La explicación de Heber sobre el ataque a Identificación Civil: "Las máquinas que teníamos eran prehistóricas"

“Hemos llamado a licitación y estamos adjudicando en estos días todo un equipamiento nuevo para la NIC, de última generación”, sostuvo Heber en rueda de prensa. “Teníamos computadoras viejísimas, lamentablemente, y muy vulnerables, eso es lo que heredamos”, agregó en referencia a la gestión anterior.

Según el jerarca, se realizó la compra de un software que brinda la seguridad de que ya no se podrá “hacker fácilmente”. "Ustedes saben que los hackers en el mundo han violado las últimas generaciones (de computadoras) así que permanentemente tenemos que hacer inversiones para proteger la información", dijo.

El ministro agregó que está prevista una nueva licitación para comprar nuevas computadoras "de modo de estar con las últimas novedades para actuar contra la delincuencia cibernética".

“Tenemos que proteger (los datos) y eso no se había previsto porque las máquinas que teníamos eran totalmente prehistóricas. En ese sentido, ya está trabajando una nueva empresa y podemos asegurar a la población que eso no va a volver a suceder”, afirmó Heber.

Qué ocurrió desde 2020

El hecho había sido reconocido por el Ministerio del Interior mediante un comunicado público el 12 de febrero de 2021. Allí se indicaba que, el 8 de diciembre anterior, se había detectado un "incidente de ciberseguridad" que pudo contenerse. Pero los primeros registros del ataque datan del 29 de agosto de 2020, según lo señaló ahora el ministerio en la respuesta a un pedido de informes efectuado por la senadora frenteamplista Silvia Nane. 

En ese informe, al que accedió El Observador, se explicó que los datos comprometidos están relacionados a la información contenida en los pasaportes electrónicos: incluye nombres, apellidos, fecha de emisión y vigencia, foto y firma olográfica junto a la rúbrica del funcionario que autorizó el documento. 

El ministerio anexó un informe en el que el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy) sostuvo que se trató de una intrusión de una "severidad muy alta" y que "no fue posible" identificar el vector del ataque inicial, su origen ni las subsiguientes actividades relacionadas con este caso dentro de la base de registros personales la DNIC. Tampoco se pudo constatar ni descartar la extracción de datos fuera de la infraestructura de esa dirección, así como tampoco su alcance total. Lo que sí fue posible evidenciar es que el atacante contaba con "conocimientos avanzados de los sistemas internos, lo que le permitió acceder al servidor de esa base de datos, y descargar a una máquina local toda la información vinculada al sistema de pasaportes. 

La dirección, según lo que afirma la cartera, hizo la comunicación correspondiente al centro en las 24 horas que siguieron a la detección del hackeo. Sin embargo, "no consta" que en esas 24 horas la repartición aplicara algún tipo de medidas de remediación. El ministerio señaló que, en cuanto se tomó conocimiento, el Área TIC de la cartera "desplegó medidas de bloqueo inmediatas", así como el corte del acceso a internet y el reseteo de las principales contraseñas. Interior además se presentó ante la Fiscalía General de la Nación, a fin de "instar" a una acción penal. 

La senadora Nane había solicitado la información el 4 de marzo de 2021, días después de ocurrido el incidente. La respuesta de Interior llegó recién el pasado 10 de junio, luego de un nuevo pedido efectuado por la legisladora.  En su respuesta, Interior admite que no cuenta con un centro especializado en ciberseguridad. Recientemente fue designado un "responsable" de Seguridad de la Información, que "está trabajando en protocolizar la identificación y el seguimiento de riesgos". 

El caso derivó en un "análisis profundo" que culminó con recomendaciones  a corto, mediano y plazo por parte de un equipo de trabajo, destinadas evitar la reiteración de este tipo de incidentes. Una de mas medidas fue publicar un llamado a una licitación pública internacional para así cambiar el sistema de enrolamiento, ya que el vigente contaba con lenguaje de 23 años. A su vez, se decidió la migración de la infraestructura de la dirección de su sala de datos al Datacenter de Antel en Pando. 

Se estimó que sería necesaria una inversión de $ 15 millones para afrontar todas las adquisiciones para ejecutar las medidas de seguridad correspondientes. 

La DNIC había iniciado el 7 de octubre de 2021 una auditoría a los efectos de tener una "primera devolución" sobre el "estado de madurez" de la institución y trabajar en eventuales mejoras. "Se está a la espera de la presentación de los resultados", dice el ministerio en su respuesta a Nane.