El Plan Nacional de Desarrollo habría dado facultades al presidente para crear una agencia de ciberseguridad. El artículo fue derogado, pero éste hubiera sido el Frankenstein. ¿Cuál es entonces el remedio?
Nicola Stornelli García*
En violación de la privacidad
Al discutir el artículo 113 del Plan Nacional de Desarrollo (PND) muchos alegaron que la propuesta no era la vía para avanzar en este tema. Pero también quedó la sensación de que a los congresistas no les importa la criminalidad cibernética que avanza a pasos agigantados en Colombia.
El senador y exministro de la TIC, David Luna, de Cambio Radical, denunció en su cuenta de Twitter que el artículo 113 del PND “… obliga a las aplicaciones que operan en internet a entregar información PRIVADA de los usuarios (mensajes y llamadas) a la Comisión de Regulación de Comunicaciones, en caso de que la misma, lo solicite. Lo anterior es GRAVÍSIMO.”
Y agrega: “A apps como Facebook, IG y WhatsApp entre otras, les obligaría a entregar información de contenido, mensajes e información de los usuarios, violando sus normativas y la privacidad de los ciudadanos (alrededor 42 millones de usuarios en Colombia) que hacen uso de ellas.”
Lo extraño es que los medios tradicionales no hayan recogido la denuncia del senador en el momento de escribir estas líneas. Me imagino que fue por el sopor de la semana santa.
Obviamente es preferible no imaginarse qué iba a hacer el gobierno o qué pretende hacer con semejantes atribuciones. Al contar con una agencia de ciberseguridad con semejantes derechos, estaríamos ahí sí ante una Gestapo digital que, repito, es mejor no imaginarse.
Ignorando lo ya hecho
¿Hace falta una agencia de ciberseguridad en Colombia? Claro que sí.
Pero el gobierno Petro parece desconocer la ley 1273 de 2009 y los avances del gobierno anterior para crear un ente centralizado que vele por la ciberseguridad del Estado. Esos avances no desconocen ni disminuyen las capacidades y los logros de las direcciones de inteligencia cibernética de la Policía y el Ejercito. Y tampoco puede olvidarse el primer CONPES de Ciberseguridad, el 3854 de 2016 que fue actualizado por el CONPES 3995 de 2020.
Obviamente es preferible no imaginarse qué iba a hacer el gobierno o qué pretende hacer con semejantes atribuciones. Al contar con una agencia de ciberseguridad con semejantes derechos, estaríamos ahí sí ante una Gestapo digital que, repito, es mejor no imaginarse.
En ese mezquino síndrome de Adán que parece haber contaminado a Saúl Kattan, el consejero presidencial para la transformación digital, el gobierno pretendía crear una agencia de ciberseguridad como si fuera una venta callejera de antivirus, sin una discusión serena en el Congreso de la República.
Quien escribe no es enemigo del gobierno. Votó por Petro en las dos vueltas, pero eso no le impide ejercer su derecho a analizar, con rigor y seriedad, los propósitos del gobierno nacional. Ni más faltaba.
Hacen muy mal quienes rodean al presidente si no se atreven a controvertirlo. Él no es el poseedor de la verdad y, obviamente, no puede saber de todos los temas. Pero también hace muy mal el presidente si se rodea de aduladores, que, además son tan tercos como él parece serlo.
El Plan de Desarrollo, un proyecto serio e importante para el país, acaba de quedar contaminado de politiquería y polarización gracias a un par de artículos espurios.
Un delito en aumento
Según la Cámara Colombiana de Informática y Telecomunicaciones (CCIT), los delitos informáticos se dispararon durante la pandemia, y la tendencia se ha mantenido. Dice esta agencia que en 2020 hubo 47.000 denuncias de delitos informáticos y que han aumentado en no menos del 20 % anual en los últimos dos años.
Eso tiene una explicación lógica. La pandemia obligó a digitalizar muchos procesos y muchos colombianos aprendieron, así haya sido a la fuerza, a interactuar de manera electrónica con el Estado y con el sector financiero.
Lo anterior a pesar de los riesgos que conlleva no contar con las suficientes habilidades y competencias para el mundo digital; depender de un tercero para ciertos tipos de operaciones digitales, convierte a las personas en víctimas potenciales de fraude o extorsión.
Durante los meses de abril y mayo del 2021, se presentaron ataques a algunos sitios web del gobierno, como el Ministerio de Defensa, la Policía Nacional y la Presidencia de la República. Estos fueron ataques de denegación del servicio o “Ataques DDoS”, cuyo propósito es bloquear o saturar el servicio de la página, colapsar el sistema y dejarla inhabilitada para todos los usuarios.
En noviembre del 2021 la página oficial del DANE fue víctima de un ataque cibernético. De este crimen se sabe que secuestraron información a cambio de dinero para poder liberarla. Además, el hacker logró acceder al sistema de las bases de datos y en cuestión de minutos pudo borrar aproximadamente 200 terabytes de información. Para entender cuán grande fue la pérdida, se puede decir que un terabyte equivale a la información que se puede almacenar en 4 computadores portátiles.
A finales del año pasado, el grupo de empresas privadas Keralty (Sanitas y Colsanitas EPS) informó que sus servidores informáticos fueron objeto de un ciberataque, lo cual generó algunos retrasos y fallas técnicas en sus sistemas. Sin embargo, aseguraron que el equipo tecnológico, médico y administrativo estaba trabajando para atender el problema. Después se supo que el hacker exigía una alta suma de dinero y todavía hoy hay rezagos en las plataformas de las dos EPS por ese ataque cibernético.
Qué hacer
Por supuesto que necesitamos una agencia de ciberseguridad. El aumento exponencial del uso de la tecnología para todos los fines exige una barrera de seguridad para minimizar los ataques ilegales en el ciberespacio.
Pero en este punto mencionaré a un experto en ciberseguridad, Andrés Almanza, quien nos explica que “la seguridad no depende en ninguna medida de la capacidad de sus dispositivos ni productos…Depende de sus políticas y planes…No es un producto final, es un proceso continuo…”
Muchas empresas, líderes públicos y privados creen que la seguridad es comprar un antivirus y una barrera cortafuegos o firewall. Pero la seguridad digital va mucho más allá.
Kevin Mitnick, el famoso hacker convertido a uno de los mejores asesores en ciberseguridad, asegura que los más grandes ataques cibernéticos han comenzado con ingeniería social, que no es otra cosa que granjearse la confianza de alguien y robarle datos claves para violentar su seguridad digital o la de su empresa.
Muchas empresas, líderes públicos y privados creen que la seguridad es comprar un antivirus y una barrera cortafuegos o firewall. Pero la seguridad digital va mucho más allá.
En conclusión, el Estado necesita una agencia de ciberseguridad, pero su creación no puede darse de manera extraordinaria en unas facultades otorgadas al presidente.
Valiéndome de una analogía, para ascender de coronel a general no bastan los años de servicio ni los cursos aprobados; hay que pasar por el filtro del Congreso de la República que discute si tal o cual coronel merece ser ascendido a general. De la misma manera, la creación de un ente centralizado del orden nacional para manejar la ciberseguridad debe hacerse a través de una discusión reflexiva sobre la orientación y manejo de dicha entidad. Que, repito, debe integrar las fuerzas de inteligencia cibernética de la Policía y del Ejercito. ¿O pensaban dejarlos por fuera?
