En cuestión de días, durante el cambio de mes, varias entidades públicas y el banco líder del mercado de créditos hipotecarios del país fueron blanco de ataques que comprometieron datos sensibles y obligaron a suspender servicios digitales.
Durante un lapso de días entre el cambio del mes de septiembre a octubre, Uruguay fue sido escenario de dos importantes incidentes de ciberseguridad que afectaron cinco organismos estatales como al Banco Hipotecario del Uruguay (BHU), la principal institución de créditos para viviendas de ese país.
Según el sitio Daily Dark Web, un grupo identificado como LaPampaLeaks aseguró haber vulnerado las redes de al menos cinco organismos estatales: la Dirección Nacional de Identificación Civil (DNIC), la Administración Nacional de Educación Pública (ANEP), la Intendencia de Montevideo, el Sistema Único de Cobro de Ingresos Vehiculares (SUCIVE) y el programa de Conectividad Educativa de Informática Básica para el Aprendizaje en Línea (Plan Ceibal). Los atacantes afirmaron haber extraído millones de registros que contienen información altamente sensible, incluyendo nombres completos, números de cédula, direcciones, teléfonos, vínculos familiares, historial educativo, datos de vehículos y hasta geolocalización de dispositivos estatales. Parte de esta información estaría disponible en una plataforma privada en Telegram.
Este incidente a organismos estatales se suma a otros de gran magnitud ocurridos este año. Hace unos días solamente informábamos en este blog sobre otra filtración en la Corte Electoral del país, lo que ha puesto en evidencia serias vulnerabilidad de los sistemas públicos ante amenazas digitales sofisticadas y ha generado preocupación sobre la protección de la privacidad de los ciudadanos. Hasta el momento, no se ha emitido una respuesta oficial conjunta por parte de las autoridades uruguayas, ni se conoce la cantidad exacta de ciudadanos afectados.
En paralelo, el Banco Hipotecario del Uruguay enfrentó un ataque de ransomware reivindicado por el grupo Crypto24, que logró sustraer más de 700 GB de información sensible. El ataque obligó a la entidad a dar de baja su red institucional, incluyendo página web, correos internos y sistemas de pago, con el fin de proteger la información de clientes y garantizar la viabilidad de los sistemas.
«Hemos accedido a más de 700 GB de la información más sensible, incluyendo datos personales de clientes, registros contables, contratos legales, documentos de propiedad, archivos de crédito y riesgo, operaciones de mercado y configuraciones de seguridad informática», afirmaron los atacantes, quienes además impusieron un plazo de diez días para recibir un rescate antes de difundir la información de manera progresiva.
La interrupción digital indispuso el sitio web, los servicios de correo, así como los pagos de cuotas y depósitos en redes de cobranza descentralizada de la entidad, por lo que el BHU procedió a implementar un plan de continuidad concentrado en la atención presencial en su sede principal y sus diferentes sucursales, específicamente para trámites vinculados a créditos, solicitudes de préstamos, consultas de expedientes y gestión de inmuebles, además de habilitar un número telefónico y alternativas de comunicación con sus clientes en sur redes sociales oficiales.
Este martes 8 de octubre, tras una semana desde la interrupción de sus sistemas, el BHU anunció que habilitó los pagos de cuotas a través de su red de cobranzas, a la espera de restablecer otros servicios.
En el caso del BHU, el incidente tampoco es nuevo. Ya en 2022, el Banco Central del Uruguay sancionó al Banco Hipotecario por incumplimientos en seguridad de la información Tanto el estado uruguayo como el BHU se enfrentan ahora al desafío de restaurar la confianza de los ciudadanos y clientes, mientras los atacantes mantienen presión mediante amenazas de divulgación de información sensible.