Ciberseguridad vulnerable | Noviembre 2023

Uruguay ha logrado avances en ciberseguridad, pero todavía presenta serias vulnerabilidades  

La creciente dependencia de la tecnología ha propiciado un aumento significativo en el ciberdelito. En un mundo cada vez más interconectado, en el cual los delitos informáticos trascienden fronteras, se estima que para el cierre del año 2023 se habrán registrado pérdidas económicas que superarán los 11 billones de dólares debido a estas actividades ilegales en línea. Uruguay no se encuentra exento de esta expansión del fenómeno, como lo demuestran los datos oficiales: en el año 2022, se reportaron 4.169 incidentes de seguridad informática, una cifra que supera en más del doble la registrada cinco años antes, sin incluir ilícitos como el acoso telemático o el grooming. 

De acuerdo con el glosario de términos de la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (AGESIC), un ciberdelincuente es la “persona que realiza actividades delictivas en la red contra personas o sistemas informáticos”. A modo de ejemplo, estas actividades incluyen el acceso no autorizados a una red, la usurpación de identidad por medio de un sistema informático, el acoso telemático, o el fraude financiero mediante manipulaciones informáticas.  

La ciberseguridad, en tanto, se refiere al conjunto de medidas y prácticas implementadas para proteger los datos personales, sistemas y privacidad en el mundo digital. 

Las estadísticas oficiales, que releva el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (conocido por la sigla CERTuy), solo miden incidentes de seguridad.Un incidente de seguridad de la información no abarca el conjunto de ciberdelitos, pues, se define como el acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de información; un impedimento en la operación normal de las redes, sistemas o recursos informáticos; o una violación a la Política de Seguridad de la Información del organismo. No incluye, por tanto,todo lo que comprendeen las conductas de acoso a través de las redes sociales.  

 Como ilustra el gráfico adjunto, en 2018, se registraron 2.152 incidentes informáticos, de los cuales 49 se clasificaron con severidad "alta" o "muy alta". En 2022, se reportaron 125 delitos informáticos de las categorías"alta" o "muy alta". Esto implica que la incidencia de estas categorías se mantuvo oscilando entre el 1% y el 3% del total reportado, siendo el 2022 el año con mayor proporción de delitos informáticos severos.  

Incidentes de seguridad informáticaen Uruguay 

 Fuente: Elaborado en base a datos de CERTuy 

La pandemia de Covid-19, donde la virtualidad tuvo un papel protagónico en la vida social, se hizo sentir una mayor dinámica de los ciberdelitos. En 2020, se detectaron 2.798 incidentes, 38 de ellos graves, lo que supone un descenso de peligrosidad (de 1,9% a 1,4% del total), respecto al año anterior. En 2021 se denunciaron3.948 casos, de los cuales 51 de ellosfueron catalogados de elevados. Es decir, hubo un aumento de 41%, con relación al ejercicio anterior a los 38 de 2022 (aunque en términos relativos, los delitos severos pasaron del 1,4% al 1,3%).  

En el ámbito legislativo y en el contexto de la discusión sobre proyectos en torno a ciberseguridad, se obtuvo información valiosa para comprender un fenómeno en constante evolución, que ha llegado para quedarse, volcada por expertos o delegados de agencias con cometidos en la materia.  

A saber, hubo un aumento de los intentos de los ataques informáticos en general, en particular los de estafas a través de modalidades como el phishing o el malware, a mediados del año pasado,con un incremento del 26% en los “incidentes” en comparación con años anteriores. Es importante destacar que estacifra no siempre se traduce en ataques confirmados (alrededor de la mitad de los incidente se detectaron a tiempo y se lograron evitar). 

Existen dos posibles interpretaciones de los casos de intención de ciberdelitos: 1) Uruguay está aproximadamente en línea con la estadística internacional que sitúa en un 30% los intentos de fraude o engaño; y 2) el país ha mejorado su capacidad de detección de los ataques informáticos. 

El Reporte de Ciberseguridad de 2020, por parte de la Organización de Estados Americanos (OEA) y el Banco Interamericano de Desarrollo (BID), reconoce el progreso del país en materia de ciberseguridad. Ubica a Uruguay como líder en cuatro de cinco dimensiones a nivel de América Latina y el Caribe y le otorga la máxima puntuación en temas referidos a la organización y coordinación de respuesta a incidentes; el desarrollo de la temática en el gobierno; y la confianza de las personas en el uso de servicios de gobierno, entre otros.  

Pero a la vez también se observa la falta de una legislación sustantiva o penal contra el ciberdelito. Es una necesidad básica para proteger el derecho a la intimidad de las personas, además de la necesidad de evitar su impacto potencial negativo en términos económicos.  

Cuando los ciberdelincuentes logran vulnerar datos y acceder a cuentas de terceros, por ejemplo, quedan al desnudo debilidades jurídica y de seguridad,un riesgo latente que puede minar la confianza de los clientes que operan en la banca electrónica u otros servicios digitales. 

El jefe de la Unidad de Ciberdelincuencia del Consejo de Europa, Alexander Seger, en una reunión virtual el año pasado con los miembros de la Comisión Especial de Innovación, Ciencia y Tecnología, de la Cámara de Representantes, advirtió los desafíos que plantea el fraude -en un sentido general- en Internet:preservar y promover los derechos humanos, la democracia, pero también la vigencia del Estado de derecho, “los derechos de los individuos”. 

Diseño institucional 

Con la creación en 2005 de la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (AGESIC) se comienza a construir el organigrama institucional en torno a la ciberseguridad, que tiene tres partes: la de ciberdefensa, a cargo del Ministerio de Defensa Nacional; la de ciberdelincuencia, bajo la égida del Ministerio del Interior; y la de ciberseguridad civil, que involucra a las oficinas públicas, donde interviene la AGESIC, con un papel transversal. 

En 2015, el Ministerio de Defensa estableció el D-CSIRT (Computer Security Incident Response Team), conocido como el Equipo de Respuesta a Incidentes de Seguridad Informática de Defensa. Su misión principal consiste en colaborar en la gestión de incidentes cibernéticos que afecten a infraestructuras críticas y servicios esenciales de todas las unidades ejecutoras, dependencias y otras unidades organizativas bajo la jurisdicción de esta cartera. 

Después, la Unidad de Cibercrimen se estableció bajo la jurisdicción del Ministerio del Interior, dependiendo directamente de la Dirección de Investigaciones de la Policía Nacional. La nueva unidad tiene como objetivos principales la detección, investigación, persecución y represión de actividades ilícitas relacionadas con amenazas, hackeos, ataques o daños dirigidos contra la seguridad, confidencialidad e integridad de sistemas informáticos. El Departamento de Delitos Informáticos, que opera dentro de la Dirección General de Lucha Contra el Crimen Organizado e Interpol, se enfoca en la investigación de delitos informáticos de menor envergadura llevados a cabo a través de computadoras.

Por último, en enero pasado, se instauró la Unidad Especializada en Cibercriminalidad, bajo laFiscalía General de la Nación,para brindar apoyo a los equipos fiscales y coordinar con otras áreas del Estado la respuesta en este tipo de delitos. Está integrada además del fiscal, por un abogado y un especialista en informática.

El camino a Budapest

A pesar de los esfuerzos por modernizar nuestras instituciones, la lucha contra los delitos digitales contemporáneos requiere una revisión legislativa acorde a las circunstancias actuales. Aunque el Código del Proceso Penal, que existe desde 1934, abarca delitos como la estafa o el fraude, no incluye disposiciones específicas para abordar los delitos cometidos a través de Internet.

En el contexto de la globalización, donde los negocios y la vida cotidiana se desarrollan cada vez más en entornos digitales interconectados, es imperativo contar con una legislación adecuada en términos de ciberseguridad para abordar delitos como el phishing, el ransomware y lo que se conoce como "ingeniería social". Esta última engloba diversas técnicas de manipulación empleadas por ciberdelincuentes con el fin de obtener información confidencial de los usuarios y cometer una amplia gama de delitos.

El Informe de Ciberseguridad de 2020 también destacó la falta de una legislación penal sustantiva y procesal en materia de ciberdelitos en Uruguay.

En tal sentido, a instancias de una iniciativa del legislador Sebastián Cal, acompañada por otros 15 diputados, la Cámara de Diputados dio recientemente media sanción a un proyecto que establece la tipificación de ciberdelito con el propósito de brindar protección a las personas  físicas y jurídicas víctimas de ciberataques. La realidad es “preocupante e insostenible” y “requiere una rápida acción de todos los actores”. 

El proyecto a estudio del Senado regula expresamente actividades ilícitas como el stalking (acoso telemático); grooming (acercamiento a menores por parte de adultos mediante el uso de tecnologías informáticas); abuso de los dispositivos (tenencia de programas o mecanismos que permitan la obtención de credenciales o datos de medios de pago); acceso ilícito; daños informáticos; y suplantación de identidad. 

Por otra parte, se propone la creación de un Registro Nacional de Ciberdelincuentes y se establece la posibilidad de inmovilización de fondos ante situaciones de convicción suficiente sobre la existencia de transacciones no consentidas. 

Además, incluye un capítulo de medidas educativas sobre el manejo de finanzas personales y ciberseguridad para impartir a nivel de la enseñanza media, además de beneficiarios del Banco de Previsión Social (BPS), y los programas del CEIBAL y del Instituto Nacional de Empleo y Formación Profesional (INEFOP). 

La aprobación de la regulación sobre el ciberdelito es clave para que el país pueda adherir al Convenio de Budapest, el marco legal por donde se canaliza la cooperación internacional. 

Se trata del primer tratado internacional que proporciona un marco integral en contra del ciberdelito y la evidencia electrónica. Sirve como una guía para cualquier país que deba legislar sobre ciberdelitos y como un marco para la cooperación internacional entre los miembros. Actualmente está integrado por 66 países; otros 15 intervienen como observadores.

Uruguay está en medio de un proceso interno para adherir al Convenio de Budapest, algo que le traería ventajas en la lucha contra el ciberdelito.  Le permitiría integrar una red colaborativa con países de todo el mundo; acceder a programas de creación y fortalecimiento de capacidades para instituciones nacionales y asistencia legislativa; y brindar y solicitar asistencia a los Estados Parte en investigaciones sobre delitos cibernéticos. 

En definitiva, el combate a los delitos por la red requiere de tres acciones, como explicó Seger a los legisladores uruguayos: 1) La existencia de los ciberdelitos en la legislación nacional; 2) condiciones óptimas en el derecho procesal para que las autoridades competentes puedan obtener las pruebas electrónicas de los delitos; y 3)formar parte de la institucionalidad internacional como significa la adhesión al Convenio de Budapest.