El bochorno que (casi) nadie vio.

El miércoles, temprano en la mañana, si alguien se metió en la página oficial de La Fortaleza se encontró con algo peculiar: en lugar de la conocida imagen de Alejandro García Padilla o los últimos comunicados de prensa por parte de la Mansión Ejecutiva, aparecía una bandera de Estados Unidos y el mensaje “[!] Hacked by MindCracker”. 


Si no lo vio, espérese: en menos de 10 minutos, si volvía a tratar de entrar en la página (que se usa para accesar servicios y conocer los últimos pormenores del Ejecutivo) se habrá dado cuenta de que iba para otra parte... particularmente, a la página www2.pr.gov, “Portal oficial del Estado Libre Asociado de Puerto Rico”. ¿Y entonces?

Tomó dos horas y quince minutos resolver el papelón y, si bien ahora la página corre sin problemas, dejó en evidencia que cualquiera está expuesto a un ataque cibernético y, en el caso de organizaciones gubernamentales, esas invasiones podrían tener consecuencias graves.

“Presentamiento” con consecuencias

De hecho, no sabemos cuál pudiera ser el alcance, si alguno, del hackeo de la página de Fortaleza, y es precisamente esa incertidumbre lo que hace estos ataques tan peligrosos. De acuerdo con el licenciado Fernando Cervoni, abogado y profesor de derecho informático, “pueden haber ocurrido tantas y tantas cosas, pero dependerá de un análisis forense para saber qué pasó... Le compete a los dueños del sistema determinar si fue un breach de seguridad en los servidores, en las bases de datos, en el router, en el firewall o por qué no había un detector de intrusos (intruder detection)”.

De acuerdo con el experto, existen dos tipos de hacking. Uno externo, conocido también como “hacktivism” (como el que hace el grupo Anonymous) y el interno, que generalmente es el que peor daño causa porque suele darse para robar recursos o datos. 

“Las consecuencias de no atender esto pueden ser nefastas porque no sabes dónde residen esos servideores y qué otra información reciben”, recalcó Cervoni. “Son muchos factores los que están en juego... los hackers se pueden meter en bases de datos a apagar servicios; ahora mismo mira el caos que se forma cuando DTOP no está funcionando. Es más, con el sistema DAVID, si alguien decide apagarlo o hackearlo vamos a tener un montón de carros en los muelles porque no se podrán emitir tablillas, por ejemplo. Si vas a tumbar el centro de datos del Departamento de Salud... las impliaciones pueden ser graves. ¿Qué esfuerzos está haciendo el Estado para prevención?”, se cuestionó.

Más allá de las implicaciones criminales que trae el hacking, la verdadera pregunta es quién se metió a jugar con la página de La Fortaleza, y para qué. Cervoni no puede hacer esa determinación, pero asegura que el equipo de sistemas de información debe seguir la pista para determinar cómo, cuándo, por dónde y para qué invadieron el website. “Pueden llevar un mensaje y llevarse información... llevarse nombres, e-mails, direcciones, seguros sociales encriptados o no... pueden modificar infomación o interrumpir transacciones comerciales”, ejemplifica el experto. “Puerto Rico, en términos generales, no tiene un centro de datos sino un montón. La Oficina de Gerencia y Presupuesto (OGP) está bajo el mismo centro de datos y ha incluido a otras agencias pero, por ejemplo, el Fondo del Seguro del Estado tiene el suyo... en general, la seguridad está dividida en pedacitos y existe la posibilidad de que una falla en una red  afecte eventualmente otra red”. 

El efecto sería desastroso si se diera un ataque sincronizado. En este caso,  o al menos hasta el momento, no parece haber pasado de ser una broma de mal gusto pero que no deja de ser preocupante. “La página de Fortaleza no es el fin del mundo, pero puede dar pie a otras cosas”, recalca Cervoni. “Es que no sabes si ese servidor es virtual, si lo corren otras agencias, hasta dónde puede llegar, si está en la misma red de La Fortaleza... sería especular y especular...  pero que no sepamos hasta dónde llegó y las consecuencias, eso es otro cantar”.

Reacciona la Mansión Ejecutiva

Primera Hora solicitó una reacción a Ricardo Alfaro, director de Tecnología de la Oficina del Gobernador. A través de un comunicado de prensa vía correo electrónico, se indicó lo siguiente:

“En el transcurso de la mañana de hoy (ayer) detectamos una anomalía en el portal cibernético de La Fortaleza.  Tan pronto identificamos la situación activamos el protocolo de seguridad para proteger los usuarios e infraestructura tecnológica de La Fortaleza.  Una vez garantizada la seguridad e integridad de nuestra infraestructura procedimos a indagar sobre lo ocurrido.  Nuestros hallazgos preliminares nos muestran que el ataque no involucró ningún servidor interno de La Fortaleza”, se aseguró en el comunicado.  

“La Mansión Ejecutiva utiliza una conexión que es parte de la red interagencial por lo que obtuvimos apoyo de la Oficina de Gerencia y Presupuesto (OGP) para garantizar la integridad de las comunicaciones al exterior”, explicó Alfaro por medio del comunicado. “Una vez tuvimos un entendimiento de lo ocurrido y cotejamos nuestra configuración de seguridad, procedimos a reactivar el tráfico al Internet para nuestros usuarios.  El portal también fue reactivado en horas de la mañana luego de verificar la integridad del código para garantizar una navegación segura para los ciudadanos”.

Nada es 100% seguro

El portal de La Fortaleza es solo un botón de la inmensa muestra de portales que, a diario, reciben ciberataques. El problema no es el “hacker” sino qué tan rápido se detecta y responde a la invasión. 

“La seguridad se verifica con software que el Estado tiene, y me consta que monitorean los servicios para así mantener la seguridad de los sistemas en la manera en que sea posible. Pero siempre va a haber una falla o un programador va a dejar un código mal escrito, y va a haber forma de entrar”, advierte el abogado. “Le toca ahora al grupo de trabajo de Fortaleza analizar la red. Recibimos montones de ataques todo el tiempo, pero la responsabilidad del equipo es mantenerlo actualizado e implementar medidas de seguridad que monitoreen constantemente para prevenir. No es que no vaya a pasar sino que, cuando pase, qué procedimientos implanto para  determinar qué hicieron y si se llevaron algo”, concluyó Cervoni.