En total, PAM no ha cobrado unos $21 millones en transacciones desde que el sistema fue inhabilitado.
En total, PAM no ha cobrado unos $21 millones en transacciones desde que el sistema fue inhabilitado. (Ramón “Tonito” Zayas)

La empresa Professional Account Management (PAM), defendió esta mañana su manejo del ciberataque del que fue blanco el pasado 16 de abril y que ha dejado inoperante el sistema de pagos y recarga de AutoExpreso, situación que le ha costado al fisco alrededor de $1 millón diarios.

En total, PAM no ha cobrado unos $21 millones en transacciones desde que el sistema fue inhabilitado. No obstante, el gobierno insiste en que todas las transacciones están siendo registradas, por lo que se sabe la cantidad de dinero adeudado y que será recuperado.

Marco García, ayudante especial del director ejecutivo de la Autoridad de Carreteras y Transportación (ACT), Edwin González, indicó una vista pública de la Comisión de Transportación, Infraestructura y Obras Públicas de la Cámara de Representantes que “la meta” es restablecer el sistema la semana que viene. González fue más conservador y dijo que la semana que viene se sabría la “fecha exacta”.

La vista pública de hoy fue convocada para que el gobierno se expresara en torno a una medida legislativa que ordena al DTOP a eliminar toda multa y costo del peaje a partir de abril de este año y hasta que se anuncien las medidas que serán tomadas una vez esté operacional el sistema AutoExpreso.

Tim Wendler, principal oficial ejecutivo y presidente de PAM, sostuvo en la audiencia pública que no hay evidencia que apunte a que se ha comprometido información personal de los usuarios y que “a horas” del ataque, PAM movilizó a Puerto Rico personal de la compañía, incluyendo expertos en forenses y en seguridad cibernética, para manejar la situación. Wendler aseguró que la información sensitiva de los abonados estaba cifrada (encrypted) y que PAM tiene la tecnología necesaria para cobrar exactamente a los usuarios por el uso real de los peajes.

N’gai Oliveras Arroyo, Principal Oficial de Seguridad Informática (CISO, en inglés) del gobierno de Puerto Rico y funcionario del Servicio de Innovación y Tecnología (PRITS, en inglés), indicó, sin embargo, que tampoco hay evidencia que apunte a que, como parte del ataque, no se comprometió información de ciudadanos o que los datos fueran alterados.

“Eso es lo que busca la información forense, que nos va a decir qué evidencia tenemos para probar que no se trastocó la data del ciudadano”, indicó Oliveras Arroyo.

Aunque Wendler enfatizó que “todos los datos” están protegidos, el ejecutivo no contestó preguntas sobre si la petición de dinero de los piratas fue para que no divulgar la información secuestrada o para que la liberaran enviando la llave para descifrar los archivos. Luego sostuvo que no podía abundar sobre el tema debido a que la pesquisa está en manos del Negociado Federal de Investigaciones (FBI, en inglés).

El representante popular Luis Raúl Torres, presidente incidental de la Comisión, quería conocer si la información secuestrada podría ser leída por los piratas.

Exigen respuestas de PAM

“Uno esperaría que una compañía como esta tendría un sistema de ciberseguridad efectivo”, dijo la representante de Movimiento Victoria Ciudadana (MVC), Mariana Nogales Molinelli. “Quien tiene la responsabilidad, en el caso de un ciberataque, no es el cliente del servicio, es la compañía. Si la compañía no tenía los proveedores de servicio sobre ciberseguridad para evitar que esto ocurriera, la compañía responde completamente por el daño ocasionado. PAM debería responderle tanto a la ACT como a Metropistas, no Juan Pérez, de Moca. Llevamos 27 días sin servicio y la culpa la tiene PAM”.

Wendler indicó que la autoevaluación de la empresa está en proceso y que tendrá un cuadro más claro cuando una empresa contratada finalice una investigación forense. Sostuvo que la investigación debe finalizar en un mes.

En la audiencia trascendió que, si bien PRITS ordenó en diciembre de 2021 que todas las agencias y proveedores de servicio tenían que tener listos para abril de este año un protocolo de ciberseguridad, a esta fecha, y así lo confirmó el director de ACT, PAM no ha entregado su protocolo.

Wendler, por su parte, brindó ciertos detalles sobre cómo PAM respondió a la emergencia.

“Estos recursos pudieron consultar algunos de los mejores expertos en ciberseguridad del mundo y esas consultas se han dado durante los pasados 24 días. Estos recursos profesionales tienen la capacidad de recuperar sistemas que han experimentado ciberataques y aprender lecciones de estos ataques”, dijo Wendler como parte de un testimonio que leyó en inglés.

La semana pasada la directora interina de PRITS, Nannette Martínez Ortiz y el director de la ACT indicaron en una vista pública de la Comisión de Gobierno que no estaban satisfechos con la respuesta de PAM al ataque. González también lamentó que la empresa, a su juicio, tardó demasiado para revelar el verdadero alcance del ataque y que esto impidió que la ACT alertara a tiempo a la ciudadanía.

Hoy, Martínez Ortiz indicó que PAM no cumple con estándares de ciberseguridad y González dijo que “hay espacio para mejorar” y que hubiera querido que fuera más rápido el proceso para restablecer el sistema.

No obstante, a preguntas del representante independentista Denis Márquez, González primero dijo que se está analizando si PAM fue negligente y, más tarde, señaló que “hasta ahora no pareciera que fuera así”.

González dijo que la ACT se enteró sobre la magnitud del ataque el lunes 18 de abril. Hasta esa fecha PAM no había indicado que se trataba de lo que se conoce como un ataque mediante ransomware, que básicamente consiste en que los responsables solicitan un pago (mediante dinero o criptomonedas) para liberar la información cifrada “para que no funcione y el sistema sea inoperante”, afirmó el funcionario.

González sí ha adjudicado que PAM tenía un resguardo (backup) de la información secuestrada y que el resguardo fue utilizado en las labores de restauración del sistema. Oliveras Arroyo sostuvo que la posición de PAM es que información sensitiva como números de tarjetas de crédito estaba cifrada, lo que significa que, aunque los piratas pudieron haber tenido acceso a la información, no podrían verla.

No obstante, Oliveras Arroyo añadió que los responsables “podrían”, con un equipo o programas específicos, “romper” el cifrado y tener acceso a los datos personales y/o financieros de los usuarios.

La ACT está facultada, por ley, para supervisar la ejecución del contrato de AutoExpreso. PAM entró en el 2019 en sustitución de Gila, empresa que confrontó todo tipo de problemas para administrar el sistema correctamente.

“PAM está trabajando cercanamente con la ACT y con Metropistas para restaurar los servicios de manera segura y lo antes posible”, dijo Wendler al sostener que el FBI y el Departamento de Seguridad Interna de Estados Unidos (Homeland Security, en inglés) están investigando el ataque.

Sostienen que todas las transacciones fueron registradas

Wendler, de otra parte, aseguró que el sistema de AutoExpreso tiene la capacidad de registrar correctamente el uso de los peajes, pese a tener que desactivar la red debido al ciberataque, y que así lo está haciendo. Como parte de su testimonio, repasó algunos de los adelantos tecnológicos que, a su juicio, han hecho que AutoExpreso opere más eficientemente.

“Los sistemas de carriles son independientes del sistema central y continuaron registrando y almacenando las transacciones y colocándolos en orden para procesamiento. Los usuarios son facturados a base de la clasificación de sus vehículos (cantidad de ejes). El costo del peaje de cada clasificación está almacenado e incluido en la información de transacción generada por el carril”, dijo Wendler.

“Leemos sellos, imágenes y vídeo para verificar cualquier reclamo”, agregó. “Reconciliamos transacciones en cada carril con las que se reciben en el sistema central, también reconciliamos ingresos recolectados en cada carril, cada día y nos aseguramos que las cantidades correctas han sido facturadas. Cada transacción tiene una identificación única y hay varios sistemas de validación a lo largo de la cadena de procesamiento para asegurarnos que toda la información requerida es incluida en la transacción, que no hay duplicados, entre otras verificaciones”, abundó.

El DTOP, Metropistas y la Autoridad de Asesoría Financiera y Agencia Fiscal (Aafaf) consignaron su oposición a una resolución conjunta a esos fines. En síntesis, tanto el DTOP como Aafaf llamaron la atención a que el cobro de peajes es parte vital del plan fiscal de la ACT.

Ayer la ACT informó que PAM está realizando pruebas para reanudar operaciones “próximamente”, que cuando el sistema se restablezca los conductores verán el balance que tenían al 16 de abril y el balance que tendrán al momento, que se tendrá un horario extendido para repagar, que habrá un periodo de gracia de unas seis semanas para saldar las cantidades adeudadas y que no se cobrarán multas ni penalidades.

González indicó que durante las primeras 48 horas serán desactivadas las deducciones automáticas para que los 600,000 ciudadanos con pago automático tengan tiempo para desactivarlas si lo entendieran necesario. Luego de las 48 horas, se harían dos deducciones diarias para saldar la deuda.

En cuanto a los demás usuarios, tendrán la responsabilidad de acudir a la página de internet de AutoExpreso o utilizar su aplicación de celular para conocer su balance, lo que significa que AutoExpreso no enviará notificaciones por correo informando sobre el balance.

Los usuarios también podrán conocer su balance al pasar por los carriles de recarga o en los Centros de Servicios al Conductor.

Aunque hay alrededor de 2.4 millones de vehículos con sellos de AutoExpreso, solo un millón están registrados. Cuando Torres le preguntó cómo le cobrarían a los 1.4 millones sin registrar, González respondió que “se pueden registrar”.

A preguntas, González básicamente descartó que se pueda abrir la puerta a una lluvia de reclamaciones por balances incorrectos al insistir en que el sistema puede registrar correctamente el paso de los conductores por los peajes.

💬Ver comentarios