En tiempos en los que las defensas de Nacional y Peñarol no pasan por su mejor estado de forma, parecen, de todos modos, ofrecer más garantías a sus hinchas que los dispositivos de seguridad informática en el Estado uruguayo.
PampaLeaks, que ya había publicado datos procedentes de filtraciones de sistemas de organismos como la Dirección Nacional de Identificación Civil, DNIC, el Sucive, ANEP, UTU, Ceibal y Dinacia, esta vez logró inmiscuirse en los discos duros de Antel y obtener datos del sistema de identificación digital TuID. ¿Qué se filtró? Información de varias personas vinculadas con el área informática o de cierto renombre en materia tecnológica, jerarcas y personas públicas. Entre otros datos aparecen nombres, cédula, teléfono, e-mail de Graciela Bianchi, del exdirector de Agesic, Daniel Mordecki, de los periodistas Eduardo Preve y Juan Pablo de Marco y de los abogados, Agustina Pérez Comenale y Martín Pecoy, entre otros. Los autores aseguran que se hicieron con 8 GB de archivos internos de la empresa estatal entre los que habría propuestas, documentos legales, materiales sobre infraestructura tecnológica, documentación variada e información sobre portabilidad numérica.
La información fue publicada en un foro dedicado a este tipo de actividades. Desde Antel se indicó que el ataque ya fue subsanado y el incidente no habría afectado información crítica, como las credenciales de acceso de los usuarios de la plataforma de identificación.
Según publicó El Observador, el atacante afirmó haber tenido acceso “durante meses a una API —interfaz de programación de aplicaciones— y a una clave privada que, según su versión, le habrían permitido no solo consultar datos de usuarios sino también modificar configuraciones de las cuentas”.
Hay una preocupación puntual por lo que significa que hayan tenido acceso a un sistema de identificación de personas. TuID se emplea, por ejemplo, para acceder a la plataforma GUB.UY, que permite realizar trámites en el Estado, pero es también una certificación de firma digital con la que se pueden suscribir documentos en línea y realizar diversos trámites. Guarda también información biométrica de los usuarios: huellas digitales, identificación facial. En una entrevista en el programa La Escucha, de Radio Uruguay, el ingeniero Danilo Espino, experto en seguridad digital, comentó algunos aspectos de este incidente en particular, del que relativizó la información con que se hicieron los —o él, porque Espino afirmó que en el ambiente entienden que se trata de una sola persona y no de una organización de hackers— intrusos. En ese archivo de 8 gigas “había una serie de datos que diría que son de relevancia muy baja, porque eran documentos de licitaciones y demás. Pero había dos archivos que eran los que yo considero que eran más relacionados a este ataque. Uno era la serie de comandos, de pasos, que utilizó este hacker para poder obtener los datos de estas personalidades que publicó. Y en otro archivo estaban los datos que obtuvo de estas personalidades”. Los datos, dijo, son irrelevantes ya, a partir de las acciones que tomó Antel al conocerse la filtración. Sin embargo no deja de inquietar la acción en sí misma. “La pregunta principal es saber cómo fue que se accedió a esos datos, porque si se accedieron a esos datos es porque hay otra puerta, a través de la cual se pudo entrar a alguna máquina de Antel y se pudo obtener esa información”.
Estos archivos tienen fecha de marzo pasado, quiere decir que esa puerta trasera estuvo abierta durante más de un mes. Y si ingresó específicamente a los perfiles de estar personas de las que quiso exhibir información, podría haber ingresado al de cualquiera, o a los de todos los usuarios de la plataforma y vaya uno a saber a cuánta cosa más.
Pero por si no fuera suficientemente preocupante este hecho en sí, más aún lo es el panorama que describió Espino en cuanto a la seguridad digital del Estado uruguayo en general, un Estado que posee literalmente toda la información de toda la vida de todas las personas. “El Estado a lo largo de los últimos 20 años se ha digitalizado y eso ha sido un beneficio para todos los ciudadanos porque ha agilizado una cantidad de trámites y demás. Ahora, esa digitalización, desde mi humilde punto de vista, ha sido un poco caótica, y cada uno de los diferentes organismos del Estado ha tenido iniciativas un poco en paralelo, y cada uno de los organismos ha manejado en función de sus diferentes prioridades cómo manejar los datos, la ciberseguridad y mismo la infraestructura digital de cada uno de los diferentes organismos”, explicó. Claro, esto no llama esto la atención en lo más mínimo, porque es casi que un sello en el orillo del Uruguay, la improvisación, lo provisorio que después se vuelve permanente. “Yo, a lo largo de los últimos años, y en particular los últimos meses, he estado investigando algunos organismos en particular y siempre se va encontrando cosas que son inexplicables. Por ejemplo, organismos que tienen sistemas sin actualización durante los últimos 20 años, puertas de acceso que están abiertas. Y con esto no estoy haciendo un análisis muy profundo, sino que estamos hablando de un análisis sobre lo que está público, es decir, sobre lo que cualquier estudiante de ingeniería de los primeros años puede analizar. O sea, entonces, si alguien en su tiempo libre puede hacer un análisis de seguridad y puede encontrar fallas, desde mi visión graves, yo estaría un poco preocupado”. Y no es para menos. El experto señaló además los problemas que tiene la Agencia de Gobierno Digital, Sociedad de la Información y el Conocimiento de Uruguay, Agesic, que se encuentra, a decir de su directora ejecutiva, “bastante desfinanciada”, citó. Ello, por supuesto, no motiva a los expertos en el área, escasos y —debido a ello— caros, a elegir enrolarse en las huestes del Estado, “por más sentido de la buena voluntad o del patriotismo. Por más patriota que pueda ser, uno tiene que comer. Entonces, no creo que le pueda atraer demasiado ir al Estado, porque además es un cargo que es de mucha presión, de mucha presión”.
Otro dato relevante es la proximidad entre esta revelación y el previo anuncio de la creación de una nueva billetera electrónica a partir de diciembre, que permitirá a la ciudadanía acceder a documentos oficiales, como la cédula de identidad y la libreta de conducir, así como realizar trámites desde teléfonos móviles.
En vistas de los acontecimientos recientes sería prudente no digamos que revisar este proyecto, pero cuando menos redoblar la estrategia de seguridad con la que se manejarán estos datos unificados.
Sé el primero en comentar