Ante la Fiscalía fue llevado el caso del que ha sido víctima el Departamento Administrativo Nacional de Estadística (Dane), luego de confirmarse que se produjo un ataque informático, el cual tumbó la página de las estadísticas y mantiene sin uso los correos y los aplicativos para realizar encuestas.

La acción ante la Fiscalía se interpuso en horas de la noche del miércoles, previo a cumplirse las 24 horas de la incursión de un presunto hacker, lo que condujo a apagar todos los sistemas del Dane.

Varios mecanismos alternos se han activado, para que la entidad siga cumpliendo con la tarea de presentar los informes que a diario emite, y que son claves para las decisiones que se toman con estadísticas, tanto en el Gobierno como entre los millones de usuarios que cotidianamente consultan las cifras.

El director de la entidad, Juan Daniel Oviedo, habló con SEMANA y reconstruyó los hechos y lo que viene ahora.

SEMANA: ¿Cómo empezó esta situación alrededor de la cual no parece haber precedentes?

Juan Daniel Oviedo: El martes, hacia las 11:36 de la noche, recibimos una primera notificación. El ingeniero de seguridad nos informa la caída de un servidor del Dane. Automáticamente se inicia el proceso de inspección, pero mientras se hacía la revisión, secuencialmente se empiezan a apagar algunas máquinas, algunos servidores.

Tomamos la decisión de apagar completamente todo el sistema informático del Dane, lo que implica que queda encapsulado virtual y físicamente.

Se procedió así a activar los protocolos que se aplican ante incidentes cibernéticos como estos, para proteger el material estadístico que tiene el Dane. La instancia en la que se activan dichos protocolos es el Csirt (equipo de respuesta ante emergencias informáticas).

De igual manera, se convocó a la Policía para adelantar los procedimientos de intervención del Csirt en el incidente.

S: ¿Qué viene ahora después de la denuncia en la Fiscalía?

JDO: A las 7:30 de la mañana del miércoles, completamente aislados, se inició la inspección policial para definir los elementos físicos y se hizo una documentación de lo que sucedió entre las 11:36 de la noche y las 7:30 de la mañana. Eso hace parte de la denuncia penal que radicamos ante la Fiscalía, de manera que se adelanten todas las investigaciones que lleven a esclarecer el incidente.

Ya tenemos el caso en reparto, en el despacho del fiscal de delitos informáticos. Las fuerzas militares nos están acompañando: la policía y la fuerza aérea. También estamos contando con el acompañamiento de algunos proveedores informáticos del Dane, que ayudan a hacer los diagnósticos de las máquinas.

S: ¿Cómo están haciendo para suministrar la información a los usuarios y manejar el aislamiento en comunicaciones a través de correos?

JDO: Iniciamos un protocolo paso a paso para volver a poner al aire la página del Dane, que es el principal canal de comunicación institucional con los usuarios externos, tanto nacionales como internacionales.

Decidimos activar instrumentos de transición (los links que se pueden usar en nuestras redes sociales), los cuales, no tienen ningún riesgo al utilizarlos para acceder a las publicaciones estructurales (hoy se dará a conocer la información rutinaria que entregamos en Comercio, manufactura, sector hotelero y el pulso empresarial).

Si a las 10 de la mañana no tenemos al aire la pagina web del Dane, publicaremos en la misma modalidad (las redes sociales) los estudios que tenemos en los cronogramas.

Esto se puede hacer en la medida en que el director del Dane -por protocolo de seguridad- siempre está fuera del entorno Dane. Por esa razón, todos los productos de las encuestas económicas que se presentarán estaban alojados en un espacio aislado, una especie de carpeta o enlace que solo es de la jurisdicción del director. Allí está también la información del Producto Interno Bruto (PIB), que se dará a conocer el martes.

S: ¿Qué servicios tienen por el momento?

JDO: En el momento tenemos las máquinas virtuales de Oracle, la red LAN, el correo de Office 365 (un conjunto de programas informáticos de la empresa Microsoft de alquiler). Este último fue el que generó el incidente, pues el autor (o los autores) del incidente se tomó el rol de administrador del correo Office 365. De esa manera, utilizó una cuenta de un contratista que estaba terminando su contrato con el Dane, para hacer una falsa comunicación, en la que informa que tiene una información (130 TB) y pregunta quién debe ser el interlocutor para tener una comunicación con el Dane.

Este es el mensaje que fue enviado por el presunto hacker que atacó al Dane. | Foto: Mensaje de un hacker contra el Dane

S: El presunto hacker menciona un enlace para contactarlo.

JDO: El enlace que menciona el mensaje es altamente peligroso. Lo enviaron a las 15.43 de la tarde del miércoles. De inmediato respondimos con un comunicado para alertar que se trata de un correo peligroso, pues le llegaba tanto a los empleados del Dane como a algunos usuarios.

Enfatizamos en que el único vocero para hacer un diagnóstico de la circunstancia que estamos enfrentando es el director del Dane.

Como entidad, desplegamos un puesto de mando unificado, el cual, según los códigos de gobernanza, debe ser dirigido por el subdirector, Ricardo Valencia Ramírez.

Dentro de los procedimientos más importantes hay que mencionar que a las 17 horas del miércoles se inició el protocolo de restauración para iniciar el acceso al datacenter, de manera que se permita poner al air la web del Dane de forma prioritaria.

S: ¿Qué dice el primer diagnóstico?

JDO: Las máquinas virtuales de Oracle tienen un reporte positivo; las redes LAN van a ser rápidamente estabilizados y el servidor de almacenamiento, hay un servidor marca Dell que se encuentra con soporte y con garantía.