VictorEsteban-Ortiz@ajvierci.com.py
A mediados de junio del año pasado, un grupo de ciberdelincuentes (bajo el nombre de Brigada Cyber PC) recopiló filtraciones viejas de la Agencia Nacional de Tránsito, el Ministerio de Salud Pública y la Gobernación de Cordillera, y las puso a disposición para la descarga gratuita en el sitio darkforum.st de la red oscura. A esto se suma la presunta comercialización de una base de datos atribuida al Registro del Estado Civil de Paraguay, según publicaciones en redes sociales, hecho que el pasado sábado 4 de abril, el Ministerio de Tecnologías de la Información y Comunicación (Mitic) descartó.
Luis Noguerol, experto en ciberseguridad estadounidense, estuvo en el país para disertar sobre “Ciberseguridad y amenazas digitales: el accionar de los regímenes autoritarios en el entorno global”, esto en el Foro Estratégico de Seguridad Hemisférica y Democracia. Un día antes, visitó la Redacción de ÚH y analizó diversas cuestiones, una de ellas lo relacionado a la ciberseguridad nacional. El experto explicó en términos sencillos lo grave que resulta que datos personales de cualquier ciudadano paraguayo esté siendo comercializado por ciberdelincuentes en el extranjero.
–¿Qué implica la venta de datos personales de paraguayos en el extranjero?
–Estoy al tanto del evento del 2025 (sobre venta de datos). Quiero hacer una pregunta. ¿Cuando solicitan una tarjeta de crédito, les piden sus datos personales? Sí. ¿Y cuando va a solicitar un pasaporte también le piden lo mismo? Sí. ¿Y cuando va a salir por el aeropuerto para un vuelo internacional pone el rostro delante de una cámara para que le tomen las características biométricas? Sí. Así es como funciona entonces cuando sus datos se comprometen en el evento desafortunado que ocurrió el año anterior cuando se comprometieron los datos personales de toda la ciudadanía paraguaya, datos que además ya habían sido verificados por el Gobierno, es decir datos reales, mi opinión es que se les complicó la vida de manera histórica.
–¿Cómo afecta a un ciudadano paraguayo esta situación?
–Ustedes ya no tienen vida digital porque los datos de cada paraguayo ahora están en China y un ciberdelincuente podrá pedir una tarjeta de crédito a nombre de cualquier ciudadano porque tienen todos sus datos. También tengo sus perfiles biométricos. Se pueden hacer cosas cuando se tienen el perfil biométrico de una persona. El problema fue tan desafortunado que el problema va a estar presente por muchos años. Es algo que ya no tiene solución y en este punto ya no hay nada que puedan hacer con relación a ese fenómeno.
–¿Qué opina sobre el hermetismo del Gobierno sobre este tema?
–Entiendo que el Gobierno por mantener una posición ética, razonable que yo desde el punto de vista ético lo apoyo, pero hay veces que los temas de ciberseguridad y crimen cibernético se manejan de manera diferente. Al final el costo en términos económicos para el país y para las personas individuales de no haber pagado el dinero que pedían de USD 1 por persona (USD 7 millones en total), desde el punto de vista práctico hubiera sido más conveniente, desde el punto de vista político entiendo que no lo es porque no cedimos, no nos dejamos chantajear, no dejamos un precedente. Todas esas razones también son válidas. Pero desde el punto de vista práctico al país le va a costar mucho más el ataque que ocurrió que el intentarlo detener. Es un tema complicado. Van a sufrir por muchos años esto, tienen que estar atentos a sus reportes de créditos. Esto es un tema de una dimensión tan incalculable a corto y mediano plazo que le va costar a muchísima gente vivir con esto.
Noguerol hacía alusión al pedido de estos ciberdelincuentes de USD 7,4 millones al Gobierno paraguayo en concepto de “rescate” y como extorsión para no publicar estos datos.
–¿Lo peor está por venir?
–Todavía no ha ocurrido nada. Todavía están comprando los datos de los paraguayos, todavía están usando la inteligencia artificial (IA) para ver que datos son mejores para los ciberdelincuentes para usarlo en contra de toda la gente. Van a sufrir ese escape de datos, va a tener implicaciones económicas, políticas en algún punto para el Estado. Aún es muy reciente, aún no ha pasado un año. Las personas u organizaciones que compran este tipo de datos lo tienen que procesar, los verifican y se comienzan a hacer pruebas por tanteos a ver si funcionan. Los datos estaban verificados por el Gobierno porque los sistemas que se comprometieron fueron los sistemas del gobierno. No es lo mismo que yo verifique su identidad en mi pequeño negocio a que lo verifique el Gobierno que tiene protocolos de verificación digital diferente, lo que le añade valor a los datos es que son datos verificados por el gobierno. Ellos saben ahora el número de identidad, teléfono, toda la vida, de qué se graduó y cuándo una persona. Definitivamente, cada vez que pueda beneficiarme de los logros de cada persona lo voy a hacer. Esto no es lo peor, lo peor es que 200 tarjetas de crédito VISA o MasterCard en blanco se consiguen por USD 99 (G. 640 mil al cambio actual). Le voy a dar un dato adicional, el printer para imprimir la tarjeta cuesta alrededor de USD 300 (G. 1.941.000) en Amazon. Tienen todo lo que necesitan para imprimir las tarjetas.
–¿En cuántos años se empezaría a sentir con fuerza el robo de datos de paraguayos?
–Yo no me atrevo a citar una fecha en particular, pero los datos necesitan analizarse, filtrarse, necesitan confirmación, necesitan manejarse de manera inteligente o si no se les detiene el negocio. Quien haya comprado los datos entiende cómo funciona. Nadie pagará USD 10 por algo que no le interesa. El que compra el paquete de datos (los robados de sitios gubernamentales) lo hace con la intención de usarlos; nadie invierte dinero para ponerlo a dormir o ponerlo a la basura. Quizá en un año o dieciocho meses se comenzarán a ver los efectos, será progresivo y exponencial y van a sufrir muchísimo; es algo que pueden esperar.
–¿Es responsabilidad del Gobierno esto?
–Es responsabilidad de los proveedores de servicios de tecnologías y el Gobierno como entidad reguladora tiene una responsabilidad que no puede esquivar. El que debe proteger los datos de sus ciudadanos es el Gobierno; los ciudadanos también tienen una cuota que les toca proteger su identidad. El Gobierno como entidad superior de la gestión de datos es el responsable de que los datos se mantengan de manera segura. Eso no implica que puedan existir vulneraciones de datos de manera parcial, pero definitivamente no existía hasta ese momento una infraestructura tecnológica capaz de detener el ataque porque no se produce por un solo sistema y por una hora. Son ataques prolongados que afectaron diferentes sistemas del Gobierno. Así que desde el punto de vista tecnológico, las falencias fueron gigantescas, incluyendo al sector privado, los proveedores de servicios de tecnología, que desarrollaron las aplicaciones para el Gobierno que definitivamente fallaron en términos de control de acceso. Desde el punto de vista del hackeo, hubo ataques de penetración, entiendo que escalaron horizontal y verticalmente. Hubo falencias incalculables desde el punto de vista del Gobierno. Falencias que no se pueden justificar.
–¿Qué puede hacer el Gobierno ahora?
–Mejorar los sistemas de control en términos del uso de toda esa información que ya fue comprometida. Si antes se le verificaba con una certificación de nacimiento en papel, estoy inventando un ejemplo, hoy necesita hacerlo de manera biométrica y eso tiene un costo tecnológico muy grande. Además, no es que ahora lo hagan mejor sino que tienen también que incluir más ciberseguridad. Eso significa que tienen que encriptar los datos de mejor manera. Los datos no estaban encriptados y eso es una barbaridad. Yo no puedo concebir como el 100% de los datos personales no estaban encriptados. No es algo común ni en los países más pobres.
- Cuando sus datos se comprometen en el evento que ocurrió el año anterior, datos que además ya habían sido verificados, mi opinión es que se les complicó la vida de manera histórica.
- Todavía no ha ocurrido nada. Todavía están comprando los datos de los paraguayos, todavía están usando la IA.
