Víctor Muñoz, director del Departamento Administrativo de la Presidencia de la República, habló con EL TIEMPO sobre las medidas de seguridad que se han tomado en el Gobierno para prevenir ciberataques, un asunto del que se ha hablado mucho en los últimos días, sobre todo, por las elecciones de este domingo.



Se ha hablado mucho de ataques cibernéticos y de riesgos cibernéticos en los últimos días, ¿Qué es un ataque cibernético?

Un ataque cibernético es una actividad que tiene como intención acceder o dañar un sistema informático. Estos ataques pueden ocasionar variedad de efectos, como pérdidas económicas o el robo o pérdida de información y por supuesto, la afectación de la reputación o seguridad de la organización afectada.



¿Cómo se prepara una entidad del gobierno para esto?

En el caso de las entidades públicas, existe una política transversal de seguridad digital y la Política de Gobierno Digital, de las cuales se deriva todo lo relacionado con la definición e implementación de un Sistema de Gestión de Seguridad de la Información, que permita identificar y gestionar los riesgos a los que se enfrentan las entidades al manejar su información en el día a día. Cuando se implementan las acciones derivadas de estas políticas, de la mano del Modelo de Privacidad y Seguridad de la Información, las entidades pueden evitar la materialización de riesgos o establecer los mecanismos necesarios para mitigar sus consecuencias.



¿Cuántos ataques se reciben al año por parte de una entidad del gobierno?

Lo primero es diferenciar entre eventos, incidentes o ataques, porque del término depende el nivel intensidad y la afectación ocasionada.

Evento es cualquier acontecimiento observable en un sistema o red. Los eventos incluyen un usuario que se conecta a un archivo compartido, un servidor que recibe una solicitud de una página web, un usuario que envía un correo electrónico y un firewall que bloquea un intento de conexión. Los eventos son neutrales, no necesariamente implican un impacto negativo.

Un incidente cibernético es la materialización de una violación o amenaza inminente de violación a las políticas de seguridad, políticas de uso aceptable o las prácticas de seguridad estándar

Ataque es un intento de destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado o hacer uso no autorizado de un activo.

La diferencia clave entre ataque e incidente, es que el primero es "cualquier intento", mientras que el segundo es "la materialización", es decir ya hay una afectación.

Al año ocurren millones de eventos, en el CSIRT Gobierno en el 2021 se registraron 325 incidentes, y unos 8 ataques confirmados.



¿Qué pasó en el caso del Dane?

La entidad se vio afectada por un código malicioso en la red, que se orientó al borrado de servidores, sistemas de archivos, bases de datos, etc., por los cuales el atacante pidió un rescate. La recuperación en el caso del DANE se logró ágilmente por cuanto pudieron desplegar un plan de recuperación y se utilizó infraestructura “en la Nube”.



¿Qué pasó en el caso del Invima?

El Invima fue víctima de un ataque de Ransomware, que inyectó código malicioso, encriptando la información, al inhabilitar a la entidad la posibilidad de acceder a la información en sus servidores y computadores, afectó la normal prestación de servicios de la entidad.

En el caso del Invima, desafortunadamente, la entidad aún no había terminado su proceso de migración a la nube, donde se disponen más herramientas, tanto para prevenir algunos de estos ataques, como para facilitar la recuperación o rehabilitación de servicios mediante el aprovisionamiento ágil de infraestructura.

Es importante anotar que al mismo tiempo que se estaba dando esta situación en el Invima, otras organizaciones, por ejemplo, en Estados Unidos, sufrieron el mismo ataque, con la misma variante o código base del “Ransomware”, denominado “BlackByte”.



¿Se habla de 400.000 ataques recibidos por entidades, o de escaneos, es lo mismo?

Es importante precisar eso, un ataque de recopilación de información a través de “Scanning”, es un tipo de ataque que envía múltiples solicitudes a un sistema para descubrir puntos débiles, en los más fuertes pueden ser miles de solicitudes, para reunir información sobre servidores, servicios y cuentas, etc. Normalmente, se considera más útil, contabilizar el número de ataques desde la categoría de incidente cibernético, según su clase, que contabilizar las solicitudes de escaneo que se registren del mismo.



¿Colombia está preparada para repeler ataques cibernéticos?

Colombia tiene unas capacidades en sus instancias de ciberseguridad y ciberdefensa, que se orientan a la prevención, detección y análisis de las amenazas que se presentan en el ámbito cibernético. Sin embargo, la capacidad de repeler ciber-ataques, depende también de las medidas y acciones que desarrollan las distintas organizaciones, no solo las que han desarrollado las instancias existentes en esta materia en Colombia.



¿Que es ColCERT?

El ColCERT es Grupo de Respuesta a Emergencias Cibernéticas de Colombia, cuya finalidad es asesorar, apoyar y coordinar a las múltiples partes interesadas para la adecuada gestión de los riesgos e incidentes digitales. Así mismo, es el punto único de contacto y respuesta nacional que coopera y ayuda a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel nacional e internacional de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes.



¿Que es CSIRT?

Los CSIRT son Equipos de Respuesta a Incidentes de Seguridad en el ámbito cibernético de los diferentes sectores, que entre sus objetivos tiene, que al materializarse un incidente cibernético, se pueda coordinar la respuesta de una entidad u organización -de forma tal- que la misma sea lo más inmediata posible, conteniendo el mismo y buscando la más oportuna recuperación para reducir los posibles impactos. Por supuesto, tienen también una orientación a la prevención de tales tipos de incidentes, por lo cual cada vez son más importantes. En el caso del Gobierno, por ejemplo, se cuenta con el CSIRT Gobierno, que acompaña de manera específica a las entidades del Gobierno, pero también existen CSIRT sectoriales, como el que tiene el sector Financiero, Operadores Telcos entre otros del sector privado.



¿Que ha hecho este gobierno en materia de ciberseguridad?

Desde el Plan Nacional de Desarrollo, se estableció la aplicación y aprovechamiento de estándares, modelos, normas y herramientas que permitan la adecuada gestión de riesgos de seguridad digital.



Es tal la relevancia de este tema para el Gobierno Nacional, que con el liderazgo del señor Presidente de la República, se elaboró el Documento CONPES 3995 de 2020, Política Nacional de Confianza y Seguridad Digital, el mismo señor Presidente de la República, mediante Directivas Presidenciales como la 03 de 2021, y 02 de 2022, instruyó con lineamientos y directrices orientadas a fortalecer las medidas de seguridad digital de las entidades, así como la adopción de tecnologías “en la nube”.

Más recientemente, se expidió el decreto que busca fortalecer la gobernanza de la seguridad digital, la identificación de infraestructuras críticas cibernéticas y servicios esenciales, la gestión de riesgos y la respuesta a incidentes de Seguridad Digital en las entidades del Gobierno Nacional y desde la Consejería Presidencial de Transformación Digital y Gestión y Cumplimiento, se emitió la Circular 01 de 2022, con recomendaciones y directrices de uso de servicios en la nube como medida para mitigar riesgos de seguridad digital, y, como oportunidad para obtener beneficios en cuanto a la estandarización de alcances técnicos mínimos exigibles, escalabilidad, seguridad de la infraestructura, protección de los datos, actualización de las plataformas, redundancia, flexibilidad, oportunidad y disponibilidad y que le brinden a las entidades la capacidad de resiliencia corporativa oportuna ante un fenómeno de afectación.

Algunas fundaciones y organizaciones dicen que desde el PMU Cyber se hace monitoreo al activismo en Redes...

Eso no es cierto, el PMU Cibernético lo que hace es garantizar que el entorno digital sea apto para el desarrollo normal del proceso electoral, dentro de sus principales responsabilidades esta coordinar las acciones de respuesta a incidentes cibernéticos, como son los de infección de código malicioso, denegación de servicios, daño o alteración de portales web y noticias falsas.



En ese sentido la revisión frente a fuentes abiertas se hace frente ad los contenidos que puedan desinformar, no se hace análisis a cuentas en particular sino se evalúan las principales tendencias que puedan afectar el proceso electoral.



Hay a quienes la legalidad les incomoda, y el PMU Cyber no tiene otro propósito que garantizar el correcto funcionamiento digital del Gobierno.



