18 febrero 2015

Sitios web: 98 entes públicos son vulnerables

La advertencia fue formulada por el director de la ATT, Luis Felipe Guzmán, durante un taller realizado en la sede de Gobierno el pasado 12 de febrero. Según dijo, las autoridades del Estado no prestaron atención a la seguridad de sus sistemas informáticos lo que contribuyó a elevar la vulnerabilidad de los mismos y que confluyó en sendos ataques de hackers a varias entidades estatales y una mutual a fines de enero y comienzos de febrero de este año.

Los expertos Guido Rosales y José Luis Machicado de Yanapti Corp y la Agencia para el Desarrollo de la Sociedad de la Información en Bolivia (Adsib) dependiente de la Vicepresidencia, respectivamente, incidieron en observar –al igual que el director de la ATT– el descuido de las autoridades del Ejecutivo y el permanente recambio de técnicos y personal de las instituciones, además dijeron que en general existe poca atención de las autoridades sobre la necesidad de proteger los sistemas informáticos en las entidades estatales que portan información pública.

Según estadísticas mostradas por Rosales, el sistema financiero nacional puntea el ranking de entidades nacionales en cuanto a sistemas de prevención y contingencia avanzados, por lo que las transacciones de los usuarios son seguras. Muchas operaciones están encriptadas y cuentan con planes de acción inmediata, explicó el experto.

SIN RESULTADOS

Guzmán dijo que en septiembre pasado se llevó adelante un evento para desarrollar planes preventivos ante eventuales ciberataques, pero lamentablemente las entidades públicas no adoptaron las medidas necesarias ante dichas circunstancias y a solo pocos meses varias de ellas fueron objeto de ataques por hackers. Según César Sanginés del Instituto Boliviano de Normalización y Calidad (Ibnorca), dos hackers habrían consumado el bloqueo de las páginas de la Policía, ministerios de Comunicaciones y Defensa (Armada Boliviana) y de una mutual. Un grupo de 98 página web de entidades públicas en el país tienen alta vulnerabilidad porque están diseñadas con sistemas PHP. En muchos casos no solamente el ciberataque consiste en bloquear el acceso de los usuarios con avisos o mensajes altamente destructores de la confianza en el portal, mientras que otros optan por utilizar la “fuerza bruta” es decir que buscan inutilizar el servidor y destruir sus sistemas.

CRÍTICA

Machicado indicó que “cada vez que ocurre un ataque las autoridades se reúnen” en alusión a una actitud reactiva cuando lo que se impone es el desarrollo preventivo de planes de contingencia. La seguridad absoluta no existe coincidieron los expertos. Citando a Eugene Spafford, profesor de la Universidad de Purdue, Indiana (Estados Unidos), Machicado manifestó que así un secreto sea introducido debajo la tierra en una caja de cemento y con gas mostaza a su alrededor, no resulta nada seguro, por lo menos para el propio profesor especialista en ciencia informática.

DESCONECTARSE

Los dos expertos señalaron que solo una computadora apagada estaría a salvo, pero coincidieron también en señalar que hoy un sistema puede ser seguro, mañana no. Señaló además que ante cualquier ataque si una entidad no tiene una copia de los sistemas y aplicativos “que Dios se apiade de los responsables del sistema”. Según, Dmitry Bestuzhev, ejecutivo de Kaspersky Lab América Latina, existen muchas soluciones de seguridad para mantener los equipos protegidos, pero están sometidas a la misma voluntad de los usuarios, es decir, es cuestión de compromiso.

BLOQUEO

El primer ataque cibernético se realizó el pasado 11 de enero a la página web de la Policía Boliviana. Días después, otros hackers ingresaron a la página de la Armada Boliviana. El 4 de febrero la página del Ministerio de Comunicación también fue vulnerada aparentemente por hackers chilenos. El 5 de febrero, las páginas web del Ministerio de Defensa y Mutual la Primera sufrieron otro ataque. Hace 15 días se produjo otro ataque a una entidad estatal, según dijo Machicado durante su intervención en el referido taller.

CAUSALIDAD

Para Rosales la inseguridad no responde a la casualidad, sino a la causalidad.”Es una forma de decir que algo puede comenzar a degradarse de a poco hasta que se rompe, o por otro lado, el conjunto de condiciones inseguras sumadas a actos inseguros y peligros latentes, podrán en un momento derivar en inseguridad”, señaló.

BARATO CUESTA CARO

Los expertos afirmaron casi de manera inequívoca que las condiciones inseguras pueden ser identificadas por varios factores. Muchas veces saltan a la vista y hasta son predecibles. “Por ejemplo existe una lógica de ´lo barato, lo simple, lo fácil´ o como les gusta decir a los marketeros de corto plazo 'Bueno, Bonito y Barato', entonces puede existir la posibilidad de que en ciertos tipos de lugares las cerraduras no sean acordes a lo que se protege. En general podemos observar que la inseguridad es un peligro latente y se va a materializar con mayor probabilidad por cuanto dejamos condiciones inseguras y somos propensos a cometer actos inseguros”, sostuvo Rosales.

La ADSIB creó una aplicación (csirt.gob.bo) para evitar hackeos en entidades e instituciones públicas, informó su director Nicolás Laguna la misma que está vigente desde el 9 de febrero pasado, pero no hay demanda de cursos de actualización de parte del personal estatal, criticó Machicado.

No hay comentarios:

Publicar un comentario