Por: Carolina Botero y Juan Pablo Parra
Acceder a la publicación original de esta columna de opinión.
Esta semana el Congreso retiró, en primer debate, el artículo del proyecto de Plan Nacional de Desarrollo (PND) que creaba una Agencia de Seguridad Digital y Asuntos Espaciales (la Agencia). La Agencia se pensaba implementar a través de las facultades extraordinarias que incluye el PND para el presidente y, según el texto, se encargaría de coordinar los asuntos de seguridad digital y la gobernanza del sector espacial para la prosperidad del país.
La seguridad digital no es solo un tema de moda. Es un asunto que requiere atención urgente hoy, ahora. Los incidentes del Invima, Sanitas y EPM, entre otros, son pruebas de que hay vulnerabilidades en la infraestructura crítica colombiana que están siendo aprovechadas y esto seguirá sucediendo. Que surjan nuevos casos es solo cuestión de tiempo.
Pese a los problemas que tenía la Agencia antes de su llegada al Congreso, que salga del PND es una mala noticia. Nadie debería discutir que necesitamos que un ente estatal se haga cargo de la seguridad digital.
Es decir, que se apoye la creación de la política para que el Estado proteja la infraestructura crítica y a la ciudadanía, y también que se coordine la detección y la atención de vulnerabilidades e incidentes de ciberseguridad. La opción de la Agencia no era mala -aunque tenía mucho espacio para mejorar- y también es cierto que había razones para que no avanzara como estaba, pero murió en el Congreso por las razones equivocadas y no tenemos plan B. Eso sí es una verdadera lástima.
Preocupa la sepultura de la Agencia porque había esperanza de que a esta sí le asignaran el presupuesto y las capacidades técnicas que hasta ahora el sector no ha conseguido tener. Sobre todo se esperaba el fortalecimiento del corazón del sistema, el Colcert, el Grupo de Respuesta a Emergencias Cibernéticas de Colombia, cuyo correcto funcionamiento es un requisito indispensable para crear un sistema que verdaderamente pueda atender los retos de ciberseguridad que afronta el país.
Las culpas del ejecutivo
La verdad es que no sorprende que la Agencia se cayera; lo que sorprende es que se cayera porque se le acusara de que “Petro va a tener la información de todos los colombianos”. Ninguno de los análisis de los congresistas se ocupó del problema central que se buscaba enfrentar, el de la seguridad digital y la necesidad de que el Estado cuente con una entidad que asuma el liderazgo en el sector. Todos prefirieron teorías conspiratorias que no tenían que comprobar, ni cómo hacerlo.
Desde Karisma expresamos públicamente en el Congreso y en la Presidencia nuestras dudas y reservas a la Agencia y, sobre todo, a la forma como se estaba creando.
Para empezar, el proceso de diseño y creación no fue transparente y, aparentemente, no había coordinación entre las entidades del Estado. Desde que se empezó a hablar de esta Agencia (a finales de 2022), preguntamos a Mindefensa, MinTIC y Cancillería, pero nadie daba razón sobre cómo sería esta entidad.
También intentamos obtener información mediante peticiones, pero todas fueron remitidas a la Presidencia que como respuesta nos invitó a una reunión en la que se nos indicó que esa era la apuesta, que Duque no había dejado presupuesto para desarrollar la política que propuso.
La falta de información sobre la estructura de la Agencia, el extremo recelo y secretismo, fue el segundo pecado del ejecutivo. No hubo información pública que presentara la propuesta y explicara qué era la Agencia, cuál era el modelo que se estaba adoptando, porqué era mejor esa opción que la que diseñó Duque. No había datos sobre su funcionamiento y alcance.
Incluso, durante un evento de socialización en la Casa de Nariño “Diálogo Nacional: Consideraciones para el desarrollo de una Agencia Nacional de Seguridad Digital y Asuntos Espaciales”, realizado el 13 de marzo -que sirvió para presentar la Agencia a todos los ministerios, a algunos congresistas, a la sociedad civil, a la comunidad internacional y a privados-, tampoco se explicó nada más allá de que tendría a su cargo asuntos espaciales, que atendería incidentes de seguridad digital y que estaría adscrita a la Presidencia.
Dijeron que estaban trabajando en el asunto, pero no dijeron qué era, con qué dinero contaría o para cuándo estaría operando. Esta reunión fue a puerta cerrada en Presidencia y sin celulares.
La consecuencia de la falta de un modelo claro y de documentos públicos al respecto es que no hubo debate ni posibilidad de participación para comentar y hacer sugerencias sobre el modelo. No es de extrañar entonces que el Congreso y la ciudadanía no entiendan para qué sirve la agencia y que los discursos de que la misma servirá para vigilar a la oposición, por carente de pruebas que sean, prosperen.
Ahora bien, el procedimiento para crearla nunca fue claro. Desde Karisma no logramos determinar qué camino tomaría el ejecutivo hasta la reunión del 13 de marzo y la respuesta no parecía muy incluyente.
La Agencia sería el resultado de facultades extraordinarias del presidente y estaría adscrita a su despacho, sin oportunidad de entender porqué sería así y no, por ejemplo, un ente independiente. Esta característica, su dependencia de la presidencia, fue la herida mortal para la Agencia. Sirvió para sustentar los discursos de que sería usada por Petro contra la oposición. Desde Karisma cuestionamos en esa reunión la posible falta de independencia de la Agencia, pero lo cierto es que allí donde existe esta figura usualmente está en el ejecutivo, eso sí no necesariamente en Presidencia.
Otro problema es el que se deriva de que cada gobierno empiece de cero sus políticas públicas. Durante el gobierno Duque se creó un Conpes de Ciberseguridad 3995 de 2020 y se expidió el Decreto 338 de 2022 para desarrollarlo. Ninguna de estas normas han sido aplicadas por completo -ni siquiera el modelo de divulgación periódica de vulnerabilidades- y es difícil saber porqué.
Desde hace un año, y a pesar de que preguntamos varias veces y a diferentes autoridades, fue imposible conseguir información sobre cómo se iba a implementar el decreto que Duque había diseñado y fue solo hasta finales de 2022 que empezó a hablarse en público de la dichosa Agencia a la que pensaban pasar el Colcert.
Con la escasa información que recogimos, concluímos que, en parte, no se estaba aplicando lo que Duque dejó porque el gobierno de Petro le estaba apostando a su nueva agencia y, en parte, porque no le habían dejado presupuesto. Suponemos que ahora que su apuesta falló, deberán retomar lo que ya existe, a pesar de sus problemas.
En resumen, la Agencia se murió y nunca se supo qué era, ni cómo la querían construir. Todo indica que el secretismo fue el responsable de fomentar un miedo que permitió sepultarla rápidamente y nos deja con una gran pregunta: ¿y ahora qué?
La apuesta de Petro fue reinventar la rueda, apostó todo a la Agencia y a crearla en un proceso express, seguramente para intentar responder a los ciberataques que no disminuyen, y se lanzaron sin plan B.
Esto último lo aprendimos en el evento de la Presidencia, y en una audiencia pública que hizo el Congreso donde preguntamos si había uno. Queríamos saber qué iba a pasar si la Agencia no surgía: ¿cómo vamos a proteger la infraestructura crítica nacional y a quienes habitamos en Colombia? Pero no hubo respuesta.
Las culpas del legislativo
Sí, el ejecutivo tiene muchas culpas porque se movió con poca transparencia, sin procesos claros, ni participación -de espaldas al país-. Por su parte, el Congreso se tragó la píldora del miedo y, sin certezas, sin mirar el fondo, y sin evaluar el impacto que implica seguir sin autoridad en temas de seguridad digital, enterró la Agencia. En eso, señores y señoras congresistas, ustedes también son culpables.
Los senadores que alardean de dejar a Colombia sin la Agencia debieron hacer un estudio más juicioso de qué es la ciberseguridad, qué implica y cómo se maneja en otros países. Lamentablemente no lo hicieron y se quedaron con versiones simples de que la misma podía ser para “chuzar”, un concepto totalmente anticuado y que nada tenía que ver con la discusión actual.
El Congreso está cumpliendo su deber al cuestionar las facultades extraordinarias del presidente, pero las razones que esgrimieron desinforman.
La Agencia podía ser cuestionada seriamente. Pudieron haber dicho que no entendían el modelo, que no estaba clara la financiación o cuestionar porqué crear una dirección en Presidencia, pero no lo hicieron. En vez de esgrimir razones de fondo, sus argumentos fueron pobres y recurrieron al miedo.
Otra razón sin sentido evidente que los congresistas pasaron por alto, es que la Agencia unía los temas de seguridad digital y los asuntos espaciales. El ciberespacio y el espacio exterior o sideral son completamente diferentes. ¿Quién no ve lo descabellado de esta propuesta? ¿En qué otro país la idea de unir la Nasa y las agencias de seguridad digital es razonable?
Lo espacial es una apuesta del gobierno actual desde la campaña, cuando aseguraba que usaría internet satelital para conectar el país. Y puede que unir los dos asuntos tuviera sentido por razones de presupuesto o pensando que así blindaban el proyecto para pasar por el Congreso, pero ni eso lo convierte en una idea buena, o al menos razonable.
Si la agencia hubiera sido aprobada y, como dijo Presidencia, los satélites se usaran para luchas contra la minería ilegal, la deforestación y los cultivos ilícitos, ¿no sería mejor una agencia independiente de presidencia que pudiera actuar con la Fiscalía y la Policía?
De nuevo, a pesar de que Karisma manifestó esto públicamente, no hubo respuesta. De hecho, nunca quedó claro cómo se articulaba la Agencia de Seguridad Digital con otras entidades como Procuraduría, Fiscalía y SIC. Mucho menos había claridad de cómo se relacionaría con el espacio sideral.
¿Y ahora qué?
Y la pregunta sigue vigente: ¿y ahora qué? ¿Cuál es el plan B y cómo lo piensa hacer el ejecutivo? La falta de claridad y transparencia de la propuesta hacía difícil apoyarla y daba para especular. Pero, mientras tanto, no hay manera de saber cuál es la política de ciberseguridad en el país. Parte del Congreso celebra sin entender lo que enterró y el ejecutivo sigue creyendo que es posible hacer política pública sin participación.
La falta de comunicaciones asertivas sobre ciberseguridad sigue normalizando que en Colombia sea lo mismo la ciberseguridad, la vigilancia, los ciberdelitos, el uso del espacio exterior, y que la Nasa y la NSA son casi lo mismo, etcétera. Esto no permite lograr avances que fortalezcan el sector ni para hacer frente a los crecientes ataques.
Necesitamos un diálogo democrático de verdad sobre la política nacional de seguridad digital y se deben tomar medidas efectivas para proteger la infraestructura y para ayudar a las víctimas de incidentes. La pelota está de nuevo en el ejecutivo. Esperemos que aprenda de sus errores para bien.
Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.
Indícanos el título del contenido en el asunto del correo, por ejemplo: Enterraron la agencia nacional de seguridad digital ¿Y ahora qué?
Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co
Acompáñanos en @Karisma en Twitter, Fundación Karisma en Facebook y YouTube, y @karismacol en Instagram y Tik Tok