran haber interceptado correos electrónicos enviados por empresas, entidades estatales e incluso autoridades, entre las que mencionan el aeropuerto de Carrasco y el ministerio del Interior.

El experto Fernando Berro, director de Security Advisor, dijo que el hackeo tiene alcance a “información sensible de otros organismos y los atacantes lo estarían ofreciendo en la dark web y en la deep web”. También sostuvo que los delincuentes no muestran “en principio” un móvil económico, sino político. “Accedieron a más que solamente hacer el cambio de la página web, y se está analizando con qué profundidad llegaron y a qué tipo de información llegaron en detalle”, agregó Berro en declaraciones a Subrayado.

En los últimos años al menos tres organismos públicos uruguayos sufrieron intrusiones similares, aunque ninguna había logrado acceder a información personal de una figura tan relevante como el presidente. En estos momentos, técnicos del gobierno analizan las causas y autores de este atentado cibernético, y sus impicancias políticas, dado que el ataque fue presuntamente realizado por la derecha uruguyaya y argentina.

A través de un escueto comunicado, la Secretaría de Comunicación Institucional de Presidencia informó que “se tomó conocimiento de un incidente de seguridad informática” en la web de la Dinacia. Se indicó que “tras un análisis exhaustivo” el equipo de ciberseguridad del ministerio del Interior no detectó evidencia de acceso irregular al SGSP. Pero el gobierno no desconoció el hackeo, ya que indicó más adelante en el mismo documento que en la identificación del origen del ataque y de sus responsables trabajan la Unidad de Cibercrimen de la Policía Nacional y la Agesic.

En la captura de pantalla de la web de la Dinacia, divulgada por varios medios, se pueden ver las fotos de Orsi y del director de seguridad de Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agecic), Mauricio Papaleo, supuestamente tomadas de sus documentos de identidad. También aparecía un teléfono personal del presidente uruguayo.

Además se podían ver mensajes como “Nos cansamos del progresismo, las mentiras de los políticos y sobre todo de que la imagen del Uruguay esté decayendo. Uruguay necesita gobernantes, no títeres”, agregaron los hackers.”Tenemos acceso a todas las direcciones, registros SGSP, secretos y carpetazos de cada político y funcionario público. Sabemos quiénes son, sabemos dónde se encuentran y les haremos pagar por lo que están haciendo con Uruguay”, amenazaron los presuntos atacantes argentinos.

El director de la Dinacia, Leonardo Blengini, dijo al diario El Observador que se había creado “un parche por encima del portal”, una especie de “foto” puesta por arriba, pero descartó indicios de acceso al interior de la web gubernamental.

El comandante de la Fuerza Aérea, Fernando Colina, explicó que al tomar conocimiento de la situación se procedió con la Agesic a dar de baja la página mientras se solucionaba el problema. Colina agregó que el sitio hackeado tiene información de dominio público, pero también reservado. Y si bien dijo que el gobierno “tiene un nivel de ciberdefensa muy bueno, la vulnerabilidad siempre existe”.Los hackers aseguraron tener acceso a “todas las direcciones”, a los registros del Sistema de Gestión de Seguridad Pública, a “secretos y carpetazos de cada político y funcionario público”. “Sabemos quienes son, sabemos dónde se encuentran y les haremos pagar lo que están haciendo con Uruguay”, amenazaba en el texto. El director de la Dinancia, Leonardo Belengini, declaró a El País que los responsables del ataque “crearon un parque por encima del portal”, pero sostienen que no hay indicios de que se haya ingresado al interior del sitio web.

Este ataque resultó sorpresivo en Uruguay, pero los incidentes informáticos contra el Estado uruguayo vienen en aumento, informó el diario El País. Agesic detectó 14.264 incidentes de ciberseguridad.Esta cifra triplicó la del año anterior, que había sido de 4.968. Solo en el primer semestre de 2024 se alcanzó esa cifra. Pero más allá de que los casos de ataques sean miles y miles, solo el 0,5% fueron diagnosticados como de severidad alta o muy alta. Y este porcentaje significa un descenso en comparación al 2023, cuando fue el 1%.

La agencia asegura que el aumento se debe a cuatro factores. Explica que hay un crecimiento “natural y exponencial de los incidentes a nivel mundial” y que también existen “nuevas metodologías de detección”. Además, sostiene que se incorporaron nuevos casos de uso en el análisis de amenazas y que se fortalecieron los sistemas de monitoreo de los organismos del Estado.

Hackeos en Uruguay crecen exponencialmente

El principal ataque informático que se registra es el de la recolección de información, que representó el año pasado un 45% del total. Lo siguen las categorías de seguridad de la información (18%) y malware(17%). Este último caso es el que genera una mayor preocupación, ya que es un ciberdelito que crece en el mundo. El pico máximo de los ataques se registró en noviembre (fueron 3.000), pero desde Agesic aseguran que esto pudo haberse explicado porque por esas fechas se incorporaron nuevas implementaciones, que permitieron “ampliar la capacidad de detección”.

En mayo del año pasado, expetos advitoieron del cfecimiento de extorsiones de datos tras los hackeos. “El atacante ingresa, toma una copia de los datos, deja una amenaza (o la envía por email) y si no recibe un pago a cambio libera o subasta la información robada”, detalló el experto Mauro Eldritch, quien lidera el portal Me Filtraron, en el que se publican todos los hackeos que hubo en el último tiempo en Uruguay. El experto ha detectado un “interesante incremento” de este tipo de ataque, según dijo entonces.

En un mundo signado por la evolución de los ciberataques, referentes del mundo empresarial y tecnológico advirtieron que existen dos tipos de empresas: las que ya fueron hackeadas y las que aún no saben que lo fueron. En 2024, en Uruguay se registró un ciberataque cada 30 minutos y según Roberto Monzón, gerente de estrategia de seguridad en la estatal de comuni acionesAntel, el país es el primero en Latinoamérica en el negocio de la venta de claves robadas.

Además, advirtió que ya se están detectando fenómenos como la captura de la segunda autenticación en transferencias bancarias. El tema genera creciente preocupación en organizaciones y empresas de todos los sectores, un interés que, según los especialistas, se ha consolidado en la última década.

“El negocio del cibercrimen mueve hoy más plata que el narcotráco pero como está muy segmentado, uno no lo dimensiona. Hoy es un tema transversal a individuos, gobiernos y empresas”, armó Pablo Brenner, CEO de PBK Advisors y referente uruguayo en tecnología e innovación, durante el evento de ciberseguridad Isbel Connection: Estado de alerta. En este contexto, Daniel Mordecki, director ejecutivo de Agesic, y Carlos Martínez, director de tecnología (CTO) de Lacnic, coincidieron en que el ciberdelito está cada vez más integrado al delito tradicional, con una parte de la delincuencia que ha migrado hacia ese terreno, muchas veces con formas de delinquir que consideraron muy básicas.

También existen grupos organizados y estructuras más sosticadas que se dedican a vender ataques, sostuvo Guillermo Wichmann, customer CTO de Nokia, lo que incrementa aún más el nivel de amenaza. Dentro de las nuevas tendencias que aparecen, los especialistas que participaron del evento mencionaron cómo la inteligencia artificial marca una nueva época y se está utilizando tanto como arma y defensa a nivel de cibercrimen.

*Periodista uruguayo, analista asociado al Centro Latinoamericano de Análisis Estratégico (CLAE, www.estrategia.la)