Por: Carolina Botero
Acceder a la publicación original de esta columna de opinión.
Lo sucedido en el Departamento Nacional de Planeación, el Invima, la Fiscalía, el Ejército, Sanitas o Audifarma –por mencionar solo algunas entidades– muestra que los atacantes encontraron como explotar vulnerabilidades en el ecosistema digital de actividades críticas de entidades públicas y privadas en Colombia. Hay que mejorar la seguridad digital, pero sin importar lo que hagan las organizaciones, esto seguirá sucediendo porque ¡los incidentes de seguridad digital son una pesadilla! y a la política nacional le toca lidiar también con cómo responder públicamente a esa debilidad del ecosistema.
La política de seguridad digital nacional debe apoyar la construcción de una cultura de seguridad digital que atraviese la economía y la sociedad. En palabras de la OCDE, esta política debe ser “multifacética y requiere una aproximación estratégica que tenga una visión clara para asegurar que todas las partes interesadas –el gobierno, los privados y la sociedad civil– aúnen esfuerzos de manera consistente y coherente”. Lo que ha quedado al descubierto estos meses es que acá esa cultura de corresponsabilidad no existe. La nuestra es más la del avestruz: ante un susto lo que procede es esconder la cabeza.
Y es que las vulnerabilidades y los incidentes son precisos para generar susto al interior de una organización. Las vulnerabilidades son fallos en los sistemas computacionales que pueden ser aprovechadas por un atacante para realizar acciones no autorizadas que pueden comprometer la seguridad de la información contenida en los sistemas o el funcionamiento mismo de dichos sistemas. Por su parte, un incidente de seguridad es un evento o una serie de eventos de seguridad digital inesperados o indeseados que tienen una importante probabilidad de comprometer la seguridad de un sistema de información determinado. Usualmente un incidente sucede cuando alguien explota una vulnerabilidad.
La política nacional de seguridad digital debe buscar que las organizaciones tengan capacidad de respuesta a reportes de vulnerabilidades o incidentes. Debe haber una ruta de respuesta conocida por las entidades que las guía sobre cómo actuar frente a estos hechos. En el caso de los reportes de vulnerabilidades, que aprendan que esta es una forma efectiva de reducir la posibilidad de un incidente les permite actuar antes de que la debilidad sea explotada.
En 2021, la OCDE reconoció como buena práctica la ruta de reporte de vulnerabilidades que construimos informalmente entre Karisma, donde trabajo, y el Ministerio TIC. Esta ruta ha permitido desarrollar una práctica de atención a estos reportes que construye una cultura de seguridad digital, pero todavía tiene un alcance muy limitado.
En los años en que hemos estado reportando vulnerabilidades de entidades del Estado al Ministerio, se ha creado un protocolo de respuesta con Colcert. El Ministerio acompaña a los responsables al interior de las entidades a atender estas situaciones y les apoya en dar respuesta a quien informa (en este caso Karisma). Hemos usado la ruta un par de decenas de veces y a pesar del susto y de que piensan primero en la reputación institucional, la mayoría de las veces esa reacción pasa pronto. Rápidamente el área de tecnología asume el problema y la dirección se involucra. El tema de las afectaciones a la protección de los datos y la forma como debe reaccionar el área de comunicaciones es lo que menos hemos visto avanzar, pero seguro del otro lado tendrán otra experiencia.
Durante los años que esta iniciativa se desarrolló tuvimos éxitos interesantes como el fortalecimiento de la infraestructura tecnológica de la Unidad de Protección de Víctimas, después de que se reportara una vulnerabilidad en 2017. Sin embargo, la realidad es que no se ha institucionalizado. Paso a explicarles:
Es decir, a pesar del éxito de esta iniciativa, en Colombia no hay una ruta estatal sobre la que exista información pública, no hay protocolos sobre cómo deben responder las entidades, no hay recomendaciones ni buenas prácticas para reportar problemas, mucho menos información pública sobre cómo debe actuar en estos casos el coordinador nacional (eso sí está definido hace tiempos, en Colombia el coordinador nacional es el Colcert).
Sabemos que construir esa cultura de respuesta es complicado, pues supone aceptar que la organización es vulnerable, que un tercero en cualquier momento puede mostrarle su debilidad o directamente aprovecharla. Eso es duro, difícil, a nadie le gusta. La tentación de ser avestruz es entendible, pero no es la mejor respuesta.
Por otro lado, reportar vulnerabilidades o comunicar incidentes y explicarlos es una responsabilidad importante. Existen estándares internacionales de reporte responsable y tanto las personas investigadoras de seguridad digital, como periodistas, como cualquiera que se vea en esa posición, debe entender que de la forma como lo haga puede ayudar a mitigar el problema o agrandarlo.
Tener rutas de reporte e información sobre lo que sucede después de que esto pasa –que debe incluir explicar las acciones que se toman a quien informa y al público– es indispensable para que las autoridades realmente impulsen una cultura de seguridad digital con corresponsabilidad. Por ahora, quienes reportan usualmente se estrellan con la imagen de avestruces escondiendo la cabeza. La impotencia de quienes reportan no justifica malos reportes, pero los estimula.
La obligación de diseñar la ruta de vulnerabilidades y respuesta a incidentes está en el Conpes 3995 de 2020, pero el Decreto 338 de 2022 no avanzó. Desde Karisma creemos –y así se lo hemos venido solicitando al Ministerio TIC– que la ruta de reporte de vulnerabilidades informal que hemos desarrollado con ellos es una experiencia que pueden pilotear en forma más amplia, abrirla para uso de cualquiera y documentar su funcionamiento para desarrollar lo que será el mecanismo permanente.
La buena noticia es que parece que sucederá. El senador David Luna convocó la semana pasada a una reunión en el Congreso para que el gobierno explicara su postura y las acciones que estaba tomando en temas de seguridad digital. Allí reiteramos nuestra solicitud, y la viceministra TIC dijo que está analizando la forma en que la experiencia con Karisma se podría convertir en un piloto para este proceso.
Los ataques cibernéticos no desaparecerán –antes bien se incrementarán–, la ruta permitirá hablar, hacer recomendaciones y apoyar también buenas prácticas sobre el reporte de vulnerabilidades e incidentes desde la sociedad civil –especialmente por personas investigadoras de seguridad digital y periodistas–, mientras tanto, para la sociedad civil el silencio y la impotencia priman.
Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.
Indícanos el título del contenido en el asunto del correo, por ejemplo: La estrategia del avestruz y los incidentes de seguridad digital
Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co
Acompáñanos en @Karisma en Twitter, Fundación Karisma en Facebook y YouTube, y @karismacol en Instagram y Tik Tok