El plan del gobierno uruguayo para blindar bancos, mutualistas y redes de pago frente al ciberdelito

(Desde Montevideo, Uruguay) - Después de un año en el que se detectaron casi 5.000 incidentes relacionados a la ciberseguridad –aunque solo el 1% fue clasificado con severidad alta o muy alta–, el gobierno uruguayo impulsa la aprobación de un proyecto de ley que tipifica nueve nuevos delitos y puso en marcha un Registro Nacional de Incidentes de Ciberseguridad que hasta ahora solo funcionaba con el sector público.

Este registro se ampliará a los bancos, las redes de pagos, las mutualistas y las empresas de telecomunicaciones, que son los sectores que están más expuestos a ciberataques y que deben cumplir una serie de obligaciones, según informó El País. Este control lleva datos técnicos y los antecedentes de ciberseguridad que fueron denunciados, además de incluir informes realizados por el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy).

Las entidades públicas y privadas estarán obligadas a comunicar a la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic) los incidentes de ciberseguridad que hayan ocurrido en un plazo de 24 horas. Además, deberán tener un responsable de seguridad de la información, planificar medidas para mejorar controles y adoptar normas de prevención. Estas oficinas están obligadas a informar de forma completa e inmediata la existencia de un posible ataque.

“Lo importante en ciberseguridad es trabajar en la detección y prevención de los incidentes. Partimos de la base de que más tarde o más temprano existirán los ataques, por lo que la estrategia debe apuntar a detectar a tiempo el incidente y estar preparados para que sea lo menos dañino posible”, declaró el director de Seguridad de Agesic, Mauricio Papapelo.

En este organismo, además, trabajan en la redacción de un decreto reglamentario que baje a tierra las nuevas exigencias y aseguró que este proceso llevará un tiempo ya que no todas las entidades públicas y privadas tienen el mismo nivel de madurez en cuanto a la ciberseguridad.

Si una entidad del sector privado no acata las exigencias, Agesic tendrá la potestad de exigir los ajustes de procedimientos que crea necesarios y el cumplimiento de medidas específicas para prevenir posibles riesgos. Incluso podrá establecer sanciones, según la gravedad del incumplimiento.

“En materia de ciberseguridad no se puede trabajar de manera solitaria. Es algo que no puede afrontar ningún país en soledad, ni tampoco ningún organismo dentro de cada país puede hacerlo sin el apoyo de otras áreas públicas y privadas. Hay que tener claro que nadie puede defenderse solo”, señaló.

Papeleo aseguró que los incidentes en Uruguay serán cada vez más y la gravedad de estos, mayor. “Es algo que no se puede evitar. Están involucradas organizaciones muy preparadas como si fueran multinacionales. Las organizaciones de hackers son como una multinacional, tienen departamentos de gestión humana, contrataciones, ingeniería. Funcionan igual o mejor que una gran empresa”, aseguró.

En el Parlamento, el oficialismo pretende que se priorice un proyecto de ley que crea nueve ciberdelitos, establece la realización de una campaña nacional educativa con el fin de incrementar la prevención y propone la creación de un registro de ciberdelincuentes. Además, le da herramientas a los bancos para la inmovilización de fondos en caso de movimientos no reconocidos, consignó La Diaria.

El proyecto establece el delito de abuso de los dispositivos para quienes produzcan, importen o faciliten a terceros programas, sistemas o datos que faciliten otro delito. Además, establece que será penado también la suplantación de identidad y un aumento de la pena para el delito de estafa, que pasará a tener una mínima de un año a una máxima de cuatro años de prisión.

Otros delitos que se crearán si se aprueba el proyecto son el de interceptación ilícita, de datos informáticos en transmisiones privadas, de vulneración de datos, de acceso ilícito a datos informáticos y de daños informáticos.