Ciberseguridad en instituciones de Gobierno en Uruguay

LA REALIDAD INVISIBLE

La ciberseguridad en la empresa privada ha sido un tema tabú en Latinoamérica, principalmente porque la gran mayoría de casos que ocurren relacionados con brechas de ciberseguridad se mantienen tras las puertas de las empresas afectadas y no se hacen públicas a menos que sean los delincuentes los que divulgan los incidentes para ejercer presión.

Si hablamos de instituciones de Gobierno ya sea en Uruguay o en la mayoría de países del mundo, la ciberseguridad llega a tener implicaciones y consecuencias diferentes en comparación con la empresa privada. Para nadie es un secreto que los Gobiernos tienen una exposición enorme cuando se trata de la opinión pública, también se ven afectados por sesgos generados por el malestar de algunos sectores y la presión que pueden ejercer los medios de comunicación.

Todo esto nos puede generar una falsa sensación de que algunas cosas están peor de lo que es la realidad aunque para ser francos, sí existe un ecosistema muy variado para bien y para mal cuando se trata de ciberseguridad. Es usual que las instituciones de Gobierno que son más grandes lleguen a capturar más presupuesto y allí nos encontramos un nivel de madurez mayor en temas de ciberseguridad, pueden adquirir soluciones de alto costo en la industria y en muchos casos dependen de las grandes consultoras para dar seguimiento a sus procesos.

Existen instituciones que poseen un tamaño menor y de igual forma su presupuesto y nivel de madurez también es más reducido, en muchos casos no poseen departamentos dedicados a ciberseguridad, pero si disponen de procesos y soluciones que son administrados por el departamento de tecnología. Por otra parte, existen instituciones que son pequeñas, que dependen de presupuestos limitados y en su mayoría luchan para hacer lo que pueden con lo que tienen, en algunos casos se aplican prácticas de ciberseguridad básicas aunque por lo general los presupuestos no lo permiten.

Pandemia de presupuestos

Ya todos estamos cansados de escuchar sobre Covid 19 y la pandemia, sus efectos son demasiado visibles como para mencionarlos, pero pensemos en un aspecto interesante, la pandemia vino a recortar presupuestos en todos los gobiernos del mundo incluyendo a Uruguay y como nos podemos imaginar, uno de los presupuestos más afectados fue el de ciberseguridad que de todas formas ya estaba siendo castigado por muchas otras aparentes prioridades.

Cuando las cosas salen mal

Cuando algo va mal, siempre puede ir peor.

Veamos el ejemplo puntual de Costa Rica en Abril de 2022, según el reporte de estado de ciberseguridad en Latinoamérica y Caribe emitido por la OEA , Costa Rica no estaba nada mal posicionada en materia de ciberseguridad, con leyes de delitos cibernéticos, ley de protección de datos, una estrategia nacional de ciberseguridad y un centro de respuesta a incidentes nacional.

¿Qué paso entonces?
Veamos la receta para el caos.

  • Presupuestos recortados por pandemia.
  • Existían vulnerabilidades reportadas desde mucho tiempo atrás que no fueron atendidas de forma oportuna.
  • Muchas de las instituciones no tenían personal capacitado en ciberseguridad.
  • Muchas de las instituciones no realizaban revisiones periódicas de ciberseguridad.
  • De las instituciones que sí realizan revisiones de ciberseguridad, las ejecutaban con modelos de consultoría tradicional.
  • Las instituciones que deben cumplir el rol de fiscalizar el cumplimiento de la normativa no tenían recursos suficientes para poder dar seguimiento.
  • El centro de respuesta a incidentes (CSIRT) no tenía personal suficiente para poder atender a más de 300 instituciones de Gobierno.
  • La estrategia nacional de ciberseguridad estaba llena de buenas intenciones y apoyo internacional, pero carecía de voluntad política.

Ahora que tenemos los ingredientes, sumemos al escenario a un grupo criminal de Ransomware as a service (RaaS) que puso sus ojos en las instituciones públicas de Costa Rica (luego lo hicieron con Perú). El efecto fue desastroso, el Ministerio de Hacienda caído, paralizando la facturación electrónica, las importaciones y las exportaciones de todo el país. Las pérdidas por la disrupción de los servicios fácilmente supera el costo de la recompensa de $10 millones de dólares que cobraba el grupo criminal Conti por el rescate. Luego, fue el turno de la institución encargada de la seguridad social y servicios médicos (CCSS) que se vió afectada por el grupo Hive (con presuntos vínculos con Conti) y paralizó el sistema de citas de todo el país, se perdieron seguimientos y hasta las cirugías médicas programadas se vieron afectadas de alguna forma.

Dicen que es difícil aprender de los errores ajenos, pero puedes hacer un examen de conciencia sin decir nada sobre la siguiente pregunta: ¿Cuántos de esos síntomas mencionados poseen las instituciones públicas en Latinoamérica?

Puede que el único ingrediente que hace falta sea el grupo criminal interesado en atacarle

Hacer lo de siempre, genera los mismos resultados

Aceptémoslo, ya no estamos en los tiempos cuando las pruebas de penetración anuales eran suficiente y si intentamos forzar el modelo de consultoría tradicional a entornos ágiles que cambian todos los días, el resultado va a terminar siendo un dolor de cabeza para usted porque será un cuello de botella.

La falta de pruebas de penetración manual basadas en modelos actualizados y apoyados por plataformas de servicios bajo demanda permite poder estar al día con la ciberseguridad sin tener que revisarlo una vez al año y cruzar los dedos.

De hecho, lo más cómodo y lo que hacen muchas empresas consultoras es justificar los servicios de siempre para evitar a todo costo la transición que va a implicar el sacrificio de sus márgenes para compartirlos con un tercero o desarrollar las plataformas por su cuenta, lo que sería mucho más costoso para ellos.

Si recordamos los síntomas mencionados anteriormente, la falta de un proceso para gestionar todas las vulnerabilidades causó que pasara el tiempo y que las cosas no se resolvieran. Si se estuvieran adoptando métodos modernos basados en automatización para realizar revisiones continuas de seguridad (DevSecOps), podrían descubrir los riesgos lo antes posible y solucionarlos cuando es más barato hacerlo (desde el inicio).

Son pocas las instituciones que realizan capacitaciones de concientización de seguridad (Security Awareness) para evitar que sean las personas las que permitan que ingrese el software malicioso y es bien sabido que el phishing es la principal puerta de entrada para el Ransomware. Tampoco es común que las instituciones de Gobierno realicen ejercicios de validación proactiva como los ejercicios de Equipo Rojo (Red Team) que ayudan a simular lo que pasaría ante un ataque real por parte de un grupo criminal avanzado. Por último, la realización de respaldos es poca cuando existe y no tener un proceso que realiza los respaldos de forma constante y con copias fuera del alcance de delincuentes será lo que dicte si podrá recuperarse pronto o en mucho tiempo en caso de ataque.

Los delincuentes evolucionan constantemente, cada semana hay una nueva variante de Ransomware o se descubren nuevas vulnerabilidades que se comparten y explotan entre grupos criminales antes de que se hagan públicas.

En WhiteJaguars duramos 10 años afinando nuestro proceso hasta que lo lanzamos al mundo. Por supuesto que existen otras soluciones para gestión de vulnerabilidades y pruebas de penetración, pero lo importante es realmente analizar si lo que está haciendo actualmente es suficiente y le ayuda a protegerse ante el comportamiento de los delincuentes que cambia todos los días.

¿Qué tan seguro se siente si trabaja para el Gobierno?

En WhiteJaguars nos sentimos muy orgullosos de aquellas instituciones de Gobierno que han decidido evolucionar para descubrir con nosotros las tendencias que lideran en los países de mayor madurez en ciberseguridad, desde sector bancario público hasta municipios, hacer las cosas bien esta al alcance de todos.
Puede que sea el momento de descubrir lo que se ha estado perdiendo y que ya muchas empresas en LATAM y Silicon Valley están utilizando.

Este sitio web utiliza cookies para mejorar su experiencia, puede consultar nuestra política de privacidad.