Incidente de Seguridad en Informática en la DNICuy

Hackearon al menos 84.001 pasaportes electrónicos.

Escribe el experto en seguridad: Edward Holfman

Según un informe oficial, “los primeros ataques ocurrieron el 29 de octubre de 2020”. “La detección del ataque fue el 8 de diciembre de 2020” pero en junio de 2022 y por un pedido de informes de una senadora del Frente Amplio se conoció esta noticia. 

A comienzo del año 2020, teníamos información que se había registrado un incidente informático crítico en la DIRECCIÓN NACIONAL DE IDENTIFICACIÓN CIVIL y del cual se informó primeramente que no había afectado información sensible y se dijo que había sido un incidente que se conoce con el nombre “DENEGACIÓN DE SERVICIO” 

La denegación de servicio (DoS) suele referirse a un ataque que trata de hacer que un recurso informático no esté disponible para los usuarios previstos, inundando una red o un servidor con solicitudes y datos.

Un ataque DDoS, o ataque distribuido de denegación de servicio, es un tipo de ciberataque que intenta hacer que un sitio web o recurso de red no esté disponible colapsando con tráfico malintencionado para que no pueda funcionar correctamente.

El hackeo ocurrió a fines del año 2020, “los primeros ataques ocurrieron el 29 de octubre de 2020” “La detección del ataque fue el 8 de diciembre de 2020” pero la información se conoce ahora con la respuesta a un pedido de información que hizo la senadora del FA Silvia Nane.

Más de un año y medio después se conocen las consecuencias de ese incidente informático, los atacantes accedieron a información detallada de 84.001 carpetas “pasaportes electrónicos”. La información obtenida es sensible y las autoridades no saben en realidad el alcance real del ataque.

El informe del Centro Nacional de Respuesta a Incidentes de Seguridad Informática CERTuy detalla las conclusiones a las que arribaron los técnicos del CERTuy cuando fueron llamados por el Ministerio del Interior.

El informe de los técnicos del CERTuy informa que “no fue posible identificar el vector de ataque inicial, el origen del ataque, ni las subsiguientes actividades dentro de la red de la DNIC”.

Las autoridades del Ministerio del Interior indicaron que en cuanto se tuvo conocimiento del ataque se reportó el mismo al CERTuy y se desplegaron las medidas técnicas de bloqueo inmediatas. El informe que elaboraron los técnicos y expertos en ciberseguridad del CERTuy incluye una lista de recomendaciones a corto, mediano y largo plazo a implementar. 

El informe elaborado del CERTuy, revela que los datos comprometidos corresponden a la información de pasaportes electrónicos, incluyendo: nombres, apellidos, fechas de emisión y vigencia, foto del ciudadano, firma ológrafa del ciudadano y de quien autoriza el documento. El análisis realizado por CERTuy no pudo constatar ni descartar la extracción de datos fuera de la infraestructura de DNIC”.

La cantidad de carpetas comprometidas, de acuerdo al informe de CERTuy, se estima en 84.001. Cada carpeta corresponde a los datos de un pasaporte electrónico y advierte que “no se pudo establecer el alcance total del ataque a la infraestructura de DNIC”.

Sobre la o las personas que hackearon la información de Identificación Civil, se alerta que “el atacante contaba con conocimientos avanzados de los sistemas internos, lo que permitió acceder al servidor de base de datos de DNIC y descargar a una máquina local información vinculada al sistema de pasaportes”.

El informe del CERTuy advierte que el Ministerio del Interior  “no cuenta con un Centro de Operaciones de Ciberseguridad” en la cartera.

Como consecuencia de este ataque y a la información comprometida, las autoridades del Ministerio del Interior de acuerdo a recomendaciones, resolvieron “la migración de la infraestructura de DNIC de su sala de datos al Data Center de Antel en Pando”.

Algunas consideraciones personales, no se sabe a qué información crítica y sensible accedieron y si fue solo a ese servidor o si se registró otra intrusión al resto de la infraestructura de la Dirección Nacional de Identificación Civil DNIC. 

El Banco Interamericano para el Desarrollo BID en el año 2015 realizó una Auditoría de Seguridad Informatica y elaboró un informe donde se detalla serios problemas de seguridad y vulnerabilidades de todos el sistema de

DNIC, esta auditoría se realizó previo a comenzar la emisión de los nuevos pasaportes electrónicos en Uruguay. 

Hoy a dos (2) años de ocurrido los incidentes informáticos en la DNIC hay más dudas que certezas de lo ocurrido y a medida que pasa el tiempo se torna más complejo y difícil de saber las consecuencias del incidente de seguridad en informática en la DNIC.

Queda claro que lo importante es saber que paso en DNIC y la capacidad que tienen las Instituciones Públicas y la capacidad de respuesta y defensa que tienen el Estado Uruguayo frente a estos incidentes informáticos críticos y que medidas de respuestas se toman al respecto. 

Para entender la magnitud de estos nuevos delitos, los incidentes de seguridad informática en Uruguay según el CERTuy en el año 2019 se registraron 2.209 incidentes de alto impacto y en el año 2020 fueron unos 2.278 con un costo de U$S 1.500.000 (dolares americanos) solo en el año 2020.

Un ataque cibernético o ciberataque, consiste en una serie de acciones cuyo objetivo es destruir o comprometer los sistemas informáticos de una organización. También puede tener como objetivo el acceso ilegal o robo masivo de datos personales, en este caso se denomina cibervigilancia.

Estas acciones delictivas se han vuelto cada día más frecuentes debido a la mayor presencia que tienen las empresas, los gobiernos y los ciudadanos en Internet y con el mayor uso de sistemas y dispositivos conectados a la Red.

Un ataque cibernético puede ser llevado a cabo tanto por distintos actores, que se mueven por las motivaciones más diversas:

• Personas que actúan de forma independiente, con conocimientos informáticos, generalmente motivados por un beneficio económico.
• Grupos organizados, con distintas finalidades, tanto criminales (terroristas), como ideológicas (activistas).
• Gobiernos, en ataques que se enmarcan dentro de una estrategia de ciberguerra, dirigidos tanto a sistemas informáticos de otros gobiernos o a importantes activos públicos o privados.
• Empresas privadas, en acciones de ciberespionaje.

Los principales riesgos cibernéticos están representados por:

• Las vulnerabilidades en el software utilizado por las empresas y por sus empleados. Cada día se descubren nuevos fallos de seguridad software y protocolos, que son explotados para llevar a cabo ataques. Aunque los proveedores reaccionen rápidamente publicando actualizaciones, el daño provocado puede ser fatal.
• Mala configuración de los sistemas de información por parte de las empresas, lo que incluye a servidores, firewall y otros sistemas.
• Malos hábitos de seguridad por parte de los empleados, lo que permite a los atacantes introducirse en los sistemas de información de las empresas, dañándose, o llevando a cabo robo de información o chantaje, como en el caso del Ransomware.
• El uso de dispositivos móviles personales en entornos corporativos. Esta tendencia aporta grandes beneficios a las empresas y a sus empleados, aunque introduce riesgos importantes, si no se aplican especiales medidas de seguridad o si no se conciencia de forma adecuada a los empleados.

Aunque sea 100 % imposible evitar un ataque cibernético, existen muchas recomendaciones de seguridad para reducir el riesgo de que seamos víctimas de uno. La mayor parte de ellas, tienen que ver con actuaciones del personal, lo que pone en evidencia la importancia del factor humano en ciberseguridad:

• Mantener los sistemas actualizados. Tenemos que asegurarnos de que todos el software y sistemas operativos estén actualizados y tener instalados soluciones de protección, como antivirus.
• Utilizar soluciones como proxy web, firewall o VPN, para establecer canales de comunicación seguros y barreras de seguridad frente a las amenazas externas.
• Utilizar soluciones de gestión de los dispositivos móviles de los empleados o de las aplicaciones que ejecutan (mobile application management, o MAM).
• Contraseñas seguras. Es importante llevar a cabo una correcta gestión de las contraseñas, lo que incluye modificar tus contraseñas cada cierto tiempo y generar contraseñas seguras.
• Empleados formados. También es necesario que las empresas dispongan de personal con la suficiente formación para prevenir y hacer frente a cualquier ataque informático.

• Vigilar el correo electrónico. El correo electrónico es una de las principales vulnerabilidades a través de la cual los hackers pueden atacarnos. Si un empleado abre un correo infectado, afectará rápidamente a toda la compañía. Por eso tenemos que tener cuidado con correos con archivos adjuntos sospechosos.
• Copia de seguridad. Para evitar la pérdida de información, es necesario que siempre se tenga una copia de respaldo de toda la información por cualquier cosa que pudiera pasar.
• No hacer descargas de sitios no seguros. No descargar ningún software de sitios no confiables.
• Confiar en un proveedor de servicios de seguridad gestionada, lo que nos permite mantener un alto nivel de seguridad y al mismo tiempo mejorar la eficiencia de negocio y minimizar los costes.
• Subirse a la nube. Las empresas alojan redes en la nube debido a la mejor seguridad de datos.

En el caso de que seamos víctimas de un ataque cibernético, nuestra respuesta deberá ser rápida y eficaz. Las actuaciones dependerán del tipo de ataque en concreto, pero en general, deberemos de asegurarnos de que:

• Contengamos el ataque, por ejemplo, aislando los dispositivos infectados.
• Eliminamos las posibles causas, para asegurarnos de que el ataque no se vuelva a reproducir.
• Determinamos el alcance del ataque, teniendo en cuenta tanto los equipos y dispositivos, como la posible información que haya sido sustraída.
• Aseguramos la continuidad del servicio, para limitar lo más posible las consecuencia sobre nuestro negocio.
• En todo caso, nuestra respuesta frente a un ataque tiene que articularse a lo largo de tres niveles:

1. Técnico: para restablecer el servicio desde el punto de vista operativo,
2. Legal: para evaluar las posibles implicaciones legales frente a clientes, proveedores o las necesidades de notificación a las autoridades públicas.
3. Gestión de crisis: para llevar a cabo una comunicación eficaz de lo ocurrido frente a clientes y medios de comunicación y reducir el impacto sobre la reputación de la empresa.