El guatemalteco, Luis Assardo, experto en seguridad digital e investigador resaltó la necesidad de que el Estado tome medidas básicas de ciberseguridad ante los riesgos de ataques y robo de datos.

En entrevista con Prensa Libre urgió a tomar protocolos básicos en el manejo de datos sensibles e información confidencial.

El experto considera que existe un riesgo grande en las plataformas y que son utilizadas por grupos para efectuar ataques. En la conversación refiere que no existen políticas públicas referente a estos temas.

 Assardo puntualiza que por “pura suerte” Guatemala no ha sufrido ataques, esto ante la falta de un marco regulatorio.

LECTURAS RELACIONADAS

MP investiga casos de phishing en agencias bancarias y empresas de telefonía y recomienda reforzar seguridad

Ataque cibernético a Finanzas: Por qué la seguridad informática de gobiernos como el de Guatemala es vulnerable (y cómo deben reforzarse)

¿Por qué es importante que las entidades de gobierno tengan medidas de ciberseguridad?

A nivel mundial existe un riesgo y una amenaza específicamente para gobiernos que ha crecido considerablemente tal vez en el transcurso de los últimos tres años y es el ransomware.

Existe una cantidad enorme de plataformas que facilitan a grupos de hackers realizar ataques de ransomware y proveer algún tipo de servicio.

Ya en el pasado hay casos en Colombia, Costa Rica, México y Estados Unidos donde han atacado entidades de gobierno y han causado muchísimos daños.

¿Cuáles son las prioridades en el tema?

Primero, no existe una sensibilidad con el tema. No hay ni siquiera un nivel de advertencia básico. Lo segundo es que como no existe una estandarización, no existen protocolos ni políticas específicamente enfocadas en el tema.

Hay ministerios que posiblemente tienen un presupuesto más robusto en ese sector y pueden protegerse mejor, pero hay otros que posiblemente no.

No hay políticas públicas al respecto que estén funcionando y que les permita tener presupuesto, ni mucho menos los equipos, al referirme equipos me refiero a gente que pueda trabajar permanentemente la atención a este tipo de temas.

¿Cuáles podrían ser las medidas mínimas que deberían tener las instituciones que manejan datos sensibles?

Usualmente deben tener protocolos establecidos y políticas bien establecidas que yo las partiría en dos grandes áreas.

Una es la infraestructura que tenga que ver con que los dominios estén protegidos y que no tienen información expuesta. Por ejemplo, los alojamientos, hay múltiples proveedores y cada uno posiblemente incluso en jurisdicciones legales distintas.

Entonces, no hay algo preestablecido o regulado en ese en ese tema. No utilizan content delivery network y eso es precisamente lo que protege de cualquier tipo de ataque cibernético.

No solo los dominios que llevan a los sitios web, sino que los que llevan a otras plataformas que son internas de las de las entidades o de las instituciones.

Otro es el tema de la seguridad digital, con esto me refiero propiamente a las personas. No hay capacitación, no hay políticas de encriptación de datos sensibles, no hay políticas para el uso de comunicación segura, que tengan que usar por ejemplo correos encriptados, que utilicen sistemas de mensajería encriptado tipo Signal, por ejemplo, que utilicen plataformas de videoconferencias encriptadas para tratar temas sensibles.

En el tema de correos, por ejemplo, la mayoría utilizan Google y es una empresa comercial que se dedica a la comercialización de datos.

¿Es accesible en precios para Guatemala?

No es tan caro si los protocolos que tienen son claros. Si se trabaja literalmente un protocolo preestablecido para todos. Por ejemplo, herramientas como administradores de contraseñas como KeyPass que es código abierto, gratuito y está supervisado por un montón de gente alrededor del mundo. Lo utilizan muchas entidades que manejan información sensible.

El tema de la ciberseguridad, en efecto, a ciertos niveles puede ser caro cuando uno está protegiendo cierta infraestructura, pero si tienen una estrategia clara, pueden apoyarse con organizaciones internacionales que se dedican a proteger información sensible de los ciudadanos.

¿Qué tan riesgoso es para Guatemala no invertir en ciberseguridad?

En el caso de Guatemala y la verdad es que por pura suerte es que no han sufrido más ataques, pero en el momento en que alguien le ponga un ojo encima, van a lograr hacer mucho daño y eso es algo que se puede prever.

Como no hay ningún marco regulatorio, en realidad legalmente hay muy poco que se puede hacer en Guatemala.

Por otro lado, en las jurisdicciones en donde están alojados los datos, eso sí serviría, porque si están atacando datos que están alojados en Estados Unidos, uno puede ir allá y que en Estados Unidos se haga la demanda.

En Guatemala existe la Secretaría Técnica del Consejo Nacional de Seguridad. Ellos son los que ltrabajan el tema de marco regulatorio de todo lo relacionado al riesgo cibernético, pero como no se ha logrado establecer como una ley específica de ciberseguridad, entonces, están como en el aire.

¿Se necesita una ley de ciberseguridad o con protocolos internos de cada entidad sería suficiente?

Sí es necesaria una ley. De hecho, es parte del marco normativo. Sin una ley, Guatemala va a quedarse años atrás.

Hay países que no solo tienen las leyes de seguridad, sino que ahorita están haciendo un adendum con respecto a los riesgos de la de la inteligencia artificial.

Lamentablemente, lo que yo he visto a través de los años es que esas leyes que han intentado poner abren la puerta de la censura, por un lado y están muy orientadas a darle peso o darle mucha potestad al Ministerio Público y al Ministerio de la Defensa, principalmente, para vigilar el tema de Internet y eso es sumamente peligroso.