La ciberseguridad probablemente sea uno de los aspectos más relevantes en esta era en la que, la comunicación virtual se ha vuelto parte de la cotidianeidad. Si focalizamos nuestra mirada a la seguridad desde el punto de vista del Estado, ¿existen garantías suficientes para que los hackers no hagan de las suyas y ataquen al sistema?
Por Robert Bourgoing (@robertb_py)
Días atrás me tomé el tiempo para ver “El arma perfecta”, un documental que relata el inicio del ciberterrorismo contra Estados Unidos y cómo se fueron dando los primeros ciberataques a la estructura estatal norteamericana, que en ese entonces aún no veía venir el conflicto que estaba en puertas.
Si bien el contexto es diametralmente opuesto, no pude evitar pensar en qué pasaría si una situación similar ocurriese en Paraguay, un país que, si bien no está enemistado con grandes potencias que podrían declarar la “guerra cibernética”, de igual manera posee algunas vulnerabilidades, incluyendo en el área de la ciberseguridad.
Miguel Ángel Gaspar, experto en ciberseguridad y fundador de la organización Paraguay Ciberseguro, fue uno de los primeros que me contestó esta pregunta y fue sincero al afirmar que en nuestro país existe un riesgo de que se produzcan ataques informáticos, no solo a nivel de empresas privadas, sino también, a las mismas estructuras del Estado.
Páginas web de entes oficiales o plataformas pertenecientes al gobierno quizás posean ciertas fragilidades que las hacen vulnerables a un eventual ciberataque, esto, debido a que, siempre se mantiene abierta esa posibilidad, a pesar de que frecuentemente no se escuchen noticias al respecto.
“Al hablar de ciberseguridad en entornos estatales, hay que hablar de varios componentes. Si bien existen algunas reglamentaciones y circulares, son letra muerta, no se cumplen en su gran mayoría y solamente los grandes estamentos que tienen mayor tráfico en sus sitios como el Ministerio de Hacienda o la Subsecretaría de Estado de Tributación (SET) con el sistema Marangatu tienen mecanismos de seguridad más desarrollados”, indicó.
Asimismo, explicó que al hablar de páginas web primeramente se debe hablar de una protección jurídica que hoy es “casi inexistente”, conforme a su propia experiencia trabajando con varios municipios de nuestro país, hecho que da la pauta de cómo se encuentra en líneas generales este aspecto.
Gaspar también resalta la necesidad de que las páginas estatales o de entes públicos cuenten con mecanismos de autenticación, cifrado y seguridad, a fin de tener el suficiente respaldo que permita garantizar su protección ante eventuales amenazas informáticas.
La soberanía digital y tecnológica, que engloba el conjunto de los activos digitales que pertenecen al Estado paraguayo, es una materia pendiente y también requiere de varios ajustes, aseguró. A esto se le suma la falta de armonización entre las bases de datos estatales, lo cual hace que nuestro país no pueda hacer uso de herramientas de cooperación internacional.
¿Qué pasaría si un hacker accede a la página web de Instituto Nacional de Estadística y filtrase los datos de todos los censados? En definitiva, sería una catástrofe. Aunque nadie puede asegurar a ciencia cierta de que eso ocurrirá, la evaluación de potenciales riesgos es algo clave en el rubro de la ciberseguridad, pues como dice la famosa frase: “No pasa hasta que pasa”.
“La prevención de ingresos a bases de datos a través de sitios webs es una materia pendiente, ya hemos tenido malas experiencias con el caso de Petropar, la INC o el billetaje electrónico, eso pasa porque el Estado paraguayo no está fungiendo de contralor de dichas bases de datos”, afirmó Gaspar.
La región está sufriendo ataques cibernéticos continuos, por lo que no se puede descartar que algún día nos quedemos sin la posibilidad de utilizar plataformas como las del Instituto de Previsión Social (IPS) o el Sistema Marangatu, manifestó.
Por su parte, Marcelo Elizeche Landó, consultor de seguridad informática, enfatiza que, en los casos de ciberataques, siempre es difícil tener certeza plena para saber quién o quiénes son los responsables detrás del hecho, como aquel ladrón que comete sus golpes sin dejar pistas. “Un adversario serio no te va a avisar que te hackeó sino que, lo hará directamente”.
Más que un acceso indebido a alguna página estatal, el mayor temor es -a su criterio- que se produzca un ciberataque de mayor envergadura y que vulneren bases de datos o archivos de relevancia, o que se genere un ataque de tipo “ramsomware”, donde los ciberdelincuentes anulan totalmente los sistemas informáticos y los “secuestran”, exigiendo sumas de dinero para su recuperación.
A nivel del Estado, sostiene que, lo más importante es que exista una política en materia de ciberseguridad lo cual recae hoy directamente en el Ministerio de Tecnología de la Información y la Comunicación (MITIC); además de que se pueda formar a profesionales idóneos en el sector público para que posean los conocimientos suficientes para enfrentar este tipo de amenazas.
La formación va ligada también a la inversión, puesto que, se requiere de un presupuesto destinado a capacitar a los funcionarios y a la adquisición del software y hardware esenciales. Elizeche también aconseja fijar protocolos específicos para contrarrestar incidentes y efectuar un monitoreo permanente para saber si hubo actividad inusual en la red.
Si bien en los últimos años hubo grandes avances en este ámbito, nunca deben minimizarse los riesgos latentes. A partir de ahora, Paraguay ya debe sentar las bases para un rumbo tecnológico y se debe empezar a hablar de la soberanía digital. HOY
