Estos reportes alertarán sobre indicadores de compromiso (IoC), vulnerabilidades activas, malas configuraciones, falta de actualización de sistemas, compromisos de sistemas o simples escaneos pasivos de los mismos. Entre otras informaciones, sobre los activos digitales de las instituciones públicas (IPs públicas y dominios/subdominios públicos declarados) de los que el CERT-PY haya recibido información, a través de fuentes de confianza.

La Directora General de Ciberseguridad y Protección de la Información del MITIC, Gabriela Ratti, explicó que este nuevo servicio permitirá a cada institución pública tomar conocimiento de qué activos se encuentran expuestos y también posibles amenazas de seguridad, para realizar tareas preventivas de mitigación y corrección de los mismos, evitando así los problemas mayores de seguridad en el futuro.

¿Cómo funciona?

El CERT-PY recibe a diario un gran volumen de información libre y pública de inteligencia de amenazas de ciberseguridad (threat intelligence feeds), que es posible identificar mediante patrones, desde diversas fuentes, tales como Shadowserver, OEA CSIRTAmericas, otros CSIRTs, entre otros. En ese conjunto de datos incluye información sobre indicios de compromiso y de ataques (IoC / IoA)  y de vulnerabilidades, malas configuraciones y/o exposiciones que involucran a IPs y/o dominios paraguayos. Este tipo de indicios son detectados de diversas maneras y compartidos a través de organizaciones de todo el mundo con los CSIRTs nacionales, incluido el CERT-PY. 

Estos reportes los recibe y envía de manera automatizada el CERT-PY a través de su Sistema de Gestión de Incidentes, con una periodicidad diaria a cada organización suscripta que recibe únicamente los reportes acerca de los eventos que involucren a su propio rango de IPs y dominios que fueron declarados.  

●        Indicadores de compromiso y/o de ataque: son tipos de reportes que, por lo general, indican que la IP y/o el dominio se vio involucrada en un ataque (o intento de ataque) a terceros, siendo ésto un indicio claro de que existe algún dispositivo comprometido detrás de dicha IP o dominio. Atendiendo que, por lo general, existen múltiples dispositivos detrás de una IP, es necesario realizar un análisis para determinar cuál es el dispositivo afectado y tomar las acciones correspondientes.

●        Vulnerabilidades o exposiciones: son tipos de reportes que indican que algún dispositivo y/o servicio expuesto en la IP o dominio está afectado por alguna vulnerabilidad determinada o por una configuración insegura. No indica que un incidente de seguridad se haya materializado, pero sirve para justamente tomar las medidas preventivas antes de que se materialice un incidente.

El servicio de reportes proactivos de ciberseguridad estará disponible desde el mes de octubre y no tendrá costo. Por el momento, será exclusivo para los Organismos y Entidades del Estado. Las instituciones públicas que deseen acceder al servicio y recibir los reportes deberán suscribirse al mismo.

Para ello, el Responsable de Seguridad de la Información (RSI), el Director TIC (DTIC) y/o los funcionarios que éstos designen deberán ingresar al Portal Paraguay en: https://admin.paraguay.gov.py, ir al módulo de Inventario de Activos TIC, y declarar sus IPs públicas (tanto de la DMZ como de salida de navegación de la LAN) y sus dominios y subdominios públicos a Internet. 

De esta manera, cuando el CERT-PY reciba algún indicio que involucre a alguna IP o dominio de dicha organización, las Instituciones públicas que ya hayan declarado dichos datos, empezarán a recibir automáticamente los reportes o alertas (alertas de 24 hs antes), a las direcciones de correo electrónico de los RSI, DTIC y demás funcionarios que tienen acceso al Portal Paraguay:  https://admin.paraguay.gov.py, de manera a que éstos puedan adoptar medidas apropiadas, de manera proactiva.