Cómo se aborda la ciberseguridad a nivel de los países
La ciberseguridad implica ayudar a proteger información y bienes que se expresan digitalmente, y que son mantenidos por ustedes, nosotros, los gobiernos, las empresas y otros actores en el ciberespacio, incluidas comunicaciones (mensajes de correo electrónico, mensajes de video, chats, mensajes de texto), datos financieros (información sobre tarjetas de crédito en sitios web como Amazon o los número de cuenta y la información que se utiliza para la actividad bancaria en línea), datos personales (número de seguridad social, historiales médicos en sitios web de atención de la salud), secretos militares y comerciales, entre otro tipo de datos. La ciberseguridad no sólo implica proteger el ciberespacio, sino también lo que este a su vez controla: los numerosos sistemas automatizados que controlan instalaciones físicas. De tal manera que los ciberincidentes también pueden provocar daños físicos a infraestructura y redes críticas (por ejemplo, el gusano Stuxnet, descubierto en 2010, que afectó y destruyó parte de las centrífugas nucleares de Irán). Lo anterior no es un caso aislado, sino que este tipo de prácticas cada vez son más frecuentes, tal como lo indica un informe conjunto elaborado en 2015 por la Organización de Estados Americanos y la empresa de software de seguridad global Symantec, donde se identificó un aumento en los ataques contra infraestructura crítica, con énfasis en los sectores financieros, de transporte, energía y atención de la salud.
Con este trasfondo, las amenazas cibernéticas y el riesgo de ciberataques —que como mencionamos podrían permitir la filtración de secretos militares sobre seguridad nacional o que se atente contra la infraestructura económica/política de un país— han suscitado considerable atención, no sólo como un problema específico de Internet, sino además como un tema de seguridad nacional.
Estados Unidos, Rusia, Corea del Sur, Japón, Kenia, países de la Unión Europea son algunos de los numerosos países que han declarado a los ciberataques contra sus gobiernos y ciudadanos como una amenaza para la seguridad nacional y, por lo tanto, han desarrollado estrategias o iniciativas de ciberseguridad nacional. Estas iniciativas y estrategias por lo general esbozan las preocupaciones y el contexto de la seguridad cibernética en el país; dependiendo de la naturaleza de los problemas de cada país, se mencionarán distintas preocupaciones. Por ejemplo, si en un país existen grupos armados insurgentes, estos podrían atacar virtualmente páginas gubernamentales en época de elecciones. En segundo lugar, se mencionan las fallas en materia de diseño institucional, recursos financieros y humanos e infraestructura tecnológica que generan o ahondan los problemas detectados en ciberseguridad así como las medidas correctivas que se adoptarán. Por último, las iniciativas pueden incluir recomendaciones de política pública para la creación de nuevos organismos encargados de abordar la ciberseguridad a nivel interno, o definir la función de organismos preexistentes, como autoridades de aplicación de la ley, fuerzas militares, policía, ministerios de defensa y de relaciones exteriores, y ministerios de tecnología y telecomunicaciones en la implementación de políticas sobre ciberseguridad.
Las iniciativas en esta materia, como las de Estados Unidos, también apoyan el desarrollo de asociaciones público-privadas (APP) entre organismos gubernamentales y empresas del sector privado, como Proveedores de Servicios de Internet (PSI), propietarios de infraestructura crítica y empresas de rubros técnicos para la implementación de medidas de ciberseguridad en los distintos sectores. Si bien son principalmente los gobiernos los que se ocupan de crear y formular iniciativas de ciberseguridad, a veces consultan también a expertos técnicos, empresas privadas y a la sociedad civil para obtener recomendaciones sobre cómo mejorar las estrategias.
A principios de 2014, Trinidad y Tobago era el único país de América Latina que había adoptado formalmente una estrategia nacional de ciberseguridad7, aunque durante el último año diversos gobiernos de la región han mejorado sustancialmente sus iniciativas de ciberseguridad. A fines de 2014, la mayoría de los países de América Latina contaban a nivel nacional con un equipo de respuesta a incidentes cibernéticos. Un ejemplo a seguir en esta materia es Colombia, el primer país de América Latina en adoptar un plan nacional de ciberseguridad que posteriormente dio lugar a la creación del Grupo de Respuesta a Emergencias Cibernéticas de Colombia (coICERT) y el Centro Cibernético Policial (CCP). En Brasil, por ejemplo, desde 2008, cuando el gobierno hizo pública la Estrategia Nacional de Defensa (END) se discute la formalización de políticas de ciberseguridad y la creación de órganos para su ejecución (un sistema brasileño de ciberseguridad). La END considera al espacio cibernético como una de las áreas prioritarias para el Ejército Brasileño, junto al sector nuclear y el espacial. En 2012, el gobierno publicó el Libro Blanco de Defensa Nacional, que ya fijaba objetivos para 2015.
A pesar de lo anterior, la OEA sigue señalando la ausencia de leyes nacionales y políticas claras relevantes en América Latina como un obstáculo para la prevención de incidentes en materia de seguridad cibernética. Lo anterior significa que, aunque la mayoría de los países cuentan con una “hoja de ruta” para la seguridad cibernética —que es por lo general lo que denominamos estrategia nacional de ciberseguridad—, una vez publicado este documento no se promulgan o modifican leyes ni decretos, ni se expiden regulaciones que detallen los procedimientos y parámetros específicos para proteger la infraestructura crítica y el ciberespacio nacional. Asimismo, muchas veces, a pesar de contar con una legislación que regule algunos de los aspectos de la seguridad cibernética —por ejemplo, el ciberdelito—, la rama judicial no cuenta con el conocimiento técnico para interpretar y aplicar este tipo de normas.
Otro elemento de la política pública de ciberseguridad son las leyes y medidas orientadas a combatir el ciberdelito, también conocido como crimen informático. Este término suele utilizarse en referencia a los delitos que implican el uso de dispositivos tecnológicos y/o medidas tecnológicas (por ejemplo, generar spam que ataque una página web corporativa), así como también actos delictivos tradicionales (v.g., trata de personas) que se cometen en el ciberespacio. De acuerdo con lo anterior, en el informe patrocinado por la Organización de los Estados Americanos (OEA), las actividades vinculadas con ciberdelito ocuparon los primeros lugares en las listas sobre incidentes de ciberseguridad, incluidos:
- técnicas de phishing
- robo de identidad
- tráfico de drogas, personas y armas
Imagen: proporcionada por usuario de Flickr elhombredenegro, proporcionada bajo licencia CC BY-SA 2.0
Si bien numerosos países todavía trabajan en el desarrollo de estrategias e iniciativas de ciberseguridad exhaustivas y a largo plazo, muchos países de América Latina ya cuentan con leyes nacionales que tipifican el ciberdelito. Las iniciativas y estrategias de ciberseguridad de muchos países contienen referencias y medidas expresas para combatir el ciberdelito a partir de sistemas de aplicación de la ley y de justicia penal existentes. Como podrá advertir en la sección Implicaciones de la ciberseguridad para los derechos humanos, gobiernos y organismos de vigilancia por igual suelen invocar la “lucha contra el ciberdelito” como una justificación para promover leyes y prácticas excesivamente amplias sobre ciberseguridad y ciberdelito, que muchas veces atentan contra los derechos humanos.
Lección Rápida: Estonia8 la primera víctima del campo de batalla en el ciberespacio
Tal vez uno de los episodios más emblemáticos en lo relacionado a la seguridad cibernética fue lo sucedido en Estonia en 2007. Para dicho año, este país báltico era considerado el más interconectado de todo el continente europeo: casi todas las transacciones bancarias de sus ciudadanos eran realizadas en línea, al igual que sus servicios gubernamentales. Sin embargo, el país no tenía el mismo nivel de desarrollo de infraestructura u organización social, política o militar que pudiera proteger a sus ciudadanos y empresas, y el propio gobierno, de posibles ataques cibernéticos. En mayo del 2007, el gobierno, la banca y la prensa de Estonia experimentaron ataques de negación de servicios en forma sucesiva y sistemática, que dejaron completamente desconectado al país durante tres semanas. Luego de que el país acusara formalmente a Rusia por los ataques —históricamente, ambos países han tenido tensiones y conflictos políticos—, se descubrió que uno de los autores intelectuales de los ciberdelitos era un estudiante de Estonia perteneciente a la etnia rusa. En conclusión, aunque aún no es clara la participación de Rusia como estado, el ataque a Estonia dejó en evidencia la vulnerabilidad de gobiernos y personas en la actual era de la información.
8:http://www.iar-gwu.org/node/65