Publicaciones
Por qué no hay ciber-seguridad en Argentina.
Por: Licenciado Pablo Gris Muniagurria, miembro de la Comisión de Seguridad
20 de septiembre de 2022
Ya se ha dicho, tiempo antes del COVID19, pensando en el uso actual de las Tecnologías de la Información y Comunicaciones: "las tecnologías que alguna vez fueron meras facilitadoras de procesos, hoy son el soporte donde se asienta el funcionamiento de las estructuras del Estado, de las organizaciones públicas y privadas, y de la casi totalidad de las interacciones personales, productivas y comerciales"[i].
Esto ha quedado más que claro para todos, luego de los casi
dos años de pandemia, en los que hemos podido apreciar -todos nosotros- lo
importante de estas tecnologías, no solo por su penetración social, sino porque
hicieron posible el trabajo remoto, los trámites a distancia, la gestión de los
turnos, permisos y todo lo que otrora, hiciéramos en persona pero esta vez, en
linea. Hicimos un uso intensivo de estas tecnologías, en los ámbitos sociales,
comerciales, educativos y productivos, y con ello nos hemos dado cuenta de lo
trascendente que son para los Estados y los pueblos que los habitan. Pero esta
noción de su importancia, está muy lejos de ser nueva para los expertos y
entendidos. Por el contrario tiene, al menos, 25 años.
A la par de la restricción de la socialización cara a cara,
durante la pandemia, se produjo una esperable migración de los fenómenos
delictivos al ambiente digital o "ciber", el cual debió haber estado preparado
para soportarlo razonablemente.
Sin embargo, en plenas restricciones y cuando más necesitábamos
confiar en los sistemas estatales de gestión y control, sufrió un hackeo el
sistema de la Dirección Nacional de Migraciones.
Pocos meses después y mientras que nos pedían que confiáramos
todos nuestros datos personales a la aplicación de regulación de permiso de
circulación, sufrió un fuerte incidente informático de conocimiento público,
nada menos que el máximo organismo de registración de las personas del Estado -RENAPER-,
demostrando con ello una debilidad que, además, involucraba a los sistemas del Ministerio
de Salud de la Nación, el cual se encontraba gestionando la emergencia.
La Dirección Nacional de Migraciones, el RENAPER y el
Ministerio de Salud de la Nación, sufrieron gravísimos incidentes, cuando más debíamos
confiar y apoyarnos en ellos para nuestra seguridad y bienestar como sociedad.
Para entender qué pasó, y probablemente más importante aún,
por qué pasó, no basta quedarse en estos hechos y hay que analizar el fenómeno
de las TICs durante el período de la pandemia, y lo que viene sucediendo de
forma global y local, en tanto a los riesgos, desafíos y problemas de seguridad
que implica el uso masivo de las mismas y como los Estados y las
organizaciones, los han identificado y tratado durante el último cuarto de
siglo.
Veamos algunos datos para hacernos una idea de qué pasó,
durante la pandemia.
Europol, sostiene que los
hallazgos[ii]
más importantes del año 2020 en materia de ciber-delincuencia, así como los
desafíos para su investigación, son: que la ingeniería social (la
manipulación[iii]
y el engaño de las personas) permanece como la más alta amenaza para
habilitar o permitir otros tipos de ciber-crimen. Las cripto-monedas continúan
siendo elegidas para pagos vinculados al delito -mientras que evolucionan
tecnológicamente, mejorando la privacidad de las transacciones- y se
identifican dificultadas en cuanto a los reportes del ciber-crimen, que
faciliten una visión precisa y global del estado del fenómeno. Para el caso
específico del delito exclusivamente "ciber", encuentran que: el Ransomware[iv]
(que típicamente constituye un código malicioso, que cifra todos los datos y
pide un rescate para volver a tener acceso a ellos) sigue siendo la
amenaza dominante, y se le suma un aumento de la presión ejercida por los
criminales, amenazando no solo con la no recuperación de la información, si no
también con su publicación si la víctima no paga. Además, se distingue que este
fenómeno crea una una seria amenaza para terceras partes de la cadena de
suministros y para las infraestructuras críticas (servicios
esenciales). Por último se halla un aumento significativo en la
potencial amenaza de ataques que generen denegación de servicios (DoS y DDoS)[v].
Para el caso del 2021 en cambio, Europol, encuentra[vi]
que se mantuvo la evolución del fenómeno, haciendo especial foco en las
mejoras en el software malicioso como servicio y en sus capacidades de ataque,
especialmente las asociadas al ransomware y un aumento en los troyanos
enfocados en servicios bancarios móviles. Los delincuentes parecen haber
percibido el impacto que tienen los ataques de denegación de servicios, cuando
no existen alternativas físicas a los sistemas digitales atacados, lo que ha
implicado un aumento en los ataques de este tipo, motivados en las ganancias
que pueden producir. Además, perciben un aumento de la maduración general del
mercado criminal orientado a los delitos contra sistemas informáticos, el cual
provee todas las herramientas necesarias -bienes y servicios- tanto a nuevos
delincuentes como a los ya establecidos. Se detecta un aumento de la seguridad
operacional en las actividades delictivas, haciendo más opacos los movimientos
de fondos, escondiendo mejor su actividad en línea y utilizando más
comunicaciones seguras por parte de los actores delictivos.
Por otra parte, podemos ver los datos de una de las
principales Compañías dedicadas al rastreo de cripto-monedas con fines
investigativos y observar que[vii]:
mientras en 2019 los pagos vinculados a ransomware equivalen a poco más de 92
millones de dólares -lo que en si mismo no debe ser desestimado- en 2020 se
registra un aumento hasta más de 406 millones de dólares.
En el caso del Anti-Phishing Working Group, los sitios de Phishing[viii] (robo de credenciales en línea) mostraron un incremento desde el último trimestre del 2019, donde se identificaron más de 162mil sitios únicos de phishing, hasta el último trimestre del 2020 identificándose más de 637mil sitios únicos de phishing.
El gobierno de los Estados Unidos mediante el reporte del FBI sobre delitos en Internet del 2021[ix], muestra aumentos en los primeros cinco ciber-delitos en su jurisdicción, comenzando por el delito de extorsión desde 43mil casos hasta los más de 76mil en 2020, y el robo de identidad que creció desde los más de 16mil casos en 2019 a los más de 51mil en 2021. En el caso del compromiso de datos personales, los valores pasaron más de 38mil casos en 2019 a valores cercanos a los 52mil en 2021. Y para el caso Phishing y sus variantes, el aumento fue desde los casi 115mil casos en hasta de 300mil casos en 2021.
A nivel local, la Unidad Fiscal Especializada en
Ciber-delincuencia del Ministerio Público Fiscal de la Nación, en su
informe de gestión, arroja un aumento de los reportes desde los 2.300
aproximadamente en 2019 hasta un número superior a los 11.300 en 2020. A su
vez, el mismo documento compara los reportes del primer trimestre de 2019 con
el del 2021 mencionando un aumento desde los 581 reportes hasta los 3.976. Lo
que está en línea con las tendencias globales establecidas.
Es importante mencionar que en el mismo período temporal
(2020 - 2021) la propia ONU[x]
recomienda, en el informe producido en Viena, entre el 4 y el 8 de abril
de 2021, con respecto al ciber-delito que:
·
"Se considera necesario elaborar una
serie de políticas públicas de largo plazo en materia de prevención, que deberían
incluir el desarrollo de campañas de sensibilización sobre el uso seguro de
Internet"
·
"Los
Estados deberían impartir capacitación para magistrados y jueces especializados
que se ocupan de los casos de delito cibernético, y proporcionar a los órganos
de investigación instrumentos de alto rendimiento para rastrear las
cripto-monedas y hacer frente a su utilización con fines delictivos."
·
"Se recomienda fomentar la capacidad
colectiva de las instituciones competentes y cambiar la cultura de
prevención para que deje de ser reactiva y se vuelva proactiva. También se
recomienda establecer un mecanismo sólido para estimular y facilitar el
intercambio de información de inteligencia sobre los posibles modus
operandi delictivos.".
Veamos ahora por qué debimos haber estado mucho mejor
preparados.
De todo lo expuesto, queda claro que durante este período
especial del mundo, los ciber-delitos aumentaron con fuerza de forma global y
local, y que los riesgos quedan expresados debidamente en las recomendaciones
de la ONU o de Interpol
-que también realizó las
suyas[xi]-.
Sin embargo, las recomendaciones y los datos alarmantes de
los riesgos que el mundo ciber y estas tecnologías implican, habían sido
anunciados al menos una década y media antes. Por ejemplo, en el Foro Económico Mundial, que en su informe de
riesgo global del año 2007 identifica por primera vez a los riesgos ciber
incluyendo el ciber-fraude, asignándole una probabilidad de ocurrencia
moderada. En los años venideros, este reporte incluiría fallas en las
infraestructuras críticas y muchos otros elementos ciber -cada vez más específicos- vinculados a este universo tecnológico,
alertando al mundo sobre su alta probabilidad de ocurrencia e impacto. Y si nos remitimos al 2001, el Convenio de Budapest
sobre la ciber-delincuencia[xii]
es muestra suficiente de que estas tecnologías presentaban grandes problemas y
desafíos para el mundo entero. Esta última mención, toma fórmulas ya expresadas en
los estándares internacionales existentes a esa fecha, tales como el ISO[xiii]/
IEC 17799 que fue publicado en el año 2000, y que a su vez se basó en el
estándar previamente emitido por el Instituto
Británico de Estandarización BS 7799 en
el año 1995[xiv],
ambos sobre la Gestión de Sistemas de Seguridad de la Información.
El lector no especializado, podría suponer que mientras todo
esto sucedía a nivel global, en Argentina estábamos ajenos a todo este fenómeno;
sin embargo, no es así. Veamos cómo.
En el año 2000 se aprueba y promulga la ley de protección de
datos personales. En 2001, la Argentina aprobó y promulgó su ley[xv]
de Firma Digital. En el año 2004 la Jefatura de Gabinete de Ministros de
la Nación dicta la Decisión Administrativa 663, en
donde se establece la obligatoriedad de dictar o
adecuar Políticas de Seguridad de la Información
(PSI) en el ámbito de la Administración
Publica Nacional, en un plazo de 180 días. Y,
efectuar la conformación de Comités de Seguridad en la
Información; y establecer funciones y
responsables en relación con la seguridad. Como política de seguridad modelo,
la Oficina Nacional de Tecnologías dependiente del organismo anteriormente
citado, toma el estándar ISO 17799 con alguna adecuación menor. Con el correr
de los años y conforme se modificara el estándar ISO de referencia, esta política "modelo" también se fue
adecuando localmente. En el año 2005 la Sindicatura General de la Nación dicta
las Normas de Control Interno para Tecnología
de la Información[xvi], obligando
a que las áreas tecnológicas se unifiquen dentro de los organizamos reforzando
el control sobre la Seguridad y el cumplimiento de la PSI[xvii],
y aclarando la necesidad de fomentar el control cruzado entre las áreas
dependientes de la Unidad de Tecnología (por ejemplo, entre Desarrollo y
Seguridad, o entre Seguridad y Redes, etc.). En el año 2008 se aprueba y
promulga la "Ley de delitos informáticos" modificatoria del Código Penal número 26.388[xviii]. En
el año 2011 se crea el "Programa Nacional
de Infraestructuras Críticas de Información y Ciber-seguridad"[xix],
con objeto de proteger las mismas. En el 2014 se aprueba (en el marco de
implementar la firma digital de modo masivo) la reglamentación de la política única de certificación
de firma digital, por Decisión Administrativa de Jefatura de Gabinete de Ministros
(JGM)[xx].
En el año 2015 se eleva a rango de subsecretaria de protección de
infraestructuras criticas de información y ciberseguridad en el ámbito de la
secretaria de gabinete (JGM)[xxi]
reconociéndose aún mayor la importancia del tema. En el mismo año se crea en el
Ministerio Publico Fiscal de la Nación la Unidad Fiscal especializada en
Ciber-delincuencia. En el 2016 la Argentina adhiere al convenio de Budapest
contra la ciber delincuencia. En 2018 se crea la dirección de investigación del
ciber-delitos en el ámbito del Ministerio de Seguridad de la Nación. En el 2019
se publica el documento "Plan federal de prevención de delitos tecnológicos y
ciber-delitos (2019-2023)"[xxii]
y además la estrategia nacional de ciber-seguriad[xxiii].
Así pues, queda establecido que a nivel institucional estábamos
perfectamente conscientes de los temas en cuestión. Lo hemos estado por 20 años...
nuevamente de forma congruente con buena parte del mundo.
De los Ataques e Incidentes.
En 2020 La Dirección Nacional de Migraciones, organismo
dependiente del Ministerio del Interior de la Nación[xxiv],
sufrió un ataque a sus sistemas[xxv]
que la inhabilitó por un lado, y además
permitió el robo y posterior divulgación no autorizada de
información. El arma utilizada: Ransomware, según trascendió en los medios de
comunicación.[xxvi]
En 2021 el Registro Nacional de Las Personas -dependiente del
mismo Ministerio que Migraciones-,
sufrió un incidente informático
por el cual al menos buena parte de su base de datos de ciudadanos fue robada y
divulgada de
forma no autorizada según se
hizo público.[xxvii]
En este 2022, se hizo
de público conocimiento un ataque
al Senado de la Nación, nuevamente, mediante un Ransomware.
Hasta aquí, solo algunos datos y hechos objetivos de la
historia de la ciber seguridad en el mundo y en el contexto local. Y un
especial análisis del período donde a todos nos quedó claro la relevancia que
tiene la misma para el normal funcionamiento de nuestra vida en la actualidad.
Análisis y opinión.
Si nos estamos preparando concienzudamente hace 20 años, tal
como parece demostrar la enorme cantidad de reglamentación interna y creación
de espacios de gestión abocados al tema (y solo he mencionado algunos), algo no
muy relacionado a la eficacia puede estar sucediendo.
El hacking a Migraciones (usando justamente ransomware -tema
largamente advertido en el mundo-), el ataque a RENAPER y el ataque al Senado,
resultan sugerentes.
Tal vez no hemos hecho todo bien. Tal vez, no nos hemos
estado preparando tanto más allá de
generar estructuras burocráticas y tratar de reglamentarlas y, por supuesto,
pagar salarios y realizar compras de equipos y servicios durante las últimas dos
décadas, que al fin y al cabo no tuvieron para nada el efecto buscado.
Es al menos para reflexionar, que llegada la pandemia los
distintos estamentos del Estado no estuvieran -hace años- utilizando Firma
Digital para todos sus documentos, dado que como hemos dicho, en Argentina es
Ley desde 2001. Es impresionante pensar que solo en 2018 se haya aprobado la
Política de Seguridad de un enorme Ministerio
Nacional, siendo que habría que haberlo hecho, según se
constata en la decisión administrativa
663/2004 JGM, en el marco de 180 días. No quisiera recordar - aunque
me resulta difícil- que la mayoría de la población no conoce el organismo de
emisión de campañas
de concienciación en materia de riesgos ciber y ciberseguridad, dependiente del
Ministerio de Justicia. Me resulta casi imposible comprender que, aún hoy, se
discute el gasto en suministros para firma digital o en capacitación para el
personal -teniendo en cuenta que la primera es vital para el trabajo en línea y
el segundo para evitar la ingeniería social entre otros-, pero más me alarma
que algunos Responsables de ciberseguridad del Estado tengan un salario
inferior a 1000 dólares por mes, dado el enorme mercado privado de oferta
actual, o que aún
se siga sin reglamentar el uso de cripto-monedas (o cripto-activos) en el
territorio nacional. Que el plan estratégico -como ya se ha dicho[xxviii]-
en realidad no planifique, sino que solo esboce algunas intenciones. Que recién
en 2018 se haya creado una dirección de ciber-delitos en el Ministerio de
Seguridad de la Nación y que el país solo haya adherido al convenio de Budapest
más de una década y media después de su creación, tanto como que recién este año
se haya aprobado en el organismo de estandarización Nacional (IRAM) la norma ISO/IEC
27037 que estandariza una guía para la identificación, recolección, adquisición
y preservación de evidencia digital desde el año 2012 (aunque sí diré que en
esta norma en el punto 6.4 se especifica que las
mejores herramientas no garantizan los mejores resultados, si no existe la
competencia humana adecuada. Sumado a que ahora, tenemos la flamante Decisión
Administrativa 641/2021 que establece la derogación de la antigua DA 663/2004
JGM para dar paso a unos "Requisitos Mínimos
de Seguridad de la Información para
Organismos", en donde se vuelve a establecer,
casi dos décadas después, que es necesario y obligatorio una Política de Seguridad de la Información
-pero ahora con "un plan"-
tal como decía la norma derogada, y un largo etcétera que me sugiere que,
probablemente, debamos hacer las cosas de otra manera para estar al altura del
hoy, y preparados para lo que vendrá.
Algunos problemas más.
Lamentablemente no puedo cerrar aquí, por mucho que me gustaría,
solo con sugerencias y buenos deseos. Es importante agregar que la pandemia no
solo nos dejó males en términos de ciber-delitos, si no mucho bueno en termino
de conectividad, adquisición de herramientas, disminución de contaminación, uso
de combustible y tiempo de traslados, lo que llevo a un enorme impulso del
trabajo remoto. Pero este aumento del trabajo remoto borró aún más las
fronteras de la oferta y la demanda laboral. El contexto de la enorme pérdida
de poder adquisitivo en Argentina y el deterioro socio-político, sumado a lo
antedicho, ha provocado una sangría de profesionales experimentados, altamente
capacitados y con profundos conocimientos de la operatoria diaria en los
organismos del Estado. Para decirlo de otra forma, además, hemos sido "hackeados"
por la oferta laboral desde el exterior, y estamos perdiendo profesionales que
no podemos reemplazar adecuando la oferta salarial. Pero tampoco podríamos
reemplazarlos inmediatamente aunque igualáramos la oferta, debido a que la adquisición de experiencia no se
puede acelerar. Y este es un problema con el que comenzamos a lidiar en este
primer semestre del 2022 que se fue, y con el que tendremos que seguir tratando
en el futuro próximo y mediato. Si volvemos a pensar en lo dicho en los párrafos
iniciales de este artículo, esta salida de recursos humanos podría resultar aterradora.
Para terminar, y no porque crea agotado el tema si no porque
en algún momento hay que cerrar, debo decir que no es que no hemos hecho;
hemos hecho mal. Y eso nos pone en un problema aún mayor. No solo porque
los datos divulgados y perdidos, y los daños sufridos no se pueden recuperar ni
reparar, si no porque hace casi un cuarto de siglo que venimos construyendo
espacios que no funcionan y no cumplen sus objetivos y llegando muy tarde a
enfrentar los problemas que nos amenazan en la cotidianidad. En el mejor de los
casos -y recurriendo al buenamente vapuleado estándar BS 7799 de 1995-, también
en ausencia del requerimiento sine qua non para el logro del funcionamiento de
un sistema de seguridad: el compromiso manifiesto de la más alta autoridad
organizacional.
Recurro en el cierre, a la elocuente explicación de un colega
y amigo sobre el problema que enfrentaríamos hoy, aún si contásemos con ese
compromiso manifiesto de la alta autoridad, contra lo hecho todos estos años: "Lo
peligroso de estos documentos "Como si", es que si posteriormente alguien
intenta salvar las dolencias de esta edición, no solo tendrá que hacer el
esfuerzo de definir lo que realmente es una plan, sino que también deberá trabajar
para refutar el documento anterior y justificar ante la gestión y la opinión pública
toda, la necesidad de hacer un trabajo que en teoría "ya esta hecho"[xxix].
[i] Cherñavsky, Moreira y
Gris Muniagurria, Buenos Aires 2018, Sistema penal e informática, editorial
Hammurabi.
[ii] https://www.europol.europa.eu/cms/sites/default/files/documents/internet_organised_crime_threat_assessment_iocta_2020.pdf
[iii] De
forma muy simplificada. Se puede ver en mayor profundidad aquí:
https://es.wikipedia.org/wiki/Ingeniería_social_(seguridad_informática)
[iv] Ver más
aquí
[v] Que
implica, en términos simples la interrupción de servicios o comunicaciones de
forma parcial o total.
[vi] https://www.europol.europa.eu/cms/sites/default/files/documents/internet_organised_crime_threat_assessment_iocta_2021.pdf
[vii] https://blog.chainalysis.com/reports/ransomware-update-may-2021/
[viii] Ver más
aquí: https://ciberdelito.com/2018/07/19/phishing-el-estado-del-fenomeno-investigacion-prevencion-y-combate/
[ix] https://www.ic3.gov/Media/PDF/AnnualReport/2021_IC3Report.pdf
[x] https://documents-dds-ny.un.org/doc/UNDOC/GEN/V21/025/98/PDF/V2102598.pdf
[xi] Ver
aquí: https://www.interpol.int/en/content/download/15217/file/20COM0312-Cyberthreats-Campain_ProjectSheet%20-%20SP%20-2020-05.pdf?inLanguage=esl-ES
[xii] https://www.oas.org/juridico/english/cyb_pry_convenio.pdf
[xiii] Organización
Internacional para la Estandarización, ISO por sus siglas en inglés.
https://www.iso.org/home.html
[xiv] https://en.wikipedia.org/wiki/BS_7799
[xv] http://servicios.infoleg.gob.ar/infolegInternet/anexos/100000-104999/102188/texact.htm
[xvi] https://www.argentina.gob.ar/normativa/nacional/resoluci%C3%B3n-48-2005-106452
[xvii] Política
de Seguridad de la Información.
[xviii]
http://servicios.infoleg.gob.ar/infolegInternet/anexos/140000-144999/141790/norma.htm
[xix] http://servicios.infoleg.gob.ar/infolegInternet/verNorma.do?id=185055
[xx] http://servicios.infoleg.gob.ar/infolegInternet/verNorma.do?id=237642
[xxi] http://servicios.infoleg.gob.ar/infolegInternet/verNorma.do?id=247971
[xxii] https://www.boletinoficial.gob.ar/detalleAviso/primera/220585/20191104
[xxiii] https://www.argentina.gob.ar/normativa/nacional/resoluci%C3%B3n-829-2019-323594
[xxiv] https://www.argentina.gob.ar/interior/migraciones/acerca-de-la-dnm
[xxv] https://www.infobae.com/politica/2020/09/05/la-direccion-nacional-de-migraciones-denuncio-que-un-grupo-de-hackers-robo-informacion-y-ahora-le-pide-un-rescate-millonario/
[xxvi] https://www.pagina12.com.ar/291148-los-hackers-publicaron-finalmente-la-informacion-robada-a-la
[xxvii]
https://www.infobae.com/politica/2021/10/31/cuales-son-las-principales-hipotesis-detras-del-hackeo-a-la-base-del-renaper/
[xxviii] https://ciberdelito.com/2019/11/06/los-planes-que-no-planifican/
[xxix] https://ciberdelito.com/2019/11/06/los-planes-que-no-planifican/
Los comentarios publicados son de exclusiva responsabilidad de sus autores y las consecuencias derivadas de ellos pueden ser pasibles de sanciones legales.