EC —El riesgo implica que un ataque masivo puede ser desarrollado por una empresa, por un loco suelto o por un país. Recordemos el telón de fondo de la campaña electoral en Estados Unidos: se ha especulado con que determinadas filtraciones de correos electrónicos provenientes del Partido Demócrata formaron parte de una operación rusa para intervenir en la contienda entre Hillary Clinton y Donald Trump. Y hace poco hubo otra filtración de correos electrónicos de los asesores de Hillary Clinton, WikiLeaks ha jugado como el intermediario que distribuye y publica esos correos, y de nuevo ha aparecido la interpretación de que Rusia está de por medio. Y hay otra “guerra fría” en materia de espionaje informático o de posibles ataques informáticos entre Estados Unidos y China, está latente todo el tiempo. De esas dimensiones estamos hablando.
SP —Hubo un caso que fue muy renombrado, una empresa italiana que se dedicaba a generar herramientas para hackear y para espionaje, y de hecho fue hackeada y revelaron quiénes eran los clientes que contrataban servicios de esa empresa. Esto existe, hay una industria y un mercado muy grandes atrás de esto, uno puede pensar que hay razones políticas, como bien decías, pero existen también secretos industriales, casos coyunturales en que sirve más acceder a la información de la competencia de manera ilegítima que hacer un estudio de mercado, una investigación legítima. Existe una amenaza latente.
EC —Y existe el riesgo de terrorismo también.
SP —Por supuesto.
EC —Teniendo en cuenta este panorama, ¿quién se ocupa de custodiar internet? En principio, internet, por definición, es algo anárquico, infinito, no es factible pensar que haya una institución que ponga efectivos metro a metro tomando recaudos.
SP —Absolutamente. Y en lo personal digo: por suerte no existe una organización que tenga el control absoluto de internet, porque perdería esa ventaja de cosa anárquica con capacidad de desarrollarse por sí misma en un ambiente realmente de multistakeholders, con distintos tipos de interesados.
Lo que existe, tanto en los países como en las regiones, a nivel global, es lo que nosotros llamamos el ecosistema de ciberseguridad. En Uruguay tenemos la Agesic en Presidencia de la República, donde está el Certuy, y tenemos responsabilidad por los servicios que son críticos para el país, servicios que afectan de forma masiva a la población, servicios de gobierno, servicios que afectan al sector financiero.
EC —Agesic funciona como un comité de emergencia vinculado a internet.
SP —Claro, existe un Consejo Asesor en Ciberseguridad, en el que están el Ministerio de Defensa, el Ministerio del Interior, etcétera, pero somos los coordinadores de ese ecosistema. Dentro de ese ecosistema está la ciberdefensa a nivel del Ministerio de Defensa, en ese ministerio existe una unidad que se dedica a trabajar los aspectos de ciberdefensa específicos. Dentro del Ministerio del Interior existe una unidad que trabaja la parte de cibercrimen, de delitos informáticos, que trabaja la parte de investigación en crímenes de esta naturaleza. Dentro del Plan Ceibal se desarrolla un equipo de ciberseguridad, un equipo de respuesta a incidentes específico para trabajar la tecnología asociada al Plan Ceibal. Trabajamos en esa línea, en desarrollar este ecosistema que existe en Uruguay, y existen análogos en Argentina, en Brasil, en Estados Unidos, en Israel, en España. Básicamente todos los países han adoptado el camino de generar un ecosistema, normalmente coordinado por una agencia, con actores que vienen del sector público, del sector privado, de la academia, de la sociedad civil, de usuarios. La tarea es coordinar, generar espacios de intercambio entre esos actores. Normalmente hay una agencia que tiene esa responsabilidad.
En la agenda de gobierno digital para 2020 uno de los proyectos que tenemos es mejorar la capacidad operativa del Certuy, de modo de poder detectar incidentes. Tenemos una capacidad de detección bastante buena, pero estamos respondiendo a los incidentes en el entorno de una hora, dos horas. Queremos pasar a minutos, lo que significa tener gente 24/7 mirando pantallas, mirando sensores, para dar respuesta en el momento en que aparece una alerta. Nuestro objetivo en realidad sería prevenir, detectar antes del ataque que está ocurriendo algo.
EC —¿Así se podría haber actuado ante lo del martes, por ejemplo? ¿O es solo para situaciones de ataque?
SP —Imaginemos que tenemos una página web, un servicio web y vemos que alguien empieza a probar una contraseña, prueba una, prueba dos, prueba tres… En ese momento veo que alguien está intentando atacarme y puedo responder, no hacerlo en el momento en que logró consumar el ataque.
EC —O sea que el servicio de respuesta que ya existe pero se procura volver más eficiente está vinculado con ataques.
SP —Sí, con ciberataques. Y en esa línea una de las cosas que pretendemos es que este sea un equipo multistakeholder, es decir que tanto el sector público como el privado como la sociedad civil tengan la posibilidad de participar, tener presencia y acceder a información que les es competente para su tarea.
***
Transcripción: María Lila Ltaif
