Han pasado algunos días desde mi última publicación, pero no por eso pasaron pocas cosas. Por ese motivo me he tomado un poco de tiempo para ordenar las ideas que he ido manifestando a lo largo de estas últimas semanas entre algunos colegas y difundido en diferentes medios para hacer un análisis y crítica sobre lo acontecido. Y lo más importante: qué debemos hacer.
A principios de mayo, el gobierno uruguayo presentó con orgullo su Estrategia Digital: billetera electrónica, cédula digital para diciembre, identidad virtual desde julio. Dos días después, la plataforma TuID de ANTEL (una de las piezas necesarias para que este puzzle comience a armarse) era comprometida por el grupo LaPampaLeaks, cuya operativa sugiere más la acción de un individuo que de un grupo organizado. Casi simultáneamente, el grupo DeadPresidents ponía a la venta en la dark web 12 GB de datos extraídos de HG S.A., la subsidiaria de ANTEL que desarrolla plataformas para el Estado. La coincidencia no fue casualidad ni mala suerte: fue la radiografía de un problema estructural que venimos, al menos, subestimando.
Lo que pasó: no un ataque, sino una serie
El 12 de mayo, DeadPresidents puso a la venta en la dark web un paquete de 12 GB de datos extraídos de HG S.A., empresa subsidiaria de ANTEL dedicada al desarrollo de sitios web, aplicaciones móviles y plataformas para organismos del Estado. Entre lo filtrado aparecen credenciales de acceso, bases de datos, documentación técnica, código fuente y acceso completo a servidores internos. No se trató de un hackeo directo: según lo publicado por los propios hackers en la dark web, la filtración provino de un Initial Access Broker (IAB), quien vendió el acceso inicial a los sistemas.
Esto se registró pocos días después de la filtración de TuID, la plataforma de identidad digital de ANTEL. La empresa declaró en una conferencia de prensa que hasta 163 usuarios podrían haber tenido comprometidas «minucias» de sus huellas dactilares, aunque aseguró que no se vulneraron contraseñas, PINs ni certificados digitales. Esto, desde mi perspectiva personal, es minimizar un grave error informático: la filtración se dio luego que tokens de acceso quedaron en texto plano en la aplicación. En palabras menos técnicas: dejaron las llaves de la puerta de entrada a TuID en la puerta de la casa.
DeadPresidents ya había sido vinculado a filtraciones contra la Universidad de la República, la DGI, la ANEP y el Partido Nacional. No estamos ante un grupo oportunista: estamos ante actores que conocen el ecosistema digital uruguayo y operan con continuidad.
Por qué importa: el proveedor del Estado no es el Estado, pero lo representa
El caso de HG expone una vulnerabilidad que las políticas de ciberseguridad uruguayas han tendido a subvalorar: la cadena de suministro tecnológico del sector público. Una empresa subsidiaria del ente estatal de telecomunicaciones desarrolla plataformas para ANCAP, Tickantel y otros organismos críticos. Cuando esa empresa es comprometida, no cae solo ella sino la confianza sobre toda la arquitectura que sostiene, comenzando por la propia empresa de telecomunicaciones.
Interpretar esa coincidencia como un mensaje deliberado no parece descabellado: filtrarlo justo cuando se anunciaba que ANTEL sería el cimiento de la nueva Estrategia Digital tiene una lógica que va más allá del oportunismo.
La respuesta institucional: seguir adelante como si nada
La reacción oficial merece análisis separado. El director general de Presidencia, Diego Pastorín, aseguró que el proyecto de billetera digital seguirá adelante pese a los ciberataques, y que los planes de AGESIC, incluida la migración de infraestructura estatal al datacenter de ANTEL, se mantienen sin cambios. Por si fuera poco, la directora ejecutiva de AGESIC, Cristina Zubillaga, declaró ante la Comisión de Innovación de Diputados que al momento de la presentación pública de la estrategia digital «no tenían ningún conocimiento» del incidente que ya se estaba desarrollando.
Esa respuesta es preocupante en dos niveles. El primero es operativo: si el organismo rector de la transformación digital del Estado no tenía información sobre un incidente crítico que afectaba al principal operador de esa transformación, hay una falla grave de coordinación entre CERTuy, ANTEL y AGESIC. El segundo es político: decir que los planes no cambian no es resiliencia: es negación. La resiliencia hubiera sido anunciar una revisión de los estándares de seguridad exigidos antes de ampliar la superficie de exposición con la cédula digital.
Lo que debería pasar
Uruguay está construyendo una infraestructura digital ambiciosa sobre cimientos cuya solidez no ha demostrado estar a la altura de la amenaza. Que HG gestionara sitios y plataformas para organismos estratégicos sin que existieran controles de seguridad suficientes en la cadena de suministro es una falla de gobernanza, no de tecnología.
Acelerar la digitalización de la cédula de identidad mientras la plataforma de identidad digital acaba de ser vulnerada no es valentía institucional: es imprudencia planificada. El problema no es avanzar, eso está fuera de discusión. El problema es avanzar sin revisar los cimientos cada vez que el edificio muestra grietas.
La ciberseguridad no puede seguir siendo el apéndice que se agrega después del anuncio. Tiene que ser la condición previa al anuncio. Mientras AGESIC no tenga los recursos, la coordinación y la autoridad real para auditar toda la cadena de suministro digital del Estado (subsidiarias incluidas), cada nueva capa que agreguemos no amplía el Estado digital: amplía la superficie de ataque.