Por Carolina Ramos

CERTuy es el Centro Nacional de Respuesta a Incidentes de Seguridad Informática, ubicado dentro de Agesic, la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento, existente en Uruguay desde el año 2008.

Según explicó Santiago Paz, director de Seguridad de la Información de la Agesic, se creó al tomar consciencia de que la masificación y uso intensivo de las tecnologías, si bien tienen beneficios, también presentan riesgos intrínsecos desde el punto de vista de la seguridad.

El centro de respuesta de incidentes tiene como objetivo proteger los sistemas de información que son críticos para el Estado. Sistemas que ante un problema de seguridad pueden llegar a afectar servicios vitales, o a muchos ciudadanos.

Las actividades de estos centros de respuesta se pueden dividir en tres grandes grupos:

Actividades reactivas: son las que responden a un incidente en particualar. Luego de detectado, se apunta a contener el incidente y minimizar los daños.

Actividades proactivas: tienen por objetivo evitar que ocurran los incidentes, a través de la capacitación, el análisis de sistemas, de entrenamientos, etc. 

Servicio de valor agregado: se basa en la generación de buenas prácticas, guías para instalación, campañas de sensibilización, las cuales suman a la hora de mejorar la seguridad.

Paz explicó que en el año 2015 se constantaron 577 incidentes, pero aclaró que esto no significa que hayan sido todos los que ocurrieron en el país. Éstos fueron únicamente los detectados por parte de CERTuy.

"De esos 577, solo 214 fueron notificados por el afectado, el resto los detectamos de manera automática, incluso a veces sin que el afectado lo notara", añadió.

Ataques de tipo "fishing"

Paz informó que se mantiene una tenedencia en los ataques de tipo "fishing". Éstos se constantan cuando el atacante busca obtener datos personales, principalmente vinculados a cuestiones financieras: contraseñas bancarias, número de tarjetas de crédito, etc.

Los ataque de tipo "fishig" representaron un 45 % de los incidentes registrados en 2015, y desde hace dos años se muestran siempre arriba de un 40%, según explicó.

Esta tendencia responde a que los datos personales y financieros de una persona son fáciles de obtener para los atacantes si el usuario no toma los recaudos necesarios. Existen herramientas que se basan en una política de "hágalo usted mismo", es decir cuando el propio usuario brinda o facilita, sin darse cuenta, información al atacante.  

Explicó que existen técnicas para combatir el "fishing", por ejemplo a través de la autentificación de múltiples factores. Esta autentificación consiste en que el usuario además de ingresar usuario y contraseña, utiliza una aplicación en el celular para agregar un tercer componente. No solo garantiza la contraseña "algo que yo sé" sino también "algo que yo tengo", es decir mi celular. De esta forma si alguien ataca a un usuario, esto no representa grandes problemas ya que pudo haber obtenido su usaurio y su contraseña, pero no tendrá físicamente su celular.

Compras al exterior vía Internet

"Es totalmente seguro hacer transacciones por Internet", afirmó Paz, y continuó "cuando hago una compra por Amazon estoy completamente seguro de que se están aplicando todas las medidas de seguridad y que es prácticamente imposible que me estén robando mi número de tarjeta de crédito". 

Comentó que cuando se lo engaña al usuario normalmente se lo agarra muy desprevenido. De esta forma, a veces se le pide al usuario que haga click en un link para solucionar problemas dentro de su cuenta bancaria o para que verifique que todo está bien. "Esto no existe. La realidad es que los bancos nunca van a enviar eso porque así es como se configura un ataque de "fishing". Así se engaña al usuario para que vaya a un sitio web que piensa que es del banco; páginas que lucen muy parecidas a las verdaderas páginas de bancos, pero la dirección es apenas un poco distinta.

Páginas web seguras

Cuando un usuario decide colocar un usuario y una contraseña, simplemente debe fijarse que el navegador esté en modo seguro "que tenga un candado y que en la dirección web diga 'https'", explicó. Esto es lo que le garantiza al usuario que se encuentra en un sitio web seguro y que toda la información allí está encriptada de forma que nadie más tiene acceso a ella.

Medidas que debe tener en cuenta el usuario para protegerse

Hay tres cosas que debe hacer un usuario para sentirse seguro con su computadora:

Tener un antivirus actualizado: muchas veces ocurre que uno compra una computadora que viene con un antiviurs por 60 días y luego no se actualiza más.

Nunca poner datos personales si no se encuentra en un sitio web seguro: si un sitio web que no es "https" pide al usuario que coloque un usuario y una contraseña, éste no solo no debería ingresarla sino que debería reclamar si esto ocurre.

Hacer back-up de todos los datos de la computadora: tener un respaldo de las fotos, documentos, etc.

Paz aclaró que CERTuy y Agesic son instituciones civiles que no hacen investigación criminal. "Nosotros trabajamos los aspectos técnicos y tecnológicos de los cyber ataques. Si una persona está siendo atacada vamos a evitar que ocurra o que vuelva a ocurrir, evitar el daño, recuperar los servicios que se vieron afectados y luego depende del afectado si va a hacer una denuncia penal o no. La denuncia penal se puede encausar. Existe dentro de la policía la autounidad de delitos informáticos. Trabajamos muy coordinados porque ellos utilizan la información que nosotros recabamos", explicó.

Uruguay con respecto al mundo

En América del Sur, Uruguay es el segundo país, después de Brasil, con más capacidades instaladas en aspectos de seguridad informática.

De todas formas, explicó Paz, estos datos no son demasiado fiables ya que al medir capacidades, no se tiene en cuenta que no todos los países son igual de vulnerables a ataques informáticos. Uruguay es un país que no se ve recurrentemente amenazado en aspectos de seguridad informática, no es objetivo de ataque. En cambio, hay otros países más hostiles por cuestiones geopolíticas que si bien pueden presentar mejor seguridad que Uruguay, son menos seguros por su vulnerablidad.

Redes sociales

CERTuy no trabaja con las redes sociales de forma en particular. Sin embargo, quienes trabajan en privacidad en Agesic tiene campañas e instructivos de cómo debe ser el comportamiento dentro de la red social.

La encuesta del internauta del grupo Radar, informó que el año pasado al 12% de las personas le hackearon su cuenta en las redes sociales. "Hoy robar una contraseña de Facebook, por ejemplo, es un lindo objetivo para un atacante, así que por supuesto hay que tomar todas las precauciones", dijo Paz.

Facebook y Google soportan el sistema de autentificación de múltiples factores. "No hacer uso de esto cuando es algo que me ofrece el proveedor de manera gratuita, no tiene ningún sentido", concluyó Paz.