Por Darío Rodríguez(*)
El pasado 24 de julio, tras ser advertida por usuarios, la Intendencia de Paysandú (IDP) comprobó que había sufrido un grave ataque informático. En conferencia, el mismísimo intendente había manifestado que “la Intendencia sufrió un ataque furibundo en materia informática. No tenemos casi ningún tipo de servicio habilitado».
La IDP sufrió, técnicamente hablando, un ransomware; los atacantes se apropiaron de la información, luego la encriptaron (encapsularon) en las computadoras de la Intendencia, se quedaron con la “llave” y, posteriormente, pidieron 650 mil dólares para desencriptarla.
La analista programadora de la IDP, Andrea Innella, dijo en El Observador que “a pesar de contar con tres niveles de respaldo, los atacantes lograron infiltrarse en todos ellos, lo que dejaron sin capacidad de recuperación. Por más que quisiéramos, no podíamos recuperar”.
Parálisis y chamuyo
Desde la IDP interpretan que la infiltración se hizo con una máquina virtual creada desde el centro de datos y, desde el mismo, se disparó el ataque. Los técnicos municipales no pudieron establecer desde qué momento los atacantes estaban en la infraestructura. Se sabe que los atacantes operan desde 2016, -han realizado incontables ataques en Estados Unidos, Francia, Italia, Reino Unido, Israel, Canadá-, y poco más.
El ataque paralizó e inmovilizó el servicio de correo electrónico, sistema tributario, liquidación de sueldos, página web, acceso a registro civil y conectividad al Sucive. Cayeron los respaldos de los archivos y no hay soporte de las distintas resoluciones. Tampoco hay agenda para sacar o renovar libreta de conducir. Un severísimo dolor de cabeza del que aún, en la urgencia de reestablecer servicios, no se ha medido impacto y complicaciones futuras.
Expertos consultados subrayaron que “los tres niveles de respaldo” que se habla, estaban accesibles desde la misma red. No contaban con un apoyo offline ni una copia fuera de la red que estuviera “inacessible desde el punto de ataque”.
Sobre la máquina virtual desde la que se atacó, los expertos consultados señalan que los ciberdelincuentes accedieron a la red hace mucho tiempo explotando alguna vulnerabilidad de los sistemas sin que fueran detectados por falta de monitoreo.
Por otra parte, “hay un cumulo de responsabilidades políticas”. El intendente mostró el episodio como una fatalidad, no se podía evitar. “Es una perspectiva de no responsabilidad”. En criollo sacar la pata del lazo.
Aunque no se negocia con “terroristas”, en palabras del intendente, ensayando una defensa de los recursos de la gente, se admite que hay cosas que no se pueden recuperar y que habrá que invertir miles de dólares. “Probablemente el impacto sea incalculable en términos de la información perdida y van a quedar agujeros imposibles de recuperar”.
¿Y el Convenio con AGESIC?
Además, señalan los entendidos, que haya ataques no significa que no se puedan tomar medidas de prevención y de mitigación. Otro experto consultado ejemplificó que, si en un sitio con riesgo de incendio no se contrata prevencionista, personal idóneo y no se adoptan medidas, cuando suceda un evento será catastrófico; como sucedió en la IDP.
Hay que invertir adecuadamente, estar al tanto de las amenazas, actualizarse todo el tiempo, -en equipo y sofware-, además de “nutrir las arcas con personal y capacitarlo”.
Al parecer el área tenía 3-4 funcionarios en una administración con 1700 funcionarios. Tener una esmirriada cantidad de funcionarios “es toda una definición política”.
La IDP tenía, desde febrero del 2020, un convenio marco con la AGESIC que habilita la suscripción de convenios específicos. La Agencia asesora, entre otras cosas, en seguridad digital. La pregunta surge de inmediato: ¿el convenio tuvo seguimiento en este período? ¿Hubo consultas con AGESIC? No fortalecer áreas débiles es otra definición política.
A uno de los expertos se lo consultó sobre la posibilidad de que los atacantes puedan acceder a otras cuentas. La respuesta fue “depende de la seguridad” que tengan. “Aparentemente no hubo vulneraciones de otras Instituciones. Quiere decir que implementaron medidas de ciberseguridad”.
La gravedad del asunto ameritaría tratamiento legislativo, pese a los intentos de “bajarle el precio” y de las mentadas autonomías Departamentales.
Hay una notoria afectación a las personas del Departamento. Una cantidad de información de los ciudadanos que estaba en poder de la IDP; ahora no sabe dónde está. La IDP no puede acceder a ella, pero esa base de datos con direcciones, bienes, pagos, incluyendo la de los funcionarios fueron afectadas. Mañana, por ejemplo, puede ser vendida esa base de datos. “Si mis datos personales, dice un experto, ahora están en manos de terceros y tienen intenciones non sanctas a mí me puede llegar una notificación desde la Intendencia”, que tengo que pagar x cuenta; la pago. “Uno supone que es la intendencia. Puede provocar afectaciones posteriores”.
Además, otras cuestiones, como acceso a cuentas bancarias de personas, podría suceder. Hay que ver caso a caso, por ello, el experto consultado señala que los afectados deberían denunciar y como precaución todos los funcionarios deberían cambiar las contraseñas de sus cuentas personales de mail y otros sistemas.
Consultada sobre la posibilidad de recuperar información, la experta Rosina Ordoqui sintetizó que “depende mucho de la infraestructura que estén por levantar, de todo lo que está comprometido, que es muchísimo, además el tiempo que les va a llevar. Depende de los respaldos”. Coincide que la recuperación llevará meses y dependerá de los apoyos y recursos que se dispongan.
Los impactos de este tipo de ataques, bastantes comunes, son inmensos y en el caso de la Intendencia no se han cuantificado. “Las pérdidas económicas asociadas, señala Ordoqui; pagar rescate o no, como ha sucedido y los tiempos muertos, -más allá de la restauración o la inoperancia-,” son parte de las mismas.
Hay otras pérdidas que tienen que ver “con la reputación y la imagen y confianza pública”. Ni hablar en servicios críticos como salud, transporte o seguridad pública. “Constantemente vemos estos ataques a todo tipo de empresas”.
¿Qué aprendizajes deja el ataque? Hay cierto consenso entre los expertos. Por un lado, es indispensable reestructurar la política de backups (respaldo) y la arquitectura donde se implementan; “al menos tener uno en línea y otro que esté en otro lado” expresó uno de ellos. Por otra parte, “montar un sistema de gestión de vulnerabilidades que alerte sobre sistemas desactualizados, sobre dispositivos “nuevos” o desconocidos, lo que le hubiera permitido identificar la máquina virtual del ataque”. Se cree, tal vez por la precariedad existente que “hicieron agua por todos lados”.
La IDP reconoció que hay que invertir más, admitiendo que la misma era baja. El directo de AGESIC reconoció que si hubiera habido respaldo desconectado de la red principal, se hubieran minimizado los daños. Está claro que insumirá meses o años recuperar “todos los sistemas o crearlos de cero y saldrá cientos de miles de dólares”.
Los que manejan estos temas entienden pertinente que la IDP debe alinearse a alguna norma internacional como la ISO 27001, NIST que “dan líneas sobre todo lo que abarca una gestión de seguridad de la información”. En perspectiva algunos expertos, expresan la pertinencia de conformar un comité para trabajar los temas de resguardos de la información. Ello involucra a tecnólogos, expertos en procedimientos, etc.
Algunos técnicos son lapidarios al concluir que la IDP “hizo agua por todos lados” y que los atacantes “hicieron lo que quisieron”.
Billetera ancha, oídos sordos
Con los 25 millones de dólares del fideicomiso, acordados en la gestión del FA, el actual Intendente Nicolás Javier Olivera realiza obras, decididas discrecionalmente.
Así reparó, con inauguración y mucho tinte electoral y presencia del mismísimo Lacalle Pou Herrera Brito del Pino, -ignorando al medallista olímpico Milton Wynants- el estadio Cerrado 8 de Junio. Concretado en 1977 durante la dictadura y la gestión del intendente interventor Walter María Belvisi.
Con esa abultada billetera, sin rendir demasiadas cuentas, la IDP erigirá Residencia Estudiantil Universitaria (proyecto ya licitado en zona inundable), repara estadio Artigas y despliega otras obras. No siempre respetando la máxima del intendente: “recursos extraordinarios para obras extraordinarias”. Además, en esta ciudad universitaria, de contrastes y creciente pobreza, facilitó el corralón municipal para levantar la nueva sede del Centro Regional. En dicha zona, al igual que en el predio de la ex Textil Paylana, se constituye una nueva centralidad urbana abrazando Plaza y pista de deportes, Hospital y Aulario (universitario-UTU) en la ex terminal de ómnibus.
Con una buena performance en las internas, por el fuerte respaldo en el interior, el intendente confirmó su liderazgo. El 60% de los votantes blancos están en el interior del Departamento. De todas maneras, un sector importante de la ciudadanía la viene pasando mal.
A puro anuncio
Las Intendencias (15) regenteadas por el Partido Nacional, tal vez con matices, tienen matrizada una forma de gestión clientelar, opaca y sin que la información fluya demasiado, al tiempo que minimizan el rol de la oposición y de las Juntas Departamentales. Quizás lo más grotesco sea lo de Artigas.
Volanteo de horas extras, compensaciones, aterrizaje de la Fundación correligionaria “A Ganar” en algunos Departamentos, nepotismo en otros, son parte del “folclore”.
La respuesta orgánica del Partido de Oribe, invariablemente es idéntica: Laissez faire, laissez passer (dejen hacer, dejen pasar) y solamente actúa, confiado en su poder territorial, cuando el asunto se nacionaliza y/o en períodos electorales.
Paysandú tiene sus particularidades, pero también puntos de contactos con otros territorios. Lo común, mayoría automática de la Junta Departamental (JD), ignorancia de la oposición, blindaje mediático vía pauta publicitaria, escasa contestación a los pedidos de informe y un gremio anodino. Lo específico: un manejo muy cuestionable de la JD, incumplimientos, como con el proyecto urbano en la ex textil Paylana siendo que las 8 cooperativas terminarán este año de pagar 32 mil UR y sin que la Intendencia constituya el Fondo de Gestión Territorial. Algún jerarca, sin que se le mueva un pelo, ha sostenido que ese dinero no está. Se incumple con el decreto. Una débil política de tránsito que el año pasado cejó la vida de 15 personas y decenas de lesionados de distinta entidad. Esto con ser grave no parece preocupar.
Cuando asumió su cargo el 26 de noviembre del 2020, Nicolás Javier Olivera, sostuvo a viva voz, que su prioridad sería el empleo. “Dijimos que nuestra prioridad será el empleo. Si bien es una responsabilidad compartida con el gobierno nacional, desde nuestro lugar haremos todo, todo, para que Paysandú se transforme en tierra de oportunidades para muchos”. Cuando hacía tal afirmación el desempleo estaba en el 9 %.
Siendo diputado en anterior legislatura, con una tasa menor de desocupados que la actual (13.5%, 8500 personas. Hay que agregar otras 20 mil personas con distintas formas de precariedad laboral e informalismo) clamaba en cuanto “chupete electrónico” se le cruzara que había que declarar la “emergencia laboral”. Hoy “finge demencia”.
Con la situación cambiaria desfavorable manifestó su impotencia. Hay un agravante. El fideicomiso mencionado, destinaba 1.3 millones de dólares para mitigar el desempleo. Haciendo oídos sordos esos recursos no los utiliza en lo previsto; mayoritariamente lo vuelca a obras.
Consecuentemente, pasó la gestión de anuncio en anuncio; en un procedimiento calcado del gobierno nacional. Por ello, Eduardo Rodríguez, en el semanario local 200nce, escribía sobre las “inversiones con i minúscula”. En nota del 25 de julio señalaba que “lamentablemente varios de los anuncios realizados desde la Intendencia sobre “el desembarco” de inversores se han frustrado, sin que se explique el final de esos procesos que en su etapa inicial se comunican pomposamente. Las que sí se materializan son apuestas vinculadas con el desarrollo informático y de tecnologías, que demandan trabajadores con formación específica y en cantidades relativas. La ex Paylana es el espacio que acoge tres emprendimientos cuya demanda laboral resulta difícil de precisar”.
Repasar estas formas de gestionar “la cosa pública” abruma e indigna. El diario oficialista El País, en su edición del pasado 21 de julio, les bajó línea a sus correligionarios. Alegaba sobre el caso de Artigas: “se veía venir. Existían demasiados comentarios y demasiados trascendidos en la Intendencia de Artigas que apuntaban a un manejo altamente desprolijo de esa comuna. Y por momentos lo de “desprolijo” quedaba corto”. En el final, el escriba es lapidario, “la patria es la dignidad arriba y el regocijo abajo; la patria no es el grupo de mercaderes y de histriones políticos que hace de las prerrogativas del ciudadano nubes que el viento lleva, y que se sientan hoy donde se sentaban próceres… El 10 de setiembre se cumplirán 120 años de la muerte de Aparicio, herido por una bala en Masoller. Es muy bueno, como blancos, recordar el ejemplo y los motivos de su lucha. Ayudará mucho a muchos”.
Mientras se sustancian las prácticas clientelares -se pudieron ver en las recientes internas (reparto de canastas, materiales, promesas de empleo)-, se observa mayor cantidad de gente revisando volquetas, pobreza infantil y altísimo desempleos.
Aquí los correligionarios, como el resto del país, andan de capa caída y los estruendosos voceros oficialistas están ocultos.
(*) Darío Rodriguez es Licenciado en Ciencias de la Comunicación (UdelaR), periodista y asesor en temas de cooperativismo, vivienda y hábitat.
