Graziano Pascale
Aunque en apariencia son casos diferentes, sin puntos de contacto entre ellos, el sinuoso camino recorrido por la compra de «las «galletitas del Brou», después de que @PhDenLogica revelara en su cuenta de X que ese banco había dispuesto la compra de 6.500 paquetes de galletitas por un total de $400.000, y el hackeo al Banco Hipotecario de 700 GB de información, analizado en su cuenta de X por @ADanielHill, pueden «leerse» como la tomografía de un paciente que padece una enfermedad incurable, en régimen de cuidados paliativos, pero que rechaza la eutanasia.
Aunque los detalles ya son bastante conocidos, vale la pena repasarlos, en la medida en que el acceso público de esta información apenas ha merecido espacios laterales en los medios tradicionales. Todos quienes hemos seguido el desarrollo de ambos episodios nos basamos en la información proporcionada por las mencionadas cuentas de X, lo que ya de por sí constituye un punto de encuentro entre ambas noticias: la escasa atención que los medios le han dado, que está en relación inversamente proporcional a su importancia.
El pasado 8 de setiembre @PhDenLogica publicó en su cuenta que el Banco República había dispuesto la compra de 6500 paquetes de galletitas por un monto de $ 400.000. En pocos días su publicación tuvo 200.000 vistas, 1000 likes y casi 500 Rts. Un mes después, y vista la enorme repercusión que había tenido la publicación, el BROU resolvió dejar sin efecto la compra.
Recién ahí, la compra frustrada llegó a un portal de noticias.
Debió pasar más de un mes para que el tema se transformara en noticia para un medio como Montevideo Portal, y eso ocurrió a partir de la anulación de la compra, no desde el momento en el que el hecho que lo provocó se conoció en X.
Por diversas razones, el caso del Banco Hipotecario del Uruguay (BHU) es más complejo, pero aún así es posible encontrar el tenue hilo que los une. Comencemos por lo obvio: no es el primer caso de hackeo de información a sitios estatales (riesgo del que no están exentos tampoco los sitios privados) que toma estado público. Por esa razón -la ausencia de novedad- es entendible que el hecho no haya tenido el impacto que uno podría esperar. A medida que se fueron conociendo más detalles, el tema escaló a un nivel muy alto, pero básicamente entre especialistas, ya que para su comprensión más profunda es necesario manejar vocablos y ciertos conceptos sobre tecnologías de la información que no integran el bagaje de conocimiento del público profano.
También en este caso la información y el análisis suministrados por una cuenta de X (la de @ADanielHill) fue clave para entender lo que había pasado, más allá de la pobre información proporcionada por el propio BHU. El ataque ocurrió el 30 de setiembre, y fue de tal envergadura que durante varios días el sitio permaneció fuera de línea. Recién el 13 de octubre el BHU publicó en su web la siguiente información:
«El Banco Hipotecario del Uruguay informa que continúa restableciendo sus servicios en forma segura para los clientes y la institución. Desde la semana pasada se encuentra habilitado el pago de cuotas a través de la red Abitab y a la brevedad se restablecerá la misma operativa a través de Redpagos. Recordamos que sigue disponible la atención personalizada en casa central y sucursales, con información de créditos, ingreso de solicitudes de préstamos, otorgamiento de préstamos, recepción de consultas de expedientes, gestión de inmuebles, entrega de primeras copias y operativa habitual de retenciones. Desde el día del incidente de seguridad de la información oportunamente informado, el banco ha venido trabajando con las autoridades correspondientes, (CERT.uy, Unidad de Ciberdelitos y la Unidad de Reguladora y de Control de Datos Personales) a efectos de seguir sus recomendaciones y el cumplimiento de la normativa. En cuanto a la información divulgada, recordamos que está en curso una investigación, por lo cual continuaremos proporcionando toda la información que sea factible en este marco. Queremos transmitir a nuestros clientes la tranquilidad de que no hubo afectación financiera. Asimismo, comunicamos que el banco cuenta con la información para restablecer la operativa, pero esto se realizará en forma paulatina de acuerdo a las mejores prácticas de seguridad recomendadas por los organismos competentes frente a este tipo de eventos.»
El análisis de Alberto Daniel Hill concluye que el «incidente de seguridad», como lo definió el BHU, fue en realidad una «catastrófica exfiltración masiva de más de 700GB de información de identificación personal de clientes críticamente sensible y datos internos». Agrega que «el análisis forense reveló una negligencia fundamental: el 90% de las contraseñas de usuario expuestas se clasificaron como débiles o demasiado débiles».
El tenue hilo que los une
Aunque los efectos de ambos episodios son muy diferentes, y las consecuencias para las instituciones afectadas y sus clientes y el público en general no son comparables, resulta claro que sólo una mezcla de impericia , desaprensión, falta de un análisis adecuado de riesgos y casi nula responsabilidad de quienes de un modo u otro participaron en la equivocada toma de decisiones, hacen posible que estos hechos ocurran.
El telón de fondo que todo lo cubre es el de una organización estatal que ha ido perdiendo en forma peligrosa contacto con la realidad, y que vive «muros adentro» una existencia diferente a la de los ciudadanos comunes, que se ven expuestos a serias consecuencias si manejaran sus asuntos personales con la misma displicencia y falta de responsabilidad de quienes tomaron aquellas decisiones, o buscaron mitigar sus efectos sin sufrir por ello perjuicios personales.
Esa separación creciente entre el Estado y la sociedad, más tarde o más temprano, traerá aparejadas consecuencias que cambiarán la historia del país en un grado que todavía no se alcanza a percibir. No hay modo de evitar un desenlace de este tipo. Sólo resta esperar que la solución nazca desde dentro del propio sistema, para que al menos el propio Estado no pierda el control de los hechos.