PRITS se ampara en políticas de confidencialidad para no brindar información específica.

Un informe del Puerto Rico Innovation & Technology Service (PRITS) correspondiente al trimestre de octubre a diciembre revela ciertas fallas sobre los esfuerzos de ciberseguridad en el gobierno, pero también demuestra lo difícil que puede ser fiscalizar el desempeño del gobierno en esa área.

PRITS publicó en días recientes el informe que le es requerido por la Ley 40-2024 que dispone que la dependencia divulgará a la Legislatura cada tres meses “los resultados de sus gestiones e investigaciones”. La ley hace referencia al tema de la confidencialidad al señalar que se publicará información “velando por el cumplimiento de la protección de información confidencial”. Además, deja en manos de PRITS establecer los estándares en cuanto a qué se puede publicar.

Este informe es público.

En el documento más reciente firmado por principal oficial de Información en Innovación, Poincaré Díaz Peña, se indica que entre octubre y diciembre hubo 2,369,643 “detecciones” que son clasificadas en términos de su importancia, desde las críticas hasta las de baja severidad. Luego de que se reportaran 680,322 detecciones críticas en octubre, la cifra bajó en noviembre y se disparó nuevamente en diciembre hasta alcanzar 647,033. El 80.4% de las detecciones en el trimestre fueron críticas.

Una detección crítica se define como una que representa un “riesgo inminente y grave para la ciberseguridad de una agencia”. Se consideran altamente sofisticadas y pueden causar daños significativos, brechas de datos o interrupciones de servicios.

Pero PRITS se ampara en las prácticas de confidencialidad para identificar las dependencias más vulnerables, imposibilitando la fiscalización adecuada de la prensa. Por ejempo, bajo la categoría de servidores más vulnerables aparece en primera posición el recinto de Río Piedras de la Universidad de Puerto Rico, pero los siguientes cuatro no se pueden identificar con la información hecha pública.

El informe alude a un evento significativo de ransomware que fue reportado y discutido públicamente el 25 de noviembre. La prensa entonces identificó que instrumentalidades como la Corporación del Fondo del Seguro del Estado, la Administración de Servicios de Salud y el Departamento de Educación fueron algunas de las afectadas.

Un «ransomware» es un ataque cibernético en que los responsables secuestran datos y condicionan su liberación a cambio de un pago o acción específica.

“Al momento del incidente, las agencias afectadas contaban con servicios de monitoreo activo provistos por PRITS y la Oficina para la Evaluación de Incidentes Cibernéticos (OEIC)», lee el informe. No se precisa qué significa afectadas y la portavoz de PRITS indicó que eso es información confidencial.

“Los ambientes comprometidos correspondían a infraestructuras fuera de soporte, tanto a nivel de sistemas operativos como del agente de detección utilizado por la OEIC, lo que limitó la capacidad de detección temprana y de respuesta automatizada en dichos entornos”, indicó Díaz Peña el informe donde tampoco se identifican las instrumentalidades “fuera de soporte”.

“No podemos dar detalles de las vulnerabilidades. Esa información es confidencial, no se puede publicar sobre ellas”, indicó la portavoz de PRITS, Leticia Jover. “El informe tiene lo que requiere la ley”.

«La idea de los informes es ver cómo el gobierno va mitigando», agregó.

Ningún funcionario de PRITS estuvo disponible para entrevista.

PRITS indicó a los legisladores que se inició un proceso de “actualización de ambientes afectados”, modernizando sistemas operativos e instalando agentes de detección.  Aunque se señala que “varias agencias” han implementado medidas correctivas, no las identifica.

“A raíz de este incidente, se comenzó una revisión integral de la arquitectura tecnológica, las políticas de respaldo, la segmentación de redes y los controles de acceso de los sistemas impactados…”, indica PRITS.

El escrito también repasa acciones tomadas por PRITS como evaluaciones de seguridad en páginas web, aplicaciones y componentes críticos. Además, campañas educativas, adiestramientos y se enviaron dos alertas de phishing a oficiales principales de informática de las agencias.

El phishing, indica el informe, es una técnica utilizada por cíberdelincuentes para engañar a usuarios y obtener información confidencial como contraseñas y otros datos.