https://preview.redd.it/gbub9xsf25md1.png?width=1024&format=png&auto=webp&s=30186e122b58fa14a4c3682d6fd3f272e4f18f98

Estimados miembros de CharruaDev,

Espero que este mensaje los encuentr bien, escribo este mensaje como parte de mi labor en Internet Society Uruguay, para compartir con ustedes una creciente preocupación que he venido observando en relación a la ciberseguridad y el desarrollo de la inteligencia artificial (IA) en nuestro país. Desde la perspectiva de la seguridad de los datos personales hasta el avance en políticas estratégicas de IA, nos enfrentamos a desafíos importantes que no podemos ignorar.

Uruguay enfrenta desafíos críticos en la protección de datos personales y el desarrollo de políticas de inteligencia artificial (IA). Con múltiples incidentes de alto perfil que han expuesto la fragilidad de nuestras infraestructuras digitales, se presenta una oportunidad clave para fortalecer las medidas necesarias que garanticen la seguridad y privacidad de la información de los ciudadanos, y para avanzar significativamente en la implementación de una estrategia nacional de IA que impulse el desarrollo tecnológico del país.

El Hackeo a la DNIC: Un Caso que Sigue Latente

En 2020, el hackeo a la Dirección Nacional de Identificación Civil (DNIC) expuso datos extremadamente sensibles de más de 84,000 ciudadanos uruguayos, incluyendo números de pasaporte, huellas dactilares, nombres completos, fechas de nacimiento, y firmas digitales. Aunque han pasado varios años desde este incidente, los riesgos derivados de esta brecha de seguridad persisten. La información comprometida sigue siendo un peligro para la privacidad de los ciudadanos, y la falta de una reacción adecuada del gobierno solo agrava la situación.

Este incidente enfatiza la importancia de aplicar estándares como el OWASP Top 10, que ofrece un marco sólido para prevenir vulnerabilidades comunes en aplicaciones web. Además, es vital reforzar la educación sobre phishing, malware y otras amenazas cibernéticas, tanto para ciudadanos como para instituciones, como una forma eficaz de mitigar riesgos.

https://www.derechosdigitales.org/19045/pasaportes-hackeados-respuestas-insuficientes-y-datos-vulnerados

Lo más preocupante es que esta información, especialmente números de pasaporte, foto, huellas dactilares y firmas digitales, sigue siendo útil hoy en día, y puede ser explotada en actividades fraudulentas. Este tipo de datos raramente cambia a lo largo de la vida de una persona, lo que hace que la información filtrada permanezca vulnerable y reutilizable indefinidamente.

Además, un ciudadano uruguayo filtró un archivo con más de 4 millones de cédulas uruguayas, junto al nombre completo. Estos datos, aunque menos sensible que el de los pasaportes, pueden ser utilizados para robo de identidad y otros delitos. A pesar de la gravedad de la situación, los ciudadanos han permanecido en gran medida pasivos, y las autoridades no han tomado medidas decisivas para abordar estos precedentes. Ref: https://www.elobservador.com.uy/nota/hackeo-a-google-y-ahora-accedio-a-las-cedulas-de-casi-todos-los-uruguayos-2020214122750

Servicios Gubernamentales Inseguros: Un Problema Persistente

Aún más preocupante es que actualmente sigue activo un servicio en línea del Ministerio de Turismo que permite acceder a información personal simplemente ingresando el número de cédula. Este servicio expone nombre completo y fecha de nacimiento, convirtiéndose en una puerta abierta para acceder a información sensible de los ciudadanos uruguayos, sin ningún tipo de restricción adecuada. Puedes acceder al servicio aquí: Trámite en línea – Queja Ministerio de Turismo: https://www.gub.uy/tramites/denuncia-queja-servicios-turisticos

Hackeos Recientes a Entidades Financieras y Gubernamentales

Uruguay ha sido blanco de múltiples ciberataques en los últimos años, afectando tanto al sector privado como al público. A continuación, se detallan algunos de los casos más destacados:

1. Hackeo Devastador a la Intendencia de Paysandú: En julio de 2024, la Intendencia de Paysandú fue víctima de un ciberataque devastador que paralizó completamente sus operaciones. El ataque, de tipo ransomware, encriptó la totalidad de los datos de la comuna, incluyendo registros de Estado Civil, sistemas tributarios y financieros, y otros servicios esenciales. Los hackers exigieron un rescate de 650,000 dólares para liberar la información, pero la comuna se negó a realizar el pago, lo que resultó en la pérdida total de los datos comprometidos. Este incidente dejó a la Intendencia sin posibilidad de pagar a acreedores, cobrar tributos o inscribir nacimientos y defunciones, resaltando una vez más la necesidad urgente de fortalecer la ciberseguridad en las instituciones públicas uruguayas. Este incidente subraya la necesidad de medidas de seguridad más robustas en las infraestructuras críticas. https://www.elobservador.com.uy/ciencia/intendencia-paysandu-sufrio-ataque-informatico-y-hackers-pidieron-us-650-mil-recuperar-informacion-n5953207
2. Banco Santander: En 2023 y 2024, el Banco Santander fue víctima de hackeos que comprometieron la información financiera de clientes en Uruguay, Chile y España. Estos incidentes, que explotaron vulnerabilidades en los sistemas del banco, han afectado la estabilidad del sistema bancario y la confianza en la seguridad de los datos financieros. Estos incidentes refuerzan la necesidad de políticas de seguridad proactivas y actualizadas para proteger los datos financieros. Ref: https://www.bbc.com/mundo/articles/cp00d7z5jgno https://cincodias.elpais.com/companias/2024-05-31/un-grupo-de-hackers-pone-en-venta-los-datos-robados-al-santander.html
3. Estudio Jurídico Guyer & Regules: En 2023, este prestigioso bufete fue atacado con ransomware, comprometiendo datos sensibles de sus clientes, incluyendo documentos legales y contratos. El ataque subraya la vulnerabilidad de las instituciones legales y la necesidad de implementar medidas de seguridad robustas. Ref: https://www.elobservador.com.uy/nota/guyer-y-regules-ya-habia-sufrido-ciberataques-antes-del-ultimo-hackeo-20239616530 https://ladiaria.com.uy/politica/articulo/2023/9/hackearon-informacion-del-estudio-juridico-guyer-y-regules-y-piden-rescate-la-empresa-ya-presento-la-denuncia/
4. Geocom: En Mayo de 2024, un ataque a esta empresa resultó en la liberación de 77 gigabytes de datos sensibles, afectando a instituciones como CASMU, SMI, ASSE, y el Hospital Evangélico. La exposición de esta información proporciona a los atacantes una ventaja considerable para planificar futuros ataques y ha dejado una mala imagen internacional de la ciberseguridad en Uruguay. Ref: https://www.elobservador.com.uy/nota/todo-lo-que-encontro-un-hacker-tras-liberacion-de-datos-de-geocom-es-peligroso–2024131143512 https://www.elpais.com.uy/negocios/noticias/ciberataque-que-paso-con-la-caida-de-la-red-de-pos-de-geocom-y-cuanto-afecto
5. Mutualista SMI: En noviembre de 2023, esta mutualista fue hackeada, exigiéndose un rescate de $75,000 para liberar la información secuestrada. Este ataque afectó la operativa diaria de la mutualista y puso en riesgo la información médica de los pacientes. Ref: https://www.elpais.com.uy/informacion/policiales/hackearon-el-sistema-informatico-de-la-mutualista-smi-y-trabajan-la-policia-y-agesic https://www.montevideo.com.uy/Noticias/La-mutualista-SMI-fue-hackeada-atacaron-su-sistema-informatico-y-robaron-datos-uc872024
6. Ministerio de Ganadería, Agricultura y Pesca y Ministerio de Trabajo: Estos ministerios han sido objeto de ciberataques que comprometieron datos críticos para la seguridad alimentaria y la gestión de recursos naturales del país. En junio de 2024, un ataque al Ministerio de Trabajo expuso información sensible, subrayando la vulnerabilidad de las instituciones gubernamentales. Ref: https://www.subrayado.com.uy/la-dinara-sufrio-un-ciberataque-el-ministerio-ganaderia-investiga-el-caso-n946397 https://www.laprensa.com.uy/informaci%2525C3%2525B3n/nacionales/18028-hacker-atac-sitio-web-del-ministerio-de-trabajo
7. RedPagos, Abitab y más: Diversas redes de cobros y pagos, ampliamente utilizadas en Uruguay, junto a otras entidades relacionadas a GeoCom, han sufrido robo de información sensible, comprometiendo datos financieros y personales de sus usuarios. Los ataques han afectado la confianza en la seguridad de las transacciones y expuesto a los usuarios a riesgos de fraude. Ref: https://www.elobservador.com.uy/nota/hubo-250-empresas-uruguayas-medianas-que-fueron-hackeadas-en-2023-y-no-lo-saben-segun-una-investigacion-202441014430 https://www.elobservador.com.uy/nota/todo-lo-que-encontro-un-hacker-tras-liberacion-de-datos-de-geocom-es-peligroso–2024131143512

Adopción de Sistemas Biométricos: Un Riesgo en un Entorno Inseguro

A pesar de estos antecedentes de brechas de seguridad, en Uruguay se sigue adoptando el uso de sistemas biométricos en empresas y organismos públicos. El acceso mediante huella dactilar se ha vuelto cada vez más común en diversos sectores. Sin embargo, esta tecnología, que se presenta como una medida de seguridad avanzada, se implementa en un contexto donde la información biométrica, como las huellas dactilares filtradas en el hackeo de la DNIC, sigue siendo reutilizable y susceptible de explotación.

Es crucial recordar que los datos biométricos no pueden ser cambiados, y si son comprometidos, el riesgo de abuso permanece indefinidamente. Esta situación subraya la necesidad urgente de reconsiderar la adopción de tecnologías biométricas en un entorno donde la seguridad de los datos personales no está garantizada.

Ref: https://www.elpais.com.uy/el-empresario/ir-al-supermercado-hacer-las-compras-y-pagar-con-la-mano-la-nueva-herramienta-que-implementa-grupo-tienda-inglesa

Estrategia Nacional de Ciberseguridad en 2024: Lentos Progresos y Preocupaciones Persistentes

En 2024, Uruguay ha estado trabajando en la implementación de su Estrategia Nacional de Ciberseguridad (ENC), la cual está alineada con los objetivos de la Agenda Uruguay Digital 2025. Este esfuerzo es coordinado por Agesic y cuenta con el apoyo de organismos internacionales como el Banco Interamericano de Desarrollo (BID) y la Organización de los Estados Americanos (OEA). A pesar de estos esfuerzos, la ejecución de las acciones ha sido más lenta de lo esperado, con algunos retrasos en la implementación de medidas clave.

El proceso de cocreación de la estrategia ha involucrado talleres y participación de múltiples actores a través de plataformas digitales, con el objetivo de asegurar que la estrategia sea inclusiva y capaz de adaptarse a las amenazas cibernéticas en constante evolución. No obstante, a medida que 2025 se acerca, la falta de avances concretos ha generado preocupación, especialmente en cuanto a la consulta pública, que es un paso crucial para garantizar la transparencia y la participación ciudadana y que aún no se ha realizado.

Enlace al taller de desarrollo de la Estrategia Nacional de Ciberseguridad para Uruguay: https://www.lac4.eu/event/national-cybersecurity-strategy-development-workshop-for-uruguay/

Sin embargo, no se trata solo de defenderse de las amenazas existentes, sino también de anticiparse a las futuras. En este contexto, la Estrategia Nacional de Inteligencia Artificial (IA) se presenta como una pieza clave que, junto con una sólida política de ciberseguridad, podría potenciar la capacidad del país para innovar y liderar en la región. No obstante, al igual que en ciberseguridad, la implementación y avance de esta estrategia también enfrenta desafíos significativos.

El Retraso en la Estrategia Nacional de Inteligencia Artificial: Un Problema Crónico

En octubre de 2023, AGESIC organizó mesas de trabajo donde participaron múltiples stakeholders para discutir la Revisión de la Estrategia Nacional de Inteligencia Artificial (IA). Sin embargo, a la fecha, han pasado 11 meses sin que se presente el documento final. Este retraso constante genera una preocupación significativa sobre la posibilidad de una consulta pública adecuada antes del fin del actual gobierno.

Ref: https://plataformaparticipacionciudadana.gub.uy/processes/estrategia-ia-datos

Este retraso es particularmente preocupante, dado que el tiempo para el actual gobierno es limitado y se enfrenta a la inminente llegada de eventos internacionales clave como el Digital Compact (GDC) y el Summit of the Future, programados para septiembre.

La falta de avances concretos en la estrategia coloca a Uruguay en una posición complicada, ya que el país corre el riesgo de perder la oportunidad de influir en estos procesos globales decisivos. A pesar de los esfuerzos realizados, la falta de una participación activa y preparada en estos foros podría limitar la capacidad de Uruguay para contribuir de manera significativa a las discusiones internacionales sobre tecnología e innovación.

En mis recientes interacciones con AGESIC, resalté la importancia de respetar los períodos de consulta pública, que son fundamentales para asegurar la transparencia y la participación ciudadana en la formulación de políticas de IA. Con el fin del período de gobierno acercándose rápidamente, es esencial que se garantice una consulta pública adecuada que permita que la Estrategia Nacional de IA refleje las necesidades y preocupaciones de todos los uruguayos.

A pesar de estas dificultades, es crucial que Uruguay mantenga su enfoque en la implementación de esta estrategia. Una estrategia de IA bien diseñada y ejecutada no solo tiene el potencial de posicionar al país como líder regional en innovación, sino que también puede sentar las bases para un futuro más seguro y próspero en términos de tecnología y desarrollo digital.

Reflexión Final: Uruguay en la Encrucijada de la Ciberseguridad y la IA

Uruguay se encuentra en un punto crítico. La exposición continua de datos personales, la adopción de tecnologías biométricas en un entorno inseguro, y el retraso en la implementación de políticas de inteligencia artificial son síntomas de una falta de enfoque en la ciberseguridad y en la evolución tecnológica. Es crucial que tanto el gobierno como la ciudadanía actúen para asegurar un futuro donde la privacidad, la seguridad de la información, y la implementación responsable de la inteligencia artificial sean prioritarias.

Sin acciones rápidas y efectivas, Uruguay continuará siendo un país vulnerable, donde la privacidad de los datos personales es una ilusión y donde la seguridad de la información y el desarrollo de IA están constantemente en juego. Es hora de que tanto las autoridades como la sociedad tomen medidas para proteger los derechos fundamentales de los ciudadanos y evitar que estas brechas de seguridad y retrasos en la estrategia de IA sigan ocurriendo.

Con la implementación de buenas prácticas de ciberseguridad, como las recomendadas por OWASP, y una educación continua sobre phishing y malware, Uruguay puede fortalecer su postura en seguridad y asegurar un futuro más seguro y tecnológico para todos.

No podemos seguir ignorando la importancia de la ciberseguridad y de una estrategia sólida en inteligencia artificial, sobretodo cuando vemos avances a nivel global en políticas de IA, en el trabajo de la Policy Network on Artificial Intelligence (PNAI), en las recomendaciones de UNESCO, sólo por mencionar algunas. La seguridad de la información, la privacidad de los datos y un enfoque coherente y ético en IA son derechos y objetivos fundamentales que todos debemos exigir y proteger. Es imperativo que el país actúe con urgencia para fortalecer su postura de seguridad, avanzar en la implementación de IA, y garantizar la protección de sus infraestructuras críticas, datos sensibles y ciudadanos.

Con una estrategia adecuada y la participación activa de todos los sectores, Uruguay puede convertirse en un referente regional en ciberseguridad e inteligencia artificial.