El titular de Agesic adelantó que el ente está trabajando en distintas iniciativas centradas en la educación y la capacitación, como una posible campaña de bien público y un evento de ciberseguridad en conjunto con la Organización de Estados Americanos (OEA). A su vez, representantes de Ceibal y Antel se centraron en otros problemas dentro del mismo paradigma, como la transparencia, los presupuestos y la sofisticación de los atacantes.
Por Jerónimo López
Según cifras de la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic), en 2024 Uruguay registró un total de 14.264 incidentes en ciberseguridad, de los cuales solamente el 0,48% se consideraron de severidad “alta” o “muy alta”. Si se compara con años anteriores, el registro supone un salto exponencial que desde el ente vinculan con la sofisticación en las herramientas de detección, puesto que en 2023 se registraron 4.968, en 2022 un total de 4.169, y en 2021 unos 3.948 incidentes.
En este contexto, la empresa de soluciones tecnológicas Isbel Connection convocó a un amplio abanico de expertos para disertar e intercambiar reflexiones en el eje de la temática. La charla se desarrolló este miércoles en Magnolio Sala, y contó con tres paneles en los cuáles expusieron un total de 12 invitados. Así, entre CEOs y CTOs de empresas privadas como Huawei, Itaú, Nokia o la propia Isbel se encontraban representantes de dependencias estatales como Daniel Mordecki, director ejecutivo de Agesic; Roberto Monzón, gerente de estrategia de seguridad en Antel; y Diego Russo, Chief Information Security Officer (CISO) de Ceibal.
En su participación, Mordecki dijo que “los problemas de seguridad informática son una realidad horizontal que atraviesa el resto de los delitos” y, en este sentido, criticó llamarles hackers a “delincuentes sin ninguna mística ni cualidad técnica especial”. “Hoy en día hay toda una vertical del delito que migró a internet”, comentó en relación a estafas telefónicas que se realizan desde prisiones sin demasiados fundamentos técnicos.
Para paliar la situación, el ejecutivo adelantó que desde Agesic planean potenciar “la difusión, la capacitación y reflotar el programa Seguro te Conectas”, una campaña de difusión creada en 2014 con el objetivo de sensibilizar sobre el uso responsable de internet. En la misma línea, recomendó que “a veces basta con medidas básicas” y exigir una videollamada podría evitar una estafa o transferencia. También celebró la inserción internacional de Uruguay en vínculo con la temática y mencionó que están planeando “organizar un evento de ciberseguridad con la OEA”, tras haber orquestado un curso de respuesta a incidentes en conjunto.
Consultado al respecto, Mordecki dijo a CRÓNICAS que Agesic capacitará en dos flancos. Por un lado, a la población por intermedio de campañas de comunicación, dónde se está barajando la posibilidad de realizar una campaña de bien público, y a través del trabajo con el sistema educativo para “introducir estos temas” en la agenda. El otro flanco es “el trabajo con los líderes para que entiendan que el tema les compete, que no pueden delegar a los técnicos, sino que los técnicos deben brindarles información y herramientas; pero las decisiones estratégicas son intransferibles”.
La visión en Antel y Ceibal
Monzón también dijo que “Uruguay es el primer país de Latinoamérica en el negocio de venta de claves robadas”, y aclaró a CRÓNICAS la importancia de la transparencia al recibir ataques. “Legalmente estás obligado a notificarlo, pero además nos juega en contra no hacerlo porque no podemos recibir ayuda externa”. “A veces se exige secretismo y eso imposibilita utilizar la experiencia de otros para enfrentar una situación”, dijo.
Sobre el presupuesto, dijo en relación a los recursos humanos que “a veces no es solo un tema de dinero, porque aunque te dieran dinero infinito no hay brazos suficientes para implementarlo todo”. Evaluó como el mayor de los problemas “la no inversión atrasada”, que genera “mucha infraestructura con fin de soporte o de vida útil”. Por su parte, Diego Russo dijo que en Ceibal protegen “los dos activos más importantes: las personas y los datos”, algo que requiere “un análisis de la información que maneja la organización” -con el añadido de que son sensibles, dado que pertenecen a cientos de miles de estudiantes, atractivos para los atacantes por ser “lienzos en blanco sin antecedentes de ningún tipo o historial crediticio”- para “saber dónde poner las fichas, porque el presupuesto no es infinito”.
“Ceibal disponibiliza tecnología, y eso tiene que ir acompañado de enseñar el uso responsable y seguro de las tecnologías digitales”, comentó.
Defender en capas
Ana Karina Lucero, líder en ciberseguridad de la Cámara Uruguaya de Tecnologías de la Información, se refirió a la estructura de defensa deseable que deberían tener en cuenta las organizaciones. “En la primera capa están las personas que trabajan en el día a día, que conocen la operativa y deben conocer los riesgos”. En el segundo y el tercero se encuentran “quiénes hacen los controles de que la seguridad se lleva a cabo con orden y control” y, finalmente, “la auditoría independiente”, respectivamente.
En relación a la formación de talentos, Lucero opinó que aún faltan iniciativas y cuando se piensa en educación aparecen solamente dos opciones: “O formamos en ética a los hackers, o profundizamos en desarrollo seguro a los programadores”.
“Tiene que haber una formación de base más transversal a nivel de carreras para que el trabajador del futuro llegue a la empresa con los cimientos”, opinó.
