La ciberseguridad como política pública

La protección, cuestión de Estado

 

A partir del 2020, en la Argentina, asistimos a una nueva generación en materia criminal: la aparición de bandas locales abocadas a cometer fraudes y estafas por Internet, por un lado, y los ataques por medios informáticos a las bases de datos de las organizaciones, tanto públicas como privadas, mediante un software malicioso denominado “ransomware” que encripta la información contenida en ellas y solicita un “rescate” —generalmente mediante el pago en criptomonedas— a cambio de su “liberación”.

Estos hechos ilícitos son parte de la denominada cibercriminalidad y constituyen lo que se denomina delitos informáticos. Un delito informático o ciberdelito es cualquier hecho ilícito que utiliza como medio de comisión un dispositivo informático —una computadora, un celular, una tablet, etc.—. También cuando el blanco del hecho ilícito, es decir, el objetivo criminal, es el propio dispositivo, afectando su funcionamiento.

La definición de delito informático es puramente instrumental, es decir, no depende de la naturaleza criminal del acto en sí, sino del lugar que ocupa la tecnología en la comisión del hecho. Una persona puede amenazar a otra cara a cara, por carta manuscrita, mediante un llamado telefónico, entre otras. Pero si lo hace a través de un dispositivo informático, pasa a ser un ciberdelito. Durante años se pensó que la cibercriminalidad era cometida únicamente por “hackers” que vulneraban las bases de datos del Pentágono, la NASA o de los bancos para robar información, plantar virus informáticos o robar dinero.

La primera premisa con relación a la ciberseguridad y en función de esta definición de delito informático es que cualquier persona con conocimientos mínimos en el manejo de la tecnología informática puede cometer un ciberdelito.

La segunda tiene que ver con la prevención de este tipo de delitos. Existe una tendencia en ciberseguridad a establecer que la “concientización del usuario” de los riesgos y amenazas que existen en Internet es suficiente para evitar ser víctima de un ciberdelito.

Este principio presupone que el damnificado de este tipo de conductas lo fue porque no ha sido lo suficientemente responsable en el uso de tecnologías de la información y la comunicación digitales, un claro proceso de re-victimización. Esto claramente no es inocente, ya que deja afuera las oportunidades generadas por los fabricantes de tecnología informática, ingenieros de software y diseñadores o administradores de sitios web en sus responsabilidades de generar entornos digitales seguros.

La tercera cuestión tiene que ver con la resolución judicial de este tipo de delitos. Desde la apertura comercial de Internet por parte del gobierno de los Estados Unidos a mediados de la década de los ‘90, existe la tendencia a reducir las políticas de ciberseguridad al debate centrado en fortalecer los mecanismos de la cooperación internacional en materia judicial, en tanto que muchas de estas conductas ilícitas se cometen en el ciberespacio.

Igual que en materia de seguridad ciudadana, el derecho no es contra motivacional, mucho menos aplicado a la cibercriminalidad, donde las posibilidades de efectividad de condenar a los ciberdelincuentes son muy bajas por varios motivos.

Primero, por tratarse de un medio que traspasa las fronteras de los países, lo que dificulta la persecución penal de los responsables; segundo, por las posibilidades de construcción de identidades ficticias en la web, lo que insume un alto grado de anonimato en la comisión de estos ilícitos. Tercero y más importante, la negativa de las principales empresas proveedoras de Internet —conocidas como los gigantes de Internet, la mayoría de ellas con sede legal en Silicon Valley, Estados Unidos— de brindar información a la Justicia de los países, alegando problemas de jurisdicción y competencia. Esto plantea una transformación del concepto de escena del crimen, ya que, si bien un pedófilo que capta a un niño, niña o adolescente a través de una red social y abusa posteriormente del o la menor en un espacio físico, puede transformarse en un delito transnacional, si la justicia local solicita información en términos de evidencia digital a una de estas empresas de Internet foráneas, la reticencia de estas corporaciones a brindar información a las justicias de los países extranjeros es una constante: solicitan a los tribunales de Justicia enviar solicitudes a los países donde poseen su sede legal central o apelan a los impedimentos de las leyes de protección de datos personales de los países donde se ubican sus servidores, por ejemplo.

 

 

 

 

 

 

Por último, existe una tendencia a entender a la ciberseguridad meramente como una pura técnica. A partir de la incorporación de las computadoras a las organizaciones durante la década del ‘70, los procesos de digitalización de archivos y bases de datos —también conocido como proceso de “des-papelización”— y el desarrollo de tareas automatizadas a partir del uso de programas informáticos, obligaron durante la década siguiente a la creación de un área de la Informática denominada “seguridad informática”. Esta se abocó a tratar de impedir eventos que pudieran alterar el normal funcionamiento de los sistemas o de los datos e información en términos de integridad, confidencialidad y disponibilidad. Durante años, el eje fue virando de la tecnología a la información, de la información a los usuarios y de los usuarios, a las personas como sujetos de derecho. Para la Organización de las Naciones Unidas (ONU), la seguridad humana exige respuestas centradas en las personas, exhaustivas, adaptadas a cada contexto y orientadas a la prevención, que refuercen la protección y el empoderamiento de todas las personas y todas las comunidades. En este sentido, la ciberseguridad debe representar un concepto amplio que va más allá de la seguridad de la información almacenada, procesada y trasmitida en los dispositivos y sistemas informáticos. Debe centrar su eje en la seguridad de las personas y en tratar de prevenir actos disvaliosos que afecten sus derechos, libertades y garantías que puedan atentar contra su libertad,  integridad física y propiedad, no únicamente en la tecnología.

El uso de tecnologías de la información y comunicación digitales se incrementó exponencialmente a nivel global durante los últimos años. El desarrollo de tecnologías de procesamiento masivo de datos (big data), la computación en la nube (cloud computing) y la llamada Internet de las cosas (Internet of things IoT), sumado a la utilización de redes sociales y sistemas de mensajería como herramientas cotidianas de comunicación, plantean la necesidad gubernamental de los Estados de proteger sus infraestructuras tecnológicas y la seguridad de los ciudadanos frente a los ciberdelitos.

Desde que la Organización Mundial de la Salud (OMS) decretó como pandémica la expansión del virus SARS-CoV2 que produce el Covid-19 a comienzos de 2020, se produjo una notable aceleración de actividades remotas desde el hogar a partir del desarrollo del teletrabajo, la educación a distancia y el incremento del comercio electrónico a través de servicios y aplicaciones de Internet a nivel global, lo que trajo aparejado, a su vez, un incremento lógico de nuevas modalidades de ciberdelito, muchas de ellas, más complejas y organizadas. El diseño de políticas públicas gubernamentales en materia de ciberseguridad es una cuestión estratégica para los Estados más desarrollados en la materia. Actualmente, en la Argentina la ciberseguridad se sigue viendo como una cuestión meramente técnica, limitando las acciones de los organismos competentes a la concientización de los usuarios en el uso de tecnologías de la información y la comunicación digitales.

 

 

 

 

*Experto en ciberseguridad y cibercriminalidad. Asesor del Ministerio de Justicia y Derechos Humanos de la Nación. Ex director nacional de Ciberseguridad de la República Argentina.
* Extracto de la entrevista realizada por el profesor Carlos Fidel para su programa Diálogos cercanos, de UNQ TV y CLACSO.

 

 

 

--------------------------------

Para suscribirte con $ 1000/mes al Cohete hace click aquí

Para suscribirte con $ 2500/mes al Cohete hace click aquí

Para suscribirte con $ 5000/mes al Cohete hace click aquí