Por Lic. Pablo Gris Muniagurria

Director de la Comisión Ciberespacio y Nuevas Tecnologías.

La necesidad de abordar la ciberseguridad.

#seguridad #defensa #delitos #jurídico #educativo #nacional #provincial #municipal #ordinario #complejo #ataque #elecciones?

La Argentina ha vivido -y sigue viviendo- en el tiempo de los ciberataques y los ciberdelitos casi como si nada pasara. Y en este proceso son las personas, los ciudadanos, los que han sufrido y siguen sufriendo dolorosas consecuencias.

Estafas por WhatsApp, robo de credenciales bancarias, amenazas y acoso en línea, y servicios públicos inutilizables. Desde el sistema de migraciones hasta la venta con recetas en farmacias, que se suman a los robos masivos de datos personales en bases de datos estatales nacionales, provinciales, y locales.

¿Pero qué es esto si no un problema, una necesidad que se ha puesto en la agenda sola, y exige un abordaje de política pública completamente diferente a lo hecho hasta aquí?

Divulgación y educación masiva y permanente en esta materia, es un gran ausente en la política pública nacional. No hay un referente. Ni para el ciudadano de a pie, ni para el sistema de negocios y de desarrollo privado, ni tampoco -aunque los organismos existen- para el área estatal que "de golpe" se ve envuelta en los riesgos materializados de esta realidad.

El otro gran ausente es la obligatoriedad en la protección de activos críticos, sistemas y procesos del estado; comunicado, planificado, y controlado desde el más alto poder público.

Lo único que cabría pensar, para no llegar a atribuirlo al desinterés y la desidia, es que se trata de incomprensión. La ignorancia y el absoluto desconocimiento sobre esta realidad de la que estamos hablando. Y... ¿de qué se trata, entonces?

Es que como se ha dicho ya hasta el cansancio, las victimas de los ataques informáticos y las maniobras delictivas por estos medios no son "los sistemas". Detrás de un ataque, de un phishing, de una cuenta robada, hay seres humanos que sufren el impacto. Es por esto, y por la necesidad de proteger a las víctimas, sean individuales o grupales, que el asunto no es sobre "sistemas", si no sobre Seguridad.

La seguridad del S. XXI nos interpela en materia de complejidad. Puesto que se ha agregado a los delitos del mundo físico como el hurto, el robo, la extorsión, la falsificación, o incluso el secuestro; todo lo que sucede en el mundo digital, o lo que muchas veces se pierde de vista, lo que sucede por su intermedio, que es de un enorme impacto para la sociedad actual. Gigantesco.

Uno de los primeros rastros del impacto de la tecnología en los "nuevos delitos" o sus "nuevos formatos", lo vemos hace más de dos décadas con los llamados secuestros virtuales. Cuando los primeros celulares permitieron que nos llamaran por teléfono alegando que tenían secuestrado a un familiar, sabiendo que por algún motivo no podíamos comunicarnos con ellos. Por ejemplo, porque estaban en el cine con el teléfono apagado. Hubo un verdadero boom de estos casos en aquel tiempo. Hace ya tres décadas, escuchábamos de los virus informáticos como un problema -solo atribuido a las computadoras, por entonces-. Y una posible falla global computacional nos hizo preocupar a los que lo vimos suceder, cuando se anunció el problema del Y2K aún en el siglo pasado y escuchábamos cosas como la posible falla en la provisión de luz o de agua como potenciales consecuencias de todo aquello.

Pero la evolución del mundo ciber nos ha traído hasta aquí. Y aquí y ahora tenemos: lavado de dinero, financiación al terrorismo, y sabotaje al más alto nivel - que convive por ejemplo, en simultaneo con un ataque con misiles a sistemas de provisión eléctrica urbana- como sucede en la guerra de Ucrania. Y en paralelo, un ciudadano cualquiera le envía dinero a un familiar que se lo solicita desesperado, sin saber que en realidad, la cuenta de WhatsApp con la que está hablando fue recientemente robada por delincuentes que engañaron a su dueño para que les diera acceso. Y, al tiempo que varios cientos son estafados por una propuesta fantástica de inversión en criptomonedas por una pequeña organización transaccional difícil de rastrear, otros pierden su identidad por un robo masivo de credenciales a una dependencia pública, y se contraen innumerables deudas en sus nombres.

Mientras todo esto sucede, los ataques y atracos en el mundo físico se coordinan por Telegram, sus producidos se venden en alguna de las darknets -o incluso en foros superficiales, y plataformas legítimas- y/o se publicitan masivamente en vivo, y las elecciones son fuertemente influenciadas por campañas dirigidas por... ¿otros estados? en redes sociales.

Este es nuestro mundo. Y el desafío no es tecnológico, es humano. Y no es en materia de sistemas, si no de Seguridad. Una vez comprendida esta naturaleza, también es importante decir que en el 2024, ya tampoco es un asunto técnico - práctico si no político - estratégico.

La actual es una seguridad en la cual suceden delitos para los que no hay investigadores capacitados - aunque hay unos pocos en vías de-. Delitos que no son comprendidos por los operadores judiciales, ni por los técnicos que los apoyan, porque su conocimiento aislado y estanco no basta. No aún. Sin ésta seguridad suceden fallas, sabotajes, errores, incidentes, que dejan fuera de línea el sistema de migraciones, de venta de recetas, de control del espacio aéreo, de streaming de alguna plataforma, de venta en línea, de provisión de servicios públicos, incluso de redes sociales. Todos los aspectos de la vida organizada en sociedad se ven involucrados.

Es por esto, por todo esto, que las políticas públicas para el mundo ciber y sus tecnologías, resultan a esta altura tan fundamentales como las sociales, las de salud, las de política exterior o las de la antigua seguridad del mundo físico convencional.

Necesitamos: proteger las infraestructuras públicas que nos brindan los servicios esenciales, por supuesto. Pero a la vez, atender las emergencias de cada ciudadano al que le robaron el acceso y control de una cuenta de WhatsApp, sus credenciales bancarias, o de una cuenta de e-mail. Es fundamental generar y sostener una cultura de ciberseguridad. Construir a los referentes estatales a los que mirar, consultar, y llegado el caso pedir auxilio y que se encuentren en capacidad. Tanto así como lo es hacer campañas de seguridad vial, de protección del medio ambiente, o de salud pública en la que todos comprendamos la amenaza y podamos cuidarnos de la misma. Y esto es más urgente, y está más centrado en el ser humano y los procesos socio-políticos, de lo que se piensa y se tiene consciencia.

Hace poco, un estudio determinó que durante un ataque militar en 2022 con armas pesadas, se efectuaba en simultáneo un ciberataque a infraestructuras críticas del blanco. Se utilizaba una técnica denominada "living off the land" (LotL), que es una complejísima maniobra en la que se utilizan herramientas legítimas instaladas y funcionales del lado de la víctima pero para ejecutar acciones no previstas originalmente, o para las que no fueron creadas o instaladas, y que compromete la seguridad de las víctimas. Esto recae normalmente sobre las llamadas "tecnologías de operaciones", y sucede porque se puede tomar control de alguna manera de esas tecnologías legítimas de forma remota, o automatizada. Todo lo cual requiere una gigantesca preparación y planificación por su complejidad técnica. Dada su naturaleza legítima, esta tecnología no es vista como amenaza por los sistemas de seguridad de la víctima. Y todo ello puede suceder porque, por ejemplo, un archivo especialmente manipulado fue... ejecutado voluntariamente por la víctima.

¿Cómo llega esto a suceder? es la pregunta obligada. Porque toda esta maniobra se basa en que ... alguien confió en quien no debía, o se confió cuando no debía. ¿Una cuenta robada de una fuente confiable que envió un archivo? ¿Un "video" ejecutado en un WhatsApp Web de un equipo corporativo enviado por "un conocido"? ¿un phishing que dio acceso a? ¿una actualización no aplicada?. En definitiva, por un humano que no supo detectarlo, no pudo evitarlo, o se apoyó en aquello que no debía.

Uno de los criptógrafos más importantes del mundo acuñó una frase que me acompaña pegada en el monitor por algo más de una década, como un recordatorio permanente de una realidad esquiva, que traducida e interpretada dice algo más o menos así: "el hacking de los sistemas es para los amateurs, los profesionales hackean personas".

La ciberseguridad importa por "ciber", pero importa aún más por "seguridad". Se requiere una política nacional -y jurisdiccional- que ponga el foco en esta necesidad, y la aborde de forma sostenida, y con el profesionalismo y la idoneidad que la protección de la ciudadanía y el mejor interés nacional demandan. Ejemplos sobran en el mundo. Hay que tomar la decisión de diseñarla, y ponerla a funcionar.