Durante las últimas semanas, diversas instituciones del sector público fueron víctimas de ataques cibernéticos, entre ellas la Dirección General de Control de Armas y Municiones (Digecam), el Registro Nacional de las Personas (Renap), el Ministerio de Trabajo (Mintrab) y la Universidad de San Carlos de Guatemala (Usac).

De acuerdo con Pablo Barrera, director de Servicios de Ciberseguridad de ES Consulting, las instituciones de gobierno suelen ser vulnerables a este tipo de ataques debido a que no cuentan con las medidas necesarias de ciberseguridad; por ello, es necesario evaluar los niveles de exposición que tiene cada sector.

Barrera reconoció que algunas instituciones sí cuentan con personal y medidas orientadas a la seguridad informática, pero afirmó que no existe una estandarización general sobre controles mínimos de ciberseguridad en las dependencias estatales.

En ese sentido, también señaló que Guatemala enfrenta rezagos en legislación vinculada a ciberseguridad, protección de datos personales y persecución del cibercrimen. Indicó que muchos ataques son ejecutados desde el extranjero, por lo que se requiere que el país se sume a tratados internacionales para perseguir a los delincuentes.

Este es un extracto de la conversación que tuvo con Prensa Libre.

LECTURAS RELACIONADAS

¿Cuáles son los tres factores que afectan a Guatemala en los hackeos y robo de información?

“Se ha vuelto fácil cometer fraudes en Guatemala por falta de leyes que castiguen los ciberdelitos"

¿Qué tan preparada puede estar una institución pública para recibir este tipo de ataques o prevenirlos?

Hay instituciones públicas que sí se preocupan por estos temas e incluso tienen personal dedicado a ciberseguridad, pero no todas. Ese es el problema: no existe una estandarización en temas de ciberseguridad o seguridad de la información en el gobierno.

Algunas se preocupan por iniciativa propia o porque deben cumplir con ciertas regulaciones. Otras, a las que nadie les exige nada, están más atrasadas en estos temas.

No existe una estandarización en el gobierno sobre qué deberían cumplir las organizaciones gubernamentales que manejan datos de ciudadanos.

¿Qué tan grave puede ser un ataque cibernético contra una institución de gobierno?

Todo dependerá de los datos que se roben o de la función que cumpla esa institución. Por ejemplo, en el caso de Digecam, que fue comprometida, ahí está todo el registro de armas del país: quién las porta, teléfonos, direcciones e incluso contraseñas.

Eso es peligroso porque esa información, en manos de delincuentes, puede ser utilizada para distintos fines. En otros casos, como la Usac, puede haber información financiera de las personas, datos personales y cuentas bancarias. Son datos sensibles.

En el Renap no se sabe al 100% si ha habido una vulneración, pero, de haberla, se trataría de datos personales, biométricos, filiación, hijos y fechas de nacimiento. Solo con la información biométrica sería una situación delicada.

Muchos procesos de validación en organizaciones y empresas se basan en el Documento Personal de Identificación (DPI), el Número de Identificación Tributaria (NIT), el nombre o la dirección. Eso tendría que cambiar.

¿Qué medidas debería tomar un gobierno tras detectar un ataque cibernético?

Una de las primeras medidas que deberían tomar es establecer una línea base de ciberhigiene en todas sus instituciones. Es decir, definir qué controles de ciberseguridad o de seguridad de la información deberían cumplir como mínimo todas las instituciones; controles más estrictos para las entidades que manejan datos personales, y aún más estrictos para instituciones como el Renap, que básicamente es la base de datos del país.

Eso debería ser lo primero: establecer esa línea base y medir qué tan lejos o cerca están de esas buenas prácticas. Ese paso les ayudaría a entender qué esfuerzo deben hacer para llegar a donde deberían estar.

Otro tema es la legislación. Guatemala no cuenta con suficiente legislación en temas de ciberseguridad, seguridad de la información y protección de datos personales.

México tiene una Ley Federal de Protección de Datos Personales; Brasil también tiene legislación, al igual que Panamá y Argentina. Aquí no hay una ley de ciberseguridad, de infraestructuras críticas o de protección de datos personales. Esos son los puntos que debería ejecutar el gobierno de inmediato.

¿Qué errores cometen con frecuencia los gobiernos en materia de ciberseguridad?

Un error común es querer hacer todo tecnológico sin tomar en cuenta la ciberseguridad. Buscan implementar gobierno electrónico, lo cual suena bien, pero no consideran que también están creando otra superficie de exposición donde, si no hay leyes, estándares ni protección, la información queda expuesta. Se entrega en bandeja de oro a los criminales.

¿Cuánta prioridad debería darle el Estado a la inversión en seguridad?

La seguridad debe ser un tema razonable. Si una institución no maneja datos sensibles y toda la información que administra es pública, el riesgo de robo de información es distinto.

Pero si maneja datos sensibles de personas, datos biométricos o financieros que no deberían ser públicos, ahí sí se necesita inversión para implementar controles adecuados.

Debe ser una inversión razonable de acuerdo con la información que se maneje y la importancia de la institución.

¿Qué tan importante es actualizar servidores y software dentro del Estado?

Es muy importante para evitar este tipo de situaciones. Los hackeos que se han dado recientemente responden precisamente a eso, porque hay vulnerabilidades expuestas en portales de internet donde cualquier persona puede llegar, explotar la falla y obtener acceso, información o incluso inutilizar el servicio.

¿Guatemala necesita una estrategia nacional unificada de ciberseguridad?

Existe una estrategia nacional de ciberseguridad. Pero una cosa es que exista y otra que se ejecute. El papel lo aguanta todo, pero lo importante es que se implemente. El problema no es solo tenerla, sino tomarla en serio y llevarla a la práctica.

El problema es que no la toman en serio. Tal vez celebran que hicieron una estrategia y suenan las copas, todos felices, pero la realidad es que no está sucediendo.

En un país como el nuestro, muchas veces, si no es algo obligatorio, no se hace. Debería existir una línea base que, mediante decreto, ley o instrumento similar, obligue a las instituciones que manejan datos personales y sensibles a cumplir con estándares de ciberseguridad.

¿Qué vacíos legales existen en el país para investigar y sancionar delitos cibernéticos?

Los hackers que supuestamente cometieron estos crímenes ni siquiera están en el país. Algunos estarían en Sudamérica y otros en distintos lugares. El cibercrimen es un tema global, no solo local.

Se necesita capacidad de cooperación internacional para perseguir a estos criminales. Eso se logra al adherirse a convenios internacionales como el Tratado de Budapest.

Desde hace años se invitó al país a adherirse, pero no se ha podido porque el Congreso no ha aprobado las leyes necesarias. También debería existir una ley de ciberseguridad, una ley de protección de datos personales y legislación específica sobre cibercrimen. No es nada del otro mundo; lo que hace falta es voluntad.

¿Qué tan complicado es identificar a responsables de ataques cuando operan desde el anonimato o desde el extranjero?

Todo lo que se hace en internet deja huella. Sí es complicado, pero se puede llegar a saber qué pasó. Lo importante es contar con convenios de cooperación con otros países para poder solicitar información o permitir que entes internacionales participen en la investigación de este tipo de crímenes.

Sin esos mecanismos legales y de cooperación internacional, estos casos pueden quedar en la impunidad.