Exclusivo: algunos de los sistemas mas críticos de Uruguay expuestos a vulnerabilidades que permitirían acceso remoto y control total.

Previo a la situación de pandemia, durante un período de dos semanas, expertos del área de Ciberseguridad de NEXA realizaron una investigación sobre el nivel de la Ciberseguridad de algunas de las aplicaciones mas críticas de Uruguay. El resultado fue realmente alarmante.

¿Por qué es alarmante?: Al día de hoy más del 80% de las aplicaciones críticas expuestas a internet (en Uruguay), sufren vulnerabildaddes que podrían comprometer la Integridad, Confidencialidad o Disponibilidad de la información.  Para que se entienda mejor; estas aplicaciones pueden ser hackeadas.

En nuestra investigación encontramos vulnerabilidades públicas y algunos 0Day en los siguientes sectores:

- Salud
- Banca
- Finanzas
- Educación
- Gobierno Electrónico
- Gestión Tributaria
- Trámites en Línea
- Seguridad Nacional
- Inteligencia
- Consultoras especializadas
- Empresas proveedoras de tecnología

Qué es un 0Day: Una nueva vulnerabilidad para la cual no se crearon parches o revisiones, y que se emplea para llevar a cabo un ataque. El nombre 0-day (día cero) se debe a que aún no existe ninguna revisión para mitigar el aprovechamiento de la vulnerabilidad. Un ataque de día cero se considera uno de los más peligrosos instrumentos de una guerra informática.

Pero muchos de los sistemas críticos se usan través de REDuy, o una red privada virtual (VPN). No todos están expuestos a internet.

Creen que por que están en REDuy o usan una VPN son inhackeables, dijo MrTinker.

Es una opinión compartida por los expertos de NEXA, quienes señalan que las instituciones se sienten seguras por publicar sus servicios dentro de dichas redes. Incluso en circunstancias ideales, asumiendo que las comunicaciones y contraseñas que viajan por REDuy son seguras, se empiezan a abrir otras puertas.

Lo que encotramos: El estudio encontró que más del 80% ​​de las empresas y entidades de gobierno analizadas tienen alguna vulnerablidad crítica que podría ser explotada por un atacante.

La sofisticación técnica de las compañías y gobierno en el último tiempo no pareció tener mucho impacto en las exposiciones a riesgos de seguridad. Por ejemplo, muchos de los sistemas analizados han tenido alguna revisión de seguridad (escaneo de vulnerabilidades o pentest) en los últimos 2 años, sin embargo nuestros expertos lograron encontrar vulnerabilidades críticas.

Resultado final: Descubrimos vulnerabilidades críticas en más de 150 empresas locales, 40 entidades de gobierno y 3 bancos.

Responsabilidad social: Si eres director, responsable de ciberseguridad o tomador de decisión y quieres saber si te encuentras en nuestra base de datos de empresas con vulnerabilidades conocidas te sugerimos te pongas en contacto con nosotros para que te podamos brindar toda la información que necesitas.

"Si los gobiernos, bancos y las compañías  mas grandes tienen exposiciones, ¿qué posibilidades tienen las compañías más pequeñas?".