El director de ACT, Edwin González Montalvo, indicó que, si todo transcurre como esperan, podrían reactivar el sistema, a más tardar, en dos semanas o, quizás, antes.
El director de ACT, Edwin González Montalvo, indicó que, si todo transcurre como esperan, podrían reactivar el sistema, a más tardar, en dos semanas o, quizás, antes. (El Nuevo Día)

Si todo el proceso de “limpieza” de la red de computadoras de Professional Account Management (PAM) fluye como se espera, y si todas las pruebas de rigor que garanticen la eliminación del ransomware y la operación segura de dicha red se completan satisfactoriamente, la Autoridad de Carreteras y Transportación (ACT) espera poder reactivar los sistemas de pago y recarga de AutoExpreso, a más tardar, en las próximas dos semanas o, quizás, antes.

La red que opera PAM fue objeto, al menos desde el 16 de abril del año en curso, de un ciberataque mediante ransomware que secuestró los datos en sus sistemas y que, al día de hoy, mantiene inhabilitados los sistemas de pago de peajes y recarga de fondos de los sellos instalados en vehículos.

El director ejecutivo de ACT, Edwin González Montalvo, explicó a El Nuevo Día que la red de PAM, compuesta de sobre 375 computadoras y decenas de servidores, ya están operando nuevamente y que el contratista, en unión a la compañía de ciberseguridad OPTIV y el Servicio de Innovación y Tecnología de Puerto Rico (PRITS, en inglés), realizan las pruebas pertinentes para garantizar la operación segura del sistema de pago y recarga utilizado en los peajes de la isla.

El sistema ya está arriba. Se están haciendo pruebas para asegurarnos que cuando un ciudadano vaya a recargar, que todo funcione en los carriles. Ya pronto comenzaremos a migrar las transacciones que se han hecho desde el 16 de abril hasta el presente y ya la semana que viene estaremos anunciando la fecha de cuándo se abre el sistema nuevamente a todos los ciudadanos”, sostuvo González Montalvo vía telefónica.

Durante el proceso tendrán X cantidad de tiempo para recargar, y es importante señalar que el periodo de multas continúa paralizado, así que las personas no tendrán multas y pueden continuar haciendo sus gestiones en los CESCOs para sacar licencias y marbetes. Se estará hablando del plan de pagos que los ciudadanos podrán acceder para pagar las transacciones si han transitado mucho por las autopistas (desde que el sistema fue sacado de servicio), para que no tengan que pagarlos tan rápido. Todo esto se está tomando en consideración como eje principal para que sea lo más transparente para la ciudadanía y que puedan pagar tranquilamente”, añadió el funcionario de ACT, una dependencia sombrilla del Departamento de Transportación y Obras Públicas (DTOP) y a quien PAM responde.

González Montalvo añadió que, si todo transcurre como esperan, podrían reactivar el sistema, a más tardar, en dos semanas o, quizás, antes.

“Creo que ya, a lo más, en dos semanas debemos estar arriba. Entendería que en las próximas semanas debemos estar arriba. El sistema ya subió y se están haciendo las pruebas. Estamos hablando que, en promedio, se realizan sobre un millón de transacciones por día, así que son unas 20 millones de transacciones (realizadas desde que el sistema se inactivó) que toman tiempo en subir, y en lo que se verifica que todo esté funcionando bien, pero ya pronto anunciaremos, la próxima semana, esa fecha”, enfatizó González Montalvo.

El director de ACT reiteró, nuevamente, que no han encontrado evidencia de que los datos personales ni la información financiera de los usuarios de AutoExpreso fue comprometida durante el ataque.

OPTIV se mantiene firme, en todo momento, que no ha habido evidencia alguna que apunte a la filtración de los datos personales o de tarjetas de crédito de los ciudadanos. Nosotros tomamos todas estas cosas con muchísima seriedad y me parece irresponsable que salgan estos mensajes diciendo (que) “supuestamente” (ocurrió una filtración) sin ofrecer ninguna evidencia”, recalcó.

“Cuando vimos eso, porque estas cosas las tomamos con mucha seriedad, si personas encuentran esta supuesta filtración deben reportarlo al FBI y a las agencias de ley y orden. OPTIV verificó con expertos y no encontraron una filtración de datos. PRITS, igualmente, activó consultores expertos en estos temas y no consiguieron nada. Consiguieron algo mínimo, pero los timestamps que tienen son previos a este evento. No hay nada relacionado al ciberataque al AutoExpreso y OPTIV se mantiene firme en que no ha habido filtración de datos privados de los ciudadanos”, dijo.

González Montalvo añadió que discutieron mecanismos, y están desarrollando, mecanismos por si encuentran evidencia de que se filtraron datos personales o financieros de los usuarios. De encontrar evidencia, explicó que notificarían inmediatamente a los usuarios afectados.

González Montalvo declinó entrar en detalles específicos sobre el ciberataque, como la variante de ransomware utilizada y si se identificó de qué país se originó el ataque, aparte de confirmar que les informaron, desde el primer día, el malware que penetró los sistemas de PAM. El funcionario añadió que no quiere afectar la investigación, que continúa en marcha.

Indicó que OPTIV les ha indicado que hubo “múltiples vertientes”, o vectores de entrada a la red de PAM, pero declinó detallar cómo el o los atacantes realizaron la penetración inicial. “Están buscando ese punto de entrada que dio esa vulnerabilidad”, dijo González Montalvo.

Mientras, sostuvo que en la solicitud de propuestas (RFP, en inglés) que publicarán este mes, o para principios de junio, para buscar un nuevo operador de AutoExpreso incluyeron disposiciones y previsiones que obligarían a cualquier contratista que quiera hacer negocios con el DTOP y ACT a proveerle a PRITS “visibilidad” de sus sistemas para propósitos de ciberseguridad. La “visibilidad” es la habilidad de inspeccionar todos los datos, transacciones, intentos de log-in y muchos otros parámetros para detectar y detener intentos de ciberataques antes de que ocurran.

Al tratarse de un contrato otorgado en el 2015, originalmente a la empresa, y que ha sido extendido constantemente, el documento actual no obliga a PAM a darle visibilidad de sus sistemas a agencias del gobierno.

“Al ser un contrato del 2015, se necesita que ambas partes se sienten a negociar para llegar a acuerdos. Hasta ahora ellos han sido completamente abiertos, PRITS ha estado involucrado en el proceso y estamos buscando formas para que PRITS tenga mayor visibilidad. En ese RFP nuevo vamos a tener todos estos temas de ciberseguridad, pues uno puede tener un sistema moderno pero, quizás, al año se torna obsoleto. El RFP nuevo debe tener todas esas previsiones para mantenerse actualizado y estén al día con todos estos eventos. Eso se va a estar integrando (otorgar visibilidad a PRITS) y estará envuelto desde la preparación del RFP”, enfatizó González Montalvo.

González Montalvo sostuvo que “desde el día cero se ha estado hablando con ellos. Esto no fue un evento menor, y en casos anteriores, los sistemas se inactivan, se limpian o reparan, se restauran y continúa la operación sin mayores percances. Pero en este caso se tardaron en informar. Se ha conversado con ellos, es parte de las lecciones aprendidas, faltante de un protocolo para este tipo de comunicaciones. Este contrato viene del 2015 y se están tomando todas las previsiones para que el nuevo contrato toque todos estos temas y así estar mejor preparados para cualquier otro ataque”.

Aunque el ataque ocurrió el sábado, 16 de abril, no fue hasta ese próximo lunes por la mañana que se notifica a ACT.

“¿Qué explicación ofrecieron para tardarse casi tres días en reportar que fueron comprometidos?”, preguntó El Nuevo Día.

“Eso todavía lo estamos trabajando. El enfoque principal es la restauración del sistema, y luego que se restablezca y opere normalmente, que la ciudadanía pueda pagar sus peajes, estaremos discutiendo esto con ellos en mayor detalle. No quisiera adelantarme a las conversaciones que vamos a tener con ellos, no quiero discutirlas públicamente hasta que todo esté operando normalmente. Con mucho gusto podremos conversar sobre este tema con más detalles”, sostuvo.

Por último, González Montalvo indicó que están encaminados a modernizar el equipo de AutoExpreso mediante otra solicitud de propuestas publicada en octubre del año pasado.

“Estamos encaminados hacia la modernización del sistema de AutoExpreso. Se sacó un RFP en octubre del año pasado, ya se recibieron las propuestas y se están evaluando, así que tan temprano como este verano comienza la modernización de toda la infraestructura física de AutoExpreso, las computadoras, las cámaras, y también viene el RFP del operador. Hemos sido bien meticulosos en asegurarnos de que PAM se asegure que todo esté limpio y verificado”, explicó.

💬Ver comentarios