Por Licenciado Pablo Gris Muniagurria*
Por qué no hay ciber-seguridad en Argentina.
Ya se ha dicho, tiempo antes del COVID19, pensando en el uso actual de las Tecnologías de la Información y Comunicaciones: “las tecnologías que alguna vez fueron meras facilitadoras de procesos, hoy son el soporte donde se asienta el funcionamiento de las estructuras del Estado, de las organizaciones públicas y privadas, y de la casi totalidad de las interacciones personales, productivas y comerciales”.
Esto ha quedado más que claro para todos, luego de los casi dos años de pandemia, en los que hemos podido apreciar -todos nosotros- lo importante de estas tecnologías, no solo por su penetración social, sino porque hicieron posible el trabajo remoto, los trámites a distancia, la gestión de los turnos, permisos y todo lo que otrora, hiciéramos en persona pero esta vez, en linea. Hicimos un uso intensivo de estas tecnologías, en los ámbitos sociales, comerciales, educativos y productivos, y con ello nos hemos dado cuenta de lo trascendente que son para los Estados y los pueblos que los habitan. Pero esta noción de su importancia, está muy lejos de ser nueva para los expertos y entendidos. Por el contrario tiene, al menos, 25 años.
A la par de la restricción de la socialización cara a cara, durante la pandemia, se produjo una esperable migración de los fenómenos delictivos al ambiente digital o “ciber”, el cual debió haber estado preparado para soportarlo razonablemente.
Sin embargo, en plenas restricciones y cuando más necesitábamos confiar en los sistemas estatales de gestión y control, sufrió un hackeo el sistema de la Dirección Nacional de Migraciones.
Pocos meses después y mientras que nos pedían que confiáramos todos nuestros datos personales a la aplicación de regulación de permiso de circulación, sufrió un fuerte incidente informático de conocimiento público, nada menos que el máximo organismo de registración de las personas del Estado –RENAPER-, demostrando con ello una debilidad que, además, involucraba a los sistemas del Ministerio de Salud de la Nación, el cual se encontraba gestionando la emergencia.
La Dirección Nacional de Migraciones, el RENAPER y el Ministerio de Salud de la Nación, sufrieron gravísimos incidentes, cuando más debíamos confiar y apoyarnos en ellos para nuestra seguridad y bienestar como sociedad.
Para entender qué pasó, y probablemente más importante aún, por qué pasó, no basta quedarse en estos hechos y hay que analizar el fenómeno de las TICs durante el período de la pandemia, y lo que viene sucediendo de forma global y local, en tanto a los riesgos, desafíos y problemas de seguridad que implica el uso masivo de las mismas y como los Estados y las organizaciones, los han identificado y tratado durante el último cuarto de siglo.
Veamos algunos datos para hacernos una idea de qué pasó, durante la pandemia.
Europol, sostiene que los hallazgos más importantes del año 2020 en materia de ciber-delincuencia, así como los desafíos para su investigación, son: que la ingeniería social (la manipulación y el engaño de las personas) permanece como la más alta amenaza para habilitar o permitir otros tipos de ciber-crimen. Las cripto-monedas continúan siendo elegidas para pagos vinculados al delito -mientras que evolucionan tecnológicamente, mejorando la privacidad de las transacciones- y se identifican dificultadas en cuanto a los reportes del ciber-crimen, que faciliten una visión precisa y global del estado del fenómeno. Para el caso específico del delito exclusivamente “ciber”, encuentran que: el Ransomware (que típicamente constituye un código malicioso, que cifra todos los datos y pide un rescate para volver a tener acceso a ellos) sigue siendo la amenaza dominante, y se le suma un aumento de la presión ejercida por los criminales, amenazando no solo con la no recuperación de la información, si no también con su publicación si la víctima no paga. Además, se distingue que este fenómeno crea una una seria amenaza para terceras partes de la cadena de suministros y para las infraestructuras críticas (servicios esenciales).Por último se halla un aumento significativo en la potencial amenaza de ataques que generen denegación de servicios (DoS y DDoS).
Para el caso del 2021 en cambio, Europol, encuentra que se mantuvo la evolución del fenómeno, haciendo especial foco en las mejoras en el software malicioso como servicio y en sus capacidades de ataque, especialmente las asociadas al ransomware y un aumento en los troyanos enfocados en servicios bancarios móviles. Los delincuentes parecen haber percibido el impacto que tienen los ataques de denegación de servicios, cuando no existen alternativas físicas a los sistemas digitales atacados, lo que ha implicado un aumento en los ataques de este tipo, motivados en las ganancias que pueden producir. Además, perciben un aumento de la maduración general del mercado criminal orientado a los delitos contra sistemas informáticos, el cual provee todas las herramientas necesarias -bienes y servicios- tanto a nuevos delincuentes como a los ya establecidos. Se detecta un aumento de la seguridad operacional en las actividades delictivas, haciendo más opacos los movimientos de fondos, escondiendo mejor su actividad en línea y utilizando más comunicaciones seguras por parte de los actores delictivos.
Por otra parte, podemos ver los datos de una de las principales Compañías dedicadas al rastreo de cripto-monedas con fines investigativos y observar que: mientras en 2019 los pagos vinculados a ransomware equivalen a poco más de 92 millones de dólares -lo que en si mismo no debe ser desestimado- en 2020 se registra un aumento hasta más de 406 millones de dólares.
En el caso del Anti-Phishing Working Group, los sitios de Phishing (robo de credenciales en línea) mostraron un incremento desde el último trimestre del 2019, donde se identificaron más de 162mil sitios únicos de phishing, hasta el último trimestre del 2020 identificándose más de 637mil sitios únicos de phishing.
El gobierno de los Estados Unidos mediante el reporte del FBI sobre delitos en Internet del 2021, muestra aumentos en los primeros cinco ciber-delitos en su jurisdicción, comenzando por el delito de extorsión desde 43mil casos hasta los más de 76mil en 2020, y el robo de identidad que creció desde los más de 16mil casos en 2019 a los más de 51mil en 2021. En el caso del compromiso de datos personales, los valores pasaron más de 38mil casos en 2019 a valores cercanos a los 52mil en 2021. Y para el caso Phishing y sus variantes, el aumento fue desde los casi 115mil casos en hasta de 300mil casos en 2021.
A nivel local, la Unidad Fiscal Especializada en Ciber-delincuencia del Ministerio Público Fiscal de la Nación, en su informe de gestión, arroja un aumento de los reportes desde los 2.300 aproximadamente en 2019 hasta un número superior a los 11.300 en 2020. A su vez, el mismo documento compara los reportes del primer trimestre de 2019 con el del 2021 mencionando un aumento desde los 581 reportes hasta los 3.976. Lo que está en línea con las tendencias globales establecidas.
Es importante mencionar que en el mismo período temporal (2020 – 2021) la propia ONU recomienda, en el informe producido en Viena, entre el 4 y el 8 de abril de 2021, con respecto al ciber-delito que:
· “Se considera necesario elaborar una serie de políticas públicas de largo plazo en materia de prevención, que deberían incluir el desarrollo de campañas de sensibilización sobre el uso seguro de Internet”
· “Los Estados deberían impartir capacitación para magistrados y jueces especializados que se ocupan de los casos de delito cibernético, y proporcionar a los órganos de investigación instrumentos de alto rendimiento para rastrear las cripto-monedas y hacer frente a su utilización con fines delictivos.”
· “Se recomienda fomentar la capacidad colectiva de las instituciones competentes y cambiar la cultura de prevención para que deje de ser reactiva y se vuelva proactiva. También se recomienda establecer un mecanismo sólido para estimular y facilitar el intercambio de información de inteligencia sobre los posibles modus operandi delictivos.”.
Veamos ahora por qué debimos haber estado mucho mejor preparados.
De todo lo expuesto, queda claro que durante este período especial del mundo, los ciber-delitos aumentaron con fuerza de forma global y local, y que los riesgos quedan expresados debidamente en las recomendaciones de la ONU o de Interpol -que también realizó las suyas-.
Sin embargo, las recomendaciones y los datos alarmantes de los riesgos que el mundo ciber y estas tecnologías implican, habían sido anunciados al menos una década y media antes. Por ejemplo, en el Foro Económico Mundial, que en su informe de riesgo global del año 2007 identifica por primera vez a los riesgos ciber incluyendo el ciber-fraude, asignándole una probabilidad de ocurrencia moderada. En los años venideros, este reporte incluiría fallas en las infraestructuras críticas y muchos otros elementos ciber -cada vez más específicos- vinculados a este universo tecnológico, alertando al mundo sobre su alta probabilidad de ocurrencia e impacto. Y si nos remitimos al 2001, el Convenio de Budapest sobre la ciber-delincuencia es muestra suficiente de que estas tecnologías presentaban grandes problemas y desafíos para el mundo entero. Esta última mención, toma fórmulas ya expresadas en los estándares internacionales existentes a esa fecha, tales como el ISO/ IEC 17799 que fue publicado en el año 2000, y que a su vez se basó en el estándar previamente emitido por el Instituto Británico de Estandarización BS 7799 en el año 1995, ambos sobre la Gestión de Sistemas de Seguridad de la Información.
El lector no especializado, podría suponer que mientras todo esto sucedía a nivel global, en Argentina estábamos ajenos a todo este fenómeno; sin embargo, no es así. Veamos cómo.
En el año 2000 se aprueba y promulga la ley de protección de datos personales. En 2001, la Argentina aprobó y promulgó su ley de Firma Digital. En el año 2004 la Jefatura de Gabinete de Ministros de la Nación dicta la Decisión Administrativa 663, en donde se establece la obligatoriedad de dictar o adecuar Políticas de Seguridad de la Información (PSI) en el ámbito de la Administración Publica Nacional, en un plazo de 180 días. Y, efectuar la conformación de Comités de Seguridad en la Información; y establecer funciones y responsables en relación con la seguridad. Como política de seguridad modelo, la Oficina Nacional de Tecnologías dependiente del organismo anteriormente citado, toma el estándar ISO 17799 con alguna adecuación menor. Con el correr de los años y conforme se modificara el estándar ISO de referencia, esta política “modelo” también se fue adecuando localmente. En el año 2005 la Sindicatura General de la Nación dicta las Normas de Control Interno para Tecnología de la Información, obligando a que las áreas tecnológicas se unifiquen dentro de los organizamos reforzando el control sobre la Seguridad y el cumplimiento de la PSI, y aclarando la necesidad de fomentar el control cruzado entre las áreas dependientes de la Unidad de Tecnología (por ejemplo, entre Desarrollo y Seguridad, o entre Seguridad y Redes, etc.). En el año 2008 se aprueba y promulga la “Ley de delitos informáticos“ modificatoria del Código Penal número 26.388. En el año 2011 se crea el “Programa Nacional de Infraestructuras Críticas de Información y Ciber-seguridad”, con objeto de proteger las mismas. En el 2014 se aprueba (en el marco de implementar la firma digital de modo masivo) la reglamentación de la política única de certificación de firma digital, por Decisión Administrativa de Jefatura de Gabinete de Ministros (JGM). En el año 2015 se eleva a rango de subsecretaria de protección de infraestructuras criticas de información y ciberseguridad en el ámbito de la secretaria de gabinete (JGM) reconociéndose aún mayor la importancia del tema. En el mismo año se crea en el Ministerio Publico Fiscal de la Nación la Unidad Fiscal especializada en Ciber-delincuencia. En el 2016 la Argentina adhiere al convenio de Budapest contra la ciber delincuencia. En 2018 se crea la dirección de investigación del ciber-delitos en el ámbito del Ministerio de Seguridad de la Nación. En el 2019 se publica el documento “Plan federal de prevención de delitos tecnológicos y ciber-delitos (2019-2023)” y además la estrategia nacional de ciber-seguriad.
Así pues, queda establecido que a nivel institucional estábamos perfectamente conscientes de los temas en cuestión. Lo hemos estado por 20 años… nuevamente de forma congruente con buena parte del mundo.
De los Ataques e Incidentes.
En 2020 La Dirección Nacional de Migraciones, organismo dependiente del Ministerio del Interior de la Nación, sufrió un ataque a sus sistemas que la inhabilitó por un lado, y además permitió el robo y posterior divulgación no autorizada de información. El arma utilizada: Ransomware, según trascendió en los medios de comunicación.
En 2021 el Registro Nacional de Las Personas -dependiente del mismo Ministerio que Migraciones-, sufrió un incidente informático por el cual al menos buena parte de su base de datos de ciudadanos fue robada y divulgada de forma no autorizada según se hizo público.
En este 2022, se hizo de público conocimiento un ataque al Senado de la Nación, nuevamente, mediante un Ransomware.
Hasta aquí, solo algunos datos y hechos objetivos de la historia de la ciber seguridad en el mundo y en el contexto local. Y un especial análisis del período donde a todos nos quedó claro la relevancia que tiene la misma para el normal funcionamiento de nuestra vida en la actualidad.
Análisis y opinión.
Si nos estamos preparando concienzudamente hace 20 años, tal como parece demostrar la enorme cantidad de reglamentación interna y creación de espacios de gestión abocados al tema (y solo he mencionado algunos), algo no muy relacionado a la eficacia puede estar sucediendo.
El hacking a Migraciones (usando justamente ransomware -tema largamente advertido en el mundo-), el ataque a RENAPER y el ataque al Senado, resultan sugerentes.
Tal vez no hemos hecho todo bien. Tal vez, no nos hemos estado preparando tanto más allá de generar estructuras burocráticas y tratar de reglamentarlas y, por supuesto, pagar salarios y realizar compras de equipos y servicios durante las últimas dos décadas, que al fin y al cabo no tuvieron para nada el efecto buscado.
Es al menos para reflexionar, que llegada la pandemia los distintos estamentos del Estado no estuvieran -hace años- utilizando Firma Digital para todos sus documentos, dado que como hemos dicho, en Argentina es Ley desde 2001. Es impresionante pensar que solo en 2018 se haya aprobado la Política de Seguridad de un enorme Ministerio Nacional, siendo que habría que haberlo hecho, según se constata en la decisión administrativa 663/2004 JGM, en el marco de 180 días. No quisiera recordar – aunque me resulta difícil- que la mayoría de la población no conoce el organismo de emisión de campañas de concienciación en materia de riesgos ciber y ciberseguridad, dependiente del Ministerio de Justicia. Me resulta casi imposible comprender que, aún hoy, se discute el gasto en suministros para firma digital o en capacitación para el personal -teniendo en cuenta que la primera es vital para el trabajo en línea y el segundo para evitar la ingeniería social entre otros-, pero más me alarma que algunos Responsables de ciberseguridad del Estado tengan un salario inferior a 1000 dólares por mes, dado el enorme mercado privado de oferta actual, o que aún se siga sin reglamentar el uso de cripto-monedas (o cripto-activos) en el territorio nacional. Que el plan estratégico -como ya se ha dicho– en realidad no planifique, sino que solo esboce algunas intenciones. Que recién en 2018 se haya creado una dirección de ciber-delitos en el Ministerio de Seguridad de la Nación y que el país solo haya adherido al convenio de Budapest más de una década y media después de su creación, tanto como que recién este año se haya aprobado en el organismo de estandarización Nacional (IRAM) la norma ISO/IEC 27037 que estandariza una guía para la identificación, recolección, adquisición y preservación de evidencia digital desde el año 2012 (aunque sí diré que en esta norma en el punto 6.4 se especifica que las mejores herramientas no garantizan los mejores resultados, si no existe la competencia humana adecuada. Sumado a que ahora, tenemos la flamante Decisión Administrativa 641/2021 que establece la derogación de la antigua DA 663/2004 JGM para dar paso a unos “Requisitos Mínimos de Seguridad de la Información para Organismos”, en donde se vuelve a establecer, casi dos décadas después, que es necesario y obligatorio una Política de Seguridad de la Información -pero ahora con “un plan”- tal como decía la norma derogada, y un largo etcétera que me sugiere que, probablemente, debamos hacer las cosas de otra manera para estar al altura del hoy, y preparados para lo que vendrá.
Algunos problemas más.
Lamentablemente no puedo cerrar aquí, por mucho que me gustaría, solo con sugerencias y buenos deseos. Es importante agregar que la pandemia no solo nos dejó males en términos de ciber-delitos, si no mucho bueno en termino de conectividad, adquisición de herramientas, disminución de contaminación, uso de combustible y tiempo de traslados, lo que llevo a un enorme impulso del trabajo remoto. Pero este aumento del trabajo remoto borró aún más las fronteras de la oferta y la demanda laboral. El contexto de la enorme pérdida de poder adquisitivo en Argentina y el deterioro socio-político, sumado a lo antedicho, ha provocado una sangría de profesionales experimentados, altamente capacitados y con profundos conocimientos de la operatoria diaria en los organismos del Estado. Para decirlo de otra forma, además, hemos sido “hackeados” por la oferta laboral desde el exterior, y estamos perdiendo profesionales que no podemos reemplazar adecuando la oferta salarial. Pero tampoco podríamos reemplazarlos inmediatamente aunque igualáramos la oferta, debido a que la adquisición de experiencia no se puede acelerar. Y este es un problema con el que comenzamos a lidiar en este primer semestre del 2022 que se fue, y con el que tendremos que seguir tratando en el futuro próximo y mediato. Si volvemos a pensar en lo dicho en los párrafos iniciales de este artículo, esta salida de recursos humanos podría resultar aterradora.
Para terminar, y no porque crea agotado el tema si no porque en algún momento hay que cerrar, debo decir que no es que no hemos hecho; hemos hecho mal. Y eso nos pone en un problema aún mayor. No solo porque los datos divulgados y perdidos, y los daños sufridos no se pueden recuperar ni reparar, si no porque hace casi un cuarto de siglo que venimos construyendo espacios que no funcionan y no cumplen sus objetivos y llegando muy tarde a enfrentar los problemas que nos amenazan en la cotidianidad. En el mejor de los casos -y recurriendo al buenamente vapuleado estándar BS 7799 de 1995-, también en ausencia del requerimiento sine qua non para el logro del funcionamiento de un sistema de seguridad: el compromiso manifiesto de la más alta autoridad organizacional.
Recurro en el cierre, a la elocuente explicación de un colega y amigo sobre el problema que enfrentaríamos hoy, aún si contásemos con ese compromiso manifiesto de la alta autoridad, contra lo hecho todos estos años: “Lo peligroso de estos documentos “Como si”, es que si posteriormente alguien intenta salvar las dolencias de esta edición, no solo tendrá que hacer el esfuerzo de definir lo que realmente es una plan, sino que también deberá trabajar para refutar el documento anterior y justificar ante la gestión y la opinión pública toda, la necesidad de hacer un trabajo que en teoría “ya esta hecho”.
*Miembro de la Comisión de Seguridad CEDYSEG
Cherñavsky, Moreira y Gris Muniagurria, Buenos Aires 2018, Sistema penal e informática, editorial Hammurabi.
De forma muy simplificada. Se puede ver en mayor profundidad aquí: https://es.wikipedia.org/wiki/Ingeniería_social_(seguridad_informática)
Que implica, en términos simples la interrupción de servicios o comunicaciones de forma parcial o total.
Ver más aquí: https://ciberdelito.com/2018/07/19/phishing-el-estado-del-fenomeno-investigacion-prevencion-y-combate/
Ver aquí: https://www.interpol.int/en/content/download/15217/file/20COM0312-Cyberthreats-Campain_ProjectSheet%20-%20SP%20-2020-05.pdf?inLanguage=esl-ES
Organización Internacional para la Estandarización, ISO por sus siglas en inglés. https://www.iso.org/home.html
http://servicios.infoleg.gob.ar/infolegInternet/anexos/100000-104999/102188/texact.htm
Política de Seguridad de la Información.
http://servicios.infoleg.gob.ar/infolegInternet/anexos/140000-144999/141790/norma.htm
http://servicios.infoleg.gob.ar/infolegInternet/verNorma.do?id=185055
http://servicios.infoleg.gob.ar/infolegInternet/verNorma.do?id=237642
http://servicios.infoleg.gob.ar/infolegInternet/verNorma.do?id=247971