La infraestructura tecnológica de la Dirección Metropolitana de Informática del Municipio de Quito sufrió un ciberataque en abril de este 2022. Un malware o virus afectó los servicios automatizados de atención ciudadana.
Este no fue un hecho aislado. En octubre del 2021, la Agencia Nacional de Tránsito (ANT) sufrió un ataque digital en el sistema AXIS. Esto provocó incumplimientos en la entrega de licencias y matrículas vehiculares.
Uno de los últimos incidentes ocurrió en la Asamblea Nacional, el pasado 28 de junio, durante la votación que buscaba destituir al presidente Guillermo Lasso. Un informe técnico de la Asamblea confirmó que cuatro curules se manejaron de forma remota, desde una misma dirección IP.
Esto muestra que no solo personas o entidades financieras han sido blancos de incidentes informáticos, sino también las instituciones públicas del país han sufrido ciberataques, vulneraciones, ‘hackeos’ o accesos no consentidos a sus sistemas digitales.
Investigaciones policiales revelan que las instituciones estatales han sido víctimas principalmente de dos tipos de delitos tecnológicos.
El primero es el acceso no consentido a sistemas informáticos, telemáticos o de telecomunicaciones. Datos de la Fiscalía muestran que desde el 2018 hasta lo que va de este año se han registrado 1 358 casos de ese ilícito a escala nacional.
El segundo delito más común, a nivel institucional, es el ataque a la integridad de los sistemas informáticos. En cinco años hubo 493 hechos. Las provincias con más incidencias son Pichincha, Guayas, Cañar, Azuay y Tungurahua.
De hecho, el Ministerio de Telecomunicaciones (Mintel) dijo que el Centro de Respuesta a Incidentes Informáticos llamado Ecucert, ha notificado 17 292 alertas de posibles intromisiones en sistemas informáticos de entidades de la administración pública, desde enero hasta abril de este año.
En cambio, durante todo el 2021 fueron 15 847 alertas. El Mintel señala que estas notificaciones no son necesariamente ataques, sino alertas identificadas a tiempo para proteger la información.
¿Cómo operan las cibermafias?
Gonzalo García, jefe de la Unidad Nacional de Ciberdelitos de la Policía, explica que los delincuentes, que atacan los sistemas informáticos de las instituciones públicas, buscan obtener ganancias.
García señala que uno de los mecanismos que usan es el ransomware o secuestro de datos. Cuando esto ocurre los atacantes ingresan al sistema, lanzan un ataque y encriptan la información. Para devolver los datos, primero exigen un rédito económico.
Eso ocurrió con la Corporación Nacional de Telecomunicaciones (CNT), en julio del año pasado.
Las autoridades de entonces confirmaron que se trató de un ataque de un virus informático de la familia RansomEXX. Los sistemas de las áreas de facturación, activaciones y recargas se alteraron.
La Policía, que investigó este caso, asegura que se logró resolver este problema sin pagar dinero a los ciberdelincuentes.
Un segundo mecanismo utilizado es acceder a las bases de datos de las instituciones públicas para vender la información obtenida.
Para acceder de forma ilegal y sin autorización a un sistema informático, los ciberdelincuentes analizan y estudian a sus posibles víctimas o blanco de ataque. Antes de actuar, ellos analizan cuáles son las vulnerabilidades que tienen los sistemas de las entidades.
Expertos señalan que la mayoría de estos son vulnerables porque las instituciones públicas no se preocupan por invertir en programas de protección.
Aseguran que la principal afectación al Estado ecuatoriano es la pérdida económica que provocan los incidentes informáticos.
Para evitar ese tipo de ataques, García cuenta que desde el 2021 el país cuenta con un Comité Nacional de Ciberseguridad. Está liderado por el Ministerio de Telecomunicaciones. También lo conforma el Ministerio de Defensa, del Interior, el Centro de Inteligencia Estratégica y el Ministerio de Relaciones Exteriores.
Dentro de las acciones ejecutadas por ese Comité fue crear una estrategia nacional la cual fue lanzada en mayo pasado. “Esto permitirá al Estado tener políticas públicas adecuadas para evitar ser víctimas de incidentes informáticos”.
Uno de los principales ejes de esa política es la prevención. Por ejemplo, se busca “fortalecer al Estado con sistemas informáticos de última generación, implementar firewalls, los antivirus y los anti spams”, señaló el jefe policial.
Puntos de vista
‘Hay profesionales preparados para apoyar al Estado’
Ernesto Pérez, experto en ciberseguridad
Contamos con leyes, reglamentos, normas técnicas y disposiciones que ayudan al ecosistema de seguridad informática en el país como el Esquema Gubernamental de Seguridad de la Información (EGSI), la estrategia nacional de ciberseguridad, el Centro de respuesta a incidentes informáticos (EcuCERT), y leyes que tratan diversos aspectos de la seguridad: LPDP, Ley de comercio electrónico, COIP. Tenemos profesionales en el país, con estudios universitarios, certificados, con habilidades y competencias para apoyar al estado a mejorar la seguridad. Como el resto de países, en Ecuador han ocurrido incidentes de seguridad que han sido públicos y conocidos contra empresas públicas y privadas.
En la estrategia nacional de ciberseguridad se definen objetivos y líneas de acción, responsables y seguimiento. Todo está en continua evolución y propenso a continuas mejoras y correcciones. Ahora, necesitamos utilizar el talento humano presente en el país, organizado y provisto de recursos para ejecutar los objetivos y líneas de acción indicados en la estrategia nacional de ciberseguridad.
Las soluciones solamente nos llegarán cuando planifiquemos líneas de acción y demos seguimiento a estas. En mi opinión los pilares de monitoreo, tratamiento de incidentes; protección de la infraestructura crítica; y concienciación y educación en ciberseguridad son cruciales de atender. También es saludable tener el reglamento a la LPDP. Se requiere continuo trabajo de muchos actores, no tendremos soluciones llave en mano provenientes de una sola fuente.
‘Las instituciones públicas no tienen medidas de seguridad’
Gerardo Cajamarca, experto en ciberseguridad
En los años que llevo en el campo de la ciberseguridad he constatado que una gran cantidad de instituciones públicas no cumplen con los procesos mínimos de seguridad informática. Según los responsables de tecnología uno de los factores principales para que esto ocurra es la falta de presupuesto. También he visto que, a pesar de tener equipos para defenderse de ciberataques, estos no están correctamente configurados y su infraestructura tecnológica es vulnerable. El personal que se encuentra a cargo de la Dirección de Tecnología desconoce de temas de ciberseguridad y de las normativas que debe cumplir una institución pública en lo relacionado a Tecnología de la Información.
Hay herramientas que podemos utilizar como firewall, software antivirus, infraestructura de clave pública, servicios MDR (Gestión de detección y respuesta), entre otras. Algo muy importante que no debe dejarse de lado es la capacitación a todo el personal que labora en la institución sobre temas de ciberseguridad. Se debe realizar Pentesting para detectar y prevenir posibles fallas de seguridad en la institución, esta técnica permite analizar diferentes entornos de la infraestructura tecnológica con la finalidad de encontrar posibles fallas e implementar controles de seguridad. Algo elemental con lo que deberían contar todas las instituciones públicas y privadas es el manual de Políticas de Seguridad de la Información, en donde se establezcan los procesos o controles que deben cumplir todo el personal relacionado con la institución, esto con la finalidad de asegurar la confidencialidad.