La nueva amenaza

El Estado, según la filosofía política, nace para garantizar la seguridad de sus ciudadanos. Tradicionalmente, esa función se ha entendido en el sentido físico: la defensa de las fronteras contra posibles agresiones y la protección de la vida y la propiedad de la población. Pero cada vez más, los riesgos a la integridad de los territorios y las personas se van trasladando al ámbito digital, como quedó claro esta semana tras el ciberataque que causó la caída de IFX Networks, empresa que presta el servicio de gestión y almacenamiento de datos en la nube a varios sectores claves del Gobierno, que se vieron gravemente perjudicados como la Salud y la Justicia, nada menos.

Lo ocurrido es grave para el país. Por ello mismo revivió la discusión sobre la necesidad de revisar con lupa todo el andamiaje de ciberseguridad en el Estado colombiano. Ya no puede haber excusas, ha quedado claro de qué tamaño es el riesgo de no actuar. Hay que tomarse muy en serio la seguridad digital, tanto en el sector público como en el privado. Es lamentable que el aprendizaje se haya dado de la peor manera, tras un episodio de los que los expertos califican como catastróficos y que al escribirse estas líneas seguía sin resolverse.

Ninguna entidad pública o privada puede funcionar hoy en día sin hacer uso intensivo del ciberespacio. Y esto presenta dos riesgos. Primero, que las herramientas digitales muchas veces no están ubicadas físicamente en el mismo lugar que la organización. Y, segundo, que aun cuando están físicamente bajo control de la entidad, las bases de datos y servidores de ‘software’ están conectados a redes informáticas que permiten acceder a ellos remotamente. Tal y como ocurrió.

Esto implica que las medidas de seguridad tradicionales son insuficientes para garantizar la integridad de los activos digitales. Y el valor de esos activos no pasa desapercibido para los ‘hackers’ –delincuentes, que quede claro–, que se especializan en técnicas para vulnerar las defensas de los sistemas de cómputo.

Los datos de una organización, una vez sustraídos por cibercriminales, pueden ser valiosos en sí mismos –cuando contienen información financiera de terceras personas, por ejemplo– o pueden ‘secuestrarse’ para obligar a la entidad vulnerada a pagar un rescate por recuperarlos. En cualquier caso, el daño que puede causar es incalculable: va desde el simple hurto a particulares hasta la parálisis total de sectores del Estado, tal y como lo estamos viviendo.

En este frente la prevención es la clave. En lo inmediato hay que respaldar al Gobierno en su gestión de una crisis que sigue andando. Así mismo, es vital identificar cuanto antes el nivel de riesgo que existe sobre otros sistemas de información del Estado. El Gobierno debe conformar un grupo de expertos públicos y privados que ordene y analice un diagnóstico de seguridad digital a todas las plataformas nacionales y regionales de nivel crítico.

Lo anterior es lo urgente. Pero lo importante y crítico aquí es solucionar la ausencia de un apropiado marco institucional para estos casos. Para eso, el país necesita una política integrada de seguridad informática. De hecho, hay un camino avanzado, plasmado en el Documento Conpes 3995. Urge entonces que se revisen las recomendaciones de ese documento, se actualicen y profundicen, de ser necesario, y, sobre todo, que se ejecuten. El Gobierno ha reconocido que al no existir una entidad transversal, fuerte, que articule los esfuerzos privados y públicos en materia de seguridad digital y ciberdefensa, se ha hecho aún más complicado istrar la crisis y orientar la solución.

De ‘sugerir amablemente’, el Estado debe pasar a ordenar, impartir y conminar a entidades, empresas, Fuerzas Militares y de Policía cuando de gestionar una crisis digital se trata. Dicha entidad debe ser, además, la gestora principal de la política pública en seguridad y defensa digital del país: la que en este caso, por ejemplo, dicte las normas de obligatorio cumplimiento para que aquellas infraestructuras críticas del Estado deban ser contratadas únicamente con empresas que cumplan con los parámetros, estándares y tecnologías precisas de seguridad y gestión, a la altura de la importante encomienda de acopiar, manipular y almacenar datos e información de los ciudadanos; o las aplicaciones y sistemas con los que se proveen los servicios tan esenciales como la justicia y la salud.

La Agencia Nacional de Seguridad Digital debería ser esa institución. A falta de uno, ahora hay dos proyectos que buscan de nuevo su formación. Hay que evitar que las pujas políticas frenen su consolidación, lo que no implica minimizar la obligación que tiene el Gobierno de resolver todas las dudas que se presenten en el debate. La transparencia le dará mayor legitimidad a una herramienta que es inaplazable y que debe poner al país en conexión con las amenazas cibernéticas globales. Se trata de un propósito de Estado en el que la unidad debe ser el primer dique de contención contra los ciberdelincuentes.

EDITORIAL