Ataque cibernético evidencia precario sistema de seguridad en el gobierno

Dos semanas después del incidente que le costó al gobierno al menos $200 mil, todavía no se han identificado los responsables.

Por Metro Puerto Rico

Por: Damaris Suárez

Centro de Periodismo Investigativo

El gobierno no podrá ofrecer servicios en línea de forma eficiente mientras carezca de una política pública integral de tecnología, y el ataque cibernético que afectó la pasada semana al sistema electrónico del Departamento de Hacienda es prueba de ello, según tres expertos en tecnología consultados por el Centro de Periodismo Investigativo.

La falta de controles de seguridad y el uso de sistemas operativos obsoletos en esa agencia podrían parte de la razón por la que intrusos lograron acceso al sistema en el ataque que dejó inoperante su página web.

El gobierno ya tiene un informe preliminar sobre lo ocurrido el lunes, 6 de marzo y recomendaciones sobre la implementación de un sistema de seguridad específico para Microsoft, preparado por los mismos especialistas de esta compañía. Ese informe no entra en el aspecto forense del ataque pirata, explicó Luis Arocho González, Principal Oficial de Información del gobierno (conocido por sus siglas en inglés, CIO), quien además indicó que espera un segundo informe por especialistas en tecnología cibernética de la empresa CompSec Direct, con los detalles del origen y los posibles responsables del ataque pirata, el cual será entregado al FBI.

De acuerdo al funcionario, la falla del sistema surgió por la falta de una política de seguridad cibernética adecuada en la agencia, la principal responsable de recaudar las contribuciones de los ciudadanos.

“Los especialistas en tecnología cibernética nos han solicitado más tiempo para entregar la parte investigativa de la posible procedencia del ataque y la evidencia que se sometería a las autoridades federales que esperamos esté saliendo durante el fin de semana o para inicios de la próxima”, confirmó. No se ha cuantificado el costo del ataque pirata, pero la inversión preliminar del gobierno para normalizar el sistema según Arocho ronda los $200,000. Para mitigar el ataque, el gobierno contrató CompSec Direct, con base en Washington, que ha ofrecido servicios al Departamento de la Defensa de EE.UU.. Se integraron también a la investigación funcionarios de Hacienda, la Unidad de Crímenes Cibernéticos del FBI, y la Enterprise Incident Response, unidad élite de respuestas cibernéticas de Microsoft.

El sistema se restableció el pasado sábado -cinco días después del ataque-, pero el gobierno dejó de ingresar en recaudos unos $25 a $30 millones diarios durante una semana debido a que no se pudieron radicar planillas, confirmó el secretario de Hacienda, Raúl Maldonado, quien añadió que espera recuperar los recaudos esta semana.

“La seguridad en Hacienda estaba deficiente. Logran entrar porque había una contraseña básicamente como viene del manufacturero. No hay una política de seguridad ni controles establecidos. La operación en general no estaba a acorde con las mejores prácticas de seguridad”, dijo Arocho.

El funcionario admitió al Centro de Periodismo Investigativo que las configuraciones utilizadas por la agencia no se ajustan a las que son sugeridas por los parámetros de óptima seguridad del National Institute of Standards and Technology (NIST) del gobierno de Estados Unidos, y el Center for Internet Security, entre otras entidades. Mencionó que existen sobre 500 máquinas en la agencia con sistemas operativos que se consideran obsoletos por el manufacturero, y que por esta razón se han sacado del mercado, como Windows XP, Windows 2000 y servidores con Windows 2003.

En el caso del Departamento de Hacienda son varios los suplidores responsables de ofrecer la seguridad de los sistemas pero, Arocho aclaró que no han tomado la decisión de responsabilizarlos por el ataque cibernético. “No hemos llegado a eso”, dijo.

Haz click aquí para leer el reportaje completo

Loading...
Revisa el siguiente artículo