Gobierno de Puerto Rico atribuye el ciberataque recibido al conflicto entre Rusia y Ucrania.

Gobierno de Puerto Rico atribuye el ciberataque recibido al conflicto entre Rusia y Ucrania.

A pesar que el FBI ya lo había advertido en días pasados al sector privado en Puerto Rico contra un posible ciberataque debido al alza en la actividad en el ciberespacio debido al conflicto entre Rusia y Ucrania, fue la vulnerabilidad de los sistemas del gobierno de Puerto Rico que se vió comprometida este fin de semana luego que se perpetrara un ataque a la plataforma de AutoExpreso, administrada por un operador privado, situación que pudo haber expuesto información confidencial de los miles de ciudadanos que utilizan ese servicio.

La falta de garras del gobierno sobre los sistemas manejados por terceros, así como la ausencia de fondos recurrentes que permitan al Estado la adquisición de tecnología actualizada, la contratación de más personal especializado y el reemplazo de equipo obsoleto, son dos de los factores fundamentales que podrían convertir a los gobiernos en una presa fácil para los piratas cibernéticos.

“En los sistemas de monitoreo de nosotros, se han triplicado todos estos ataques, y los estamos mirando. Estamos poniendo en vigor todos los sistemas de prevención y estamos monitoreando, siendo proactivos en las agencias”, señaló Ngai Oliveras, principal oficial de Seguridad Cibernética del gobierno, quien atribuyó el alza en este tipo de alertas, en parte, al conflicto entre Rusia y Ucrania.

 

A pesar de que hace tres años el gobierno cuenta con la Oficina de Puerto Rico Innovation and Technology Service (Prits), no fue hasta abril del año pasado que la dependencia emitió la orden administrativa PRITS -2021-001 para establecer el programa de ciberseguridad del gobierno, que incluye, entre otras cosas, el desarrollo de política pública para atender esa ausencia de garras sobre sistemas manejados por terceros.

La orden administrativa, explicó Nannete Martínez, directora interina de Prits, exige a las compañías que ofrezcan servicios a las agencias que la tecnología que usen sea propiedad del gobierno y “resida” o se mantenga en el “hosting” del gobierno, que pueden ser nubes o servidores. “Favorecemos mucho el uso de la nube, sobre todo, para lo que tiene ver con servicios al ciudadano”, dijo Martínez.

Estos operadores privados también deben contar con la certificación de una agencia acreditora de seguridad que garantice al Estado que tienen los controles mínimos requeridos para que eventos como este ciberataque no sucedan.

No obstante, ambos confirmaron que aún hay muchos sistemas dentro del gobierno operados por contratistas que no están alineados a esa política. “Hay varios sistemas de gobierno que tienen que hacer esa migración y asegurarse que están en cumplimiento, y todos esos procesos toman un tiempo”, argumentó Martínez. “La orden administrativa sí se emitió hace un año. Sin embargo, para unos sistemas es más complejo que para otros, para algunos proveedores y para algunas agencias es más complejo que para otras”, subrayó la funcionaria.

Oliveras, por su parte, dijo que están en proceso de hacer una reunión con los proveedores de tecnología certificados por Prits para explicarles la política pública y exigirles que tengan que cumplir con unos requerimientos y controles mínimos para poder dar servicio al gobierno de Puerto Rico.

En el caso de la empresa Professional Account Management (PAM), operadora del AutoExpreso desde 2018, se aclaró que no están alineados con la política pública. Ningún representante de la entidad estuvo presente en la conferencia de prensa ofrecida por el gobierno, ni se expresaron luego sobre el tema.

Ayer, justo cuando el gobierno informaba los detalles del ataque “ransomware” al sistema del operador privado que maneja AutoExpreso, se informó que la Universidad de Puerto Rico (UPR) también fue víctima de los “hackers” durante el fin de semana, confirmó la presidenta interina de la institución, la doctora Mayra Olavarría Cruz.

La situación fue atendida y no tuvo consecuencias que pudieran afectar a los usuarios del sistema. Tampoco hubo pérdidas de datos, robo de identidad ni daños a los servidores ni a la infraestructura de la red de la UPR, se informó.

Oliveras indicó que, como parte de otros esfuerzos, está el adquirir servicios en tecnología que ofrece la organización “Multi-State Information Sharing and Analysis Center (MS-ISAC)”, contratada por el Departamento de Defensa para velar por la ciberseguridad de los gobiernos locales y estatales, incluyendo a los territorios.

MS-ISAC ya le suple al gobierno unos servicios gratuitos. “Esos sistemas que vamos a adquirir van a estar monitoreando todos los dispositivos del gobierno de Puerto Rico, las PC, las ‘laptops’, los servidores y, entonces, vamos a contar con el monitoreo de ellos 24/7, los 365 días del año… y eso va a reducir significativamente el riesgo porque vamos a detectar las cosas al momento”, explicó.

 

No Comments

Post A Comment

× Contáctanos