Una amenaza que llegó para quedarse

A través de la Plataforma Nacional de Participación que gestiona la Agencia de gobierno electrónico y sociedad de la información y el conocimiento (Agesic), está abierta la posibilidad de realizar aportes sobre el borrador de la Estrategia Nacional de Ciberseguridad (ENC) 2024-2030. El plazo para ello se extiende hasta el 23 de setiembre próximo y pueden participar todas las personas mayores de edad, ingresando desde el código QR que acompaña este artículo.

Este borrador fue elaborado por medio de un proceso colaborativo, a partir de una primera versión creada por el Consejo Asesor Honorario de Seguridad de la Información (Cahsi). El proceso involucró a organismos del Estado, academia, representantes de la sociedad civil y del sector privado, y contó también con aportes de especialistas y organismos internacionales.

De este primer borrador de la Estrategia Nacional de Ciberseguridad (ENC) 2024-2030, nos interesa en este momento ver el diagnóstico que se presenta en la primera parte, en el que se refiere a la situación en la que se encuentra nuestro país y el mundo frente a este problema creciente, que en Paysandú estamos viviendo en carne propia a raíz del ya conocido caso del ataque sufrido por el área informática de la Intendencia Departamental, tema del que nos hemos ocupado abundantemente desde las páginas de EL TELEGRAFO, y lo seguiremos haciendo, porque todavía queda mucho camino por delante en ese asunto.

La Estrategia Nacional de Ciberseguridad (ENC) de Uruguay busca establecer un enfoque integral “para enfrentar los crecientes desafíos del ciberespacio y proteger a las personas, instituciones y sectores críticos del país”. El diagnóstico menciona entre las principales “ciberamenazas” al ransomware, los ataques a la cadena de suministro y la desinformación, “que afectan a las personas y a la industria, ponen en riesgo la seguridad, erosionan la confianza en las instituciones y generan pérdidas económicas significativas”, debido a ello, afirma, la ciberseguridad “se ha convertido en una prioridad imperativa para poder hacer un uso seguro del potencial de la transformación digital y las tecnologías emergentes”. La ENC procura fomentar una cultura de ciberseguridad “que empodere a las personas y organizaciones para el uso seguro de la tecnología”, así como fortalecer las capacidades nacionales “mediante la inversión en educación y formación en ciberseguridad en todos los niveles”, y garantizar “la protección de la información sensible y la continuidad de los servicios críticos”. La estrategia también reconoce “la naturaleza global de las amenazas cibernéticas, por lo que fomenta la cooperación internacional para coordinar una respuesta efectiva y coherente ante estos desafíos”. Además de ser fundamental para el progreso del país y buscar la seguridad de las infraestructuras de información crítica, proteger la privacidad y promover la innovación, la ENC procura impulsar el crecimiento económico “al demandar profesionales calificados” y procura posicionar al país “como un referente global en seguridad digital, creando un círculo virtuoso de progreso y bienestar que garantiza la protección de los derechos fundamentales de las personas”, declara el documento base.

Pero qué se dice respecto al estado actual de la ciberseguridad. Justamente, en este apartado plantea que la omnipresencia de las Tecnologías de la Información y la Comunicación (TIC), en la vida de las personas, a la vez que “ha generado un sinfín de oportunidades”, también ha traído “nuevas vulnerabilidades”. Nuestro país, afirma, destaca por su alto índice de conectividad y la creciente adopción de las soluciones informatizadas, pero ello trae como contrapartida una mayor exposición, tanto de las personas como de las organizaciones. “La obsolescencia de muchos sistemas y la falta de conciencia generalizada sobre los riesgos de ciberseguridad agravan esta situación”, asegura. En este sentido, agrega, “garantizar la ciberseguridad nacional implica un desafío complejo que requiere la colaboración de todos los actores de la sociedad, por lo que es imperativo adoptar un enfoque multidisciplinario”. Y sostiene que la protección solo puede alcanzarse mediante un esfuerzo conjunto para construir “un ciberespacio seguro y confiable, protegiendo los activos digitales y garantizando el desarrollo sostenible del país”.

En el contexto internacional, el diagnóstico reconoce que el problema escaló desde incidentes aislados a convertirse en “una amenaza sistémica que desafía la estabilidad y la seguridad de naciones enteras”. Desde el absoluto desconocimiento técnico no podemos imaginar otra cosa que el riesgo de que ocurra a escala del Estado, o algunos de los entes que gestionan los servicios públicos, lo que ha ocurrido en la Intendencia de Paysandú es una posibilidad. Más cercana o más lejana, pero el riesgo existe, y las consecuencias.

“La complejidad de las ciberamenazas actuales se ve agravada por la diversidad de amenazas y de actores involucrados, así como su constante evolución. Las tácticas empleadas por estos actores son cada vez más sofisticadas, incluyendo el uso de inteligencia artificial, el aprendizaje automático y otras tecnologías avanzadas para evadir las defensas y maximizar el impacto de sus ataques”, dice el informe.

Uruguay, en el contexto internacional, se encuentra en un nivel medio de madurez en ciberseguridad, en el lugar 64° a nivel mundial, y 3° en Latinoamérica (por detrás de Brasil y México). El país destaca “por su avance en medidas técnicas y desarrollo de capacidades”; pero tiene terreno para avanzar en cuanto a “medidas de cooperación, organizacionales y legales”.

Una de las características que hacen que la exposición a los ciberataques es que constantemente se están innovando y desarrollando, hay una fuerte inversión en ese sentido por parte de quienes se dedican a estas actividades. Las consecuencias pueden ser devastadoras para una economía “si se afectan sectores críticos como el financiero, el sistema de salud o el energético”. En todo caso, el episodio en la Intendencia Departamental marcará un hito, sin lugar a dudas, pero lejos está de ser un incidente aislado. En el año 2023, dice el informe, “se atendieron 4.968 incidentes, de los cuales el 1% fueron de severidad alta o muy alta”. Esto no pretende eximir a nadie de responsabilidades, por el contrario, este incidente debe ser un llamado a todos a redoblar el esfuerzo por protegerse y protegernos todos, ir haciendo cultura de la protección de datos empezando por las cosas más simples, como cambiar rutinariamente las contraseñas y el pin de la tarjeta.