4 minute read
Solicita a los abonados que cambien la contraseña de las cuentas
Conocedores en informática analizan la situación y hacen recomendaciones al gobierno
Alejandra M. Jover Tovar >ajover@elvocero.com
El ciberataque al sistema de la Autoridad de Acueductos y Alcantarillados (AAA) la semana pasada dejó expuesta la información de los clientes y empleados, informó la agencia, que les pidió que cambien las contraseñas para proteger los datos.
Ante este ataque cibernético, EL VOCERO consultó conocedores del campo de la ciberseguridad, sobre qué podría estar fallando en los sistemas de las agencias de gobierno.
Según la AAA, “como parte de los hallazgos de la investigación, hemos validado que hubo información de clientes y empleados comprometida. De igual forma se detalló que la infraestructura crítica no fue impactada, esto debido a la segmentación de las redes de la AAA”. La AAA tiene sobre 1.2 millones de abonados.
Ayer, aunque los abonados podían entrar a la plataforma en línea, el sistema no les permitía realizar pagos.
Para Giancarlo González, exoficial de informática del gobierno y fundador de la empresa Urbital.io, “lo más preocupante es el patrón. Si vamos atrás, vimos un ‘phishing attack’ en Pridco (Compañía de Fomento Industrial de Puerto Rico), uno en el Departamento Hacienda al inicio del mandato de Ricardo Rosselló y hace poco la Legislatura estuvo inoperante por el asunto de los jaqueos. Son muchos, y esos son de los que nos estamos enterando”.
Señaló que le consta la vulnerabilidad de los sistemas, por lo que en su incumbencia firmaron un acuerdo con el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC, adscrito al Departamento de Seguridad Nacional de Estados Unidos). El acuerdo fue renovado por Nannette Martínez, directora ejecutiva de la Oficina de Innovación y Servicios de Tecnología (Prits), “pero eso no es suficiente. Por un tiempo, se lleva hablando de crear un puesto de director de Seguridad de la Información (CISO, en inglés), y se ha estado debatiendo en la Legislatura cómo hacer eso”, abundó.
“A la ciberseguridad nadie le presta atención hasta que explota”, afirmó González. “Hay que considerar dónde se almacenan los datos en el gobierno y tener una política de manejo y uso de datos actualizada”, abundó. En cuanto a Prits, “habría que nombrar un CISO y darle un equipo de 15 o 20 personas especializadas en ciberseguridad”, recomendó.
Sin respuesta uniforme
Wilton Vargas, editor de Telnético.com,
En sus primeras expresiones lo que nos habían informado fue que hasta el momento los datos personales no se habían comprometido, (pero) la propia Autoridad se contradijo al decirnos que sí se comprometieron datos sensitivos personales de clientes y de empleados.
Iván Vargas Muñiz expresidente del capítulo de Mayagüez Unión Independiente Auténtica (UIA) de sostuvo que hay falta de consistencia y coherencia al implantar los sistemas de seguridad, y considera que no ha habido una respuesta uniforme a los ciberataques.
“Todos los sistemas del gobierno tienen su finquita y cada agencia ha decidido manejar las cosas según entiende que debe hacerlas, y no ha habido una consistencia a nivel de gobierno de cuáles son los procedimientos básicos”, expresó Vargas.
Agregó que para evitar los ciberataques
“tiene que venir un claro mandato del cuerpo legislativo o de la Rama Ejecutiva. El mundo empezó a cambiar en los 90 (con la masificación del uso de internet) y es necesario que se haga algo al nivel más alto posible para que tengamos confianza en el manejo de datos por parte del gobierno, y esto tiene que venir acompañado de una conversación con verdaderos expertos locales para que formen parte de esa aportación”.
Giovanny Collazo, fundador de la empresa Blimp, señaló que Prits hace buen trabajo, pero considera que el gobierno es muy grande y no hay políticas homogéneas.
Agregó que los ataques cibernéticos deben ser informados a la ciudadanía de forma inmediata y transparente.
“Hay que saber ¿qué pasó, cómo ocurrió, cuál fue el contratista que hizo la configuración? Porque en Puerto Rico hay otras compañías privadas que deberían saber qué está pasando para tomar medidas y protegerse”, continuó.
En cuanto a la petición de Acueductos a los abonados de que cambien las contraseñas de sus cuentas, Collazo especuló que pudiera deberse a que los ciberpiratas tienen la información personal comprometida.
“Cambiar las contraseñas es útil, porque la gente (las) reúsa y si un atacante sabe tu contraseña de Acueductos y sabe tu correo electrónico, puede intentar entrar en tu cuenta de banco, porque es probable que estés usando ese mismo ‘e-mail’ y esa misma contraseña en otros sitios”, apuntó.
“Que estén pidiendo cambiar las contraseñas no es necesariamente evidencia de nada, pero que estén pidiendo que lo hagas me pone nervioso de que no estén usando las mejores prácticas para guardarlas”, agregó Collazo. “Hay formas de cifrarlas, pero si no lo han hecho así, podrían reusarlas en otros ataques”, alertó.
Siguen investigando el incidente, y que la organización criminal que atacó esta agencia de gobierno ya está identificada.
Protéjase de ciberataques
Administrador de contraseñas: Un ‘password manager’ como BitWarden le va a permitir tener una contraseña maestra para acceder al programa, que genera contraseñas complejas e irrepetibles. Puede obtenerlo de manera gratuita.
Cree una contraseña en partes —‘passphrase’—: En vez de tratar de recordar una contraseña con mayúsculas, minúsculas, símbolos y números, puede crear una palabra compuesta de pedazos de una frase, o iniciales sobre ciertos eventos. Por ejemplo: “Me gradué de la UPR” se puede convertir en “MgradeliuP”.
Anótelos: Use el método de apuntar sus cuentas y contraseñas en una libreta a la que solo usted tenga acceso. Si en algún momento hace un cambio, recuerde actualizarla.
Acueductos informó este fin de semana que en conjunto con Prits y el Negociado Federal de Investigaciones (FBI) están trabajando con
“Al momento continuamos analizando el posible impacto, el vector de ataque y el alcance de este para emitir una comunicación más detallada a los usuarios afectados”, expresó la presidenta ejecutiva de Acueductos, Doriel Pagán y la directora ejecutiva de Prits en comunicado de prensa, sin datos adicionales porque la pesquisa está en curso.
Preocupados
Iván Vargas Muñiz, expresidente del capítulo de Mayagüez de la Unión Independiente Auténtica de Acueductos (UIA), señaló que en sus primeras expresiones la AAA informó que los datos personales no se habían comprometido y ahora “la propia Autoridad se contradijo al decirnos que sí se comprometieron datos sensitivos personales de clientes y de empleados. En el caso de nosotros como empleados, también somos clientes, lo que nos pone en mayor riesgo”.
Pedro Irene Maymí, expresidente de la UIA, indicó que “realmente es preocupante que luego de lo que ocurrió con los peajes, que las agencias de gobierno no se hubiesen preparado contra este tipo de ataques”, puntualizó.
Senador
Semanas
El senador por el Partido Popular Democratico, Juan Zaragoza, sostuvo que los cambios contributivos deben estar respaldados por estudios que evidencien el impacto económico. >Archivo / EL VOCERO
