Lo que le hace falta al nuevo CONPES de seguridad digital

2016-02-03 Leer en voz alta

transparencia
No estamos innovando si decimos que cada vez más nuestra vida personal y los sistemas que mantienen en funcionamiento a la sociedad (agua, energía eléctrica, transporte, hospitales o bancos) pasan por medios digitales.

Innovamos menos si decimos que entre más dependemos de la tecnología, aumenta el número y la importancia de los riesgos digitales: por ejemplo, en enero de este año se confirmó el primer ataque digital a la red eléctrica de Ucrania que afectó al menos a 80 mil personas en ese país. Es decir, a partir de software malicioso, ataques de denegación de servicio y otras técnicas, los atacantes lograron dejar un país a oscuras. Pero no hay que ir tan lejos para darse cuenta de que también existen peligros para las personas. Este mes la Policía colombiana capturó a un hombre que a través de Facebook persuadía y obligaba a menores de edad a hacerle favores sexuales.

¿Qué está haciendo Colombia al respecto? Básicamente, está diseñando una política que busca organizar los cambios que se requieren para manejar los riesgos de las actividades digitales y así hacer “un uso responsable de un entorno digital abierto, seguro y confiable”, lo que en últimas impulsa el crecimiento de la economía digital.  Eso es lo que dice el último borrador del CONPES de seguridad digital que publicó el Ministerio de las TIC a mediados de enero y que será próximamente la hoja de ruta de la seguridad del entorno digital para Colombia.

El primer documento de este tipo fue el CONPES 3701 de 2011 por medio del cual, en lo institucional, se crearon el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (ColCERT), el Comando Conjunto Cibernético de las Fuerzas Militares (CCOC), el Centro Cibernético Policial (CCP) y el equipo de respuesta a incidentes de seguridad informática de la Policía Nacional (CSIRT-PONAL), una división especial dedicada a la seguridad y privacidad digital dentro del Ministerio de las TIC; además unidades “cibernéticas” dentro de las fuerzas armadas y la Comisión Nacional Digital. También dio marco a la cooperación internacional en temas de seguridad digital. En esa línea, los grupos de respuesta a emergencias cibernéticas nacionales, se han conectado con la comunidad internacional y se solicitó la adhesión al Convenio de Budapest sobre  seguridad digital y ciberdelitos.

El borrador del nuevo CONPES, a diferencia de otros que fueron compartidos por el Ministerio como parte del proceso de creación de esta política, está estructurado a partir de unos principios fundamentales y establece dimensiones y objetivos de cuyo cruce nacen las acciones que realizaría la política. Su contexto es el del creciente número de amenazas tales como uso de código malicioso, phishing, robo de información, ataques de denegación de servicio y uso de redes sociales y otras herramientas para la comisión de delitos.

Todas estas amenazas son ciertas y que merecen atención si es que queremos un internet seguro. Sin embargo, a ese contexto le falta algo: el papel del estado en la (in)seguridad digital. Las implicaciones de entender que el Estado también puede generar inseguridad son muchas. Como sociedad reconocemos que, a pesar de que las personas tienen derecho a la privacidad de sus comunicaciones, en ciertas ocasiones las autoridades pueden invadir la intimidad de una persona e interceptar las comunicaciones que de otra forma permanecerían lejos de la esfera pública. Esas ocasiones deben ser excepcionales, legales, necesarias y proporcionales respecto al objetivo de la interceptación. En Colombia sólo la Fiscalía puede ordenar la interceptación de comunicaciones privadas y su ejecución corresponde a la policía judicial (CTI de la Fiscalía o DIJIN de la Policía Nacional).  Los organismos de inteligencia también tienen facultades no muy bien definidas de monitorear el espectro.

¿Por qué mencionar las facultades de interceptación en para investigación penal? Porque es uno de los permisos que tienen las autoridades para saltarse la protección que tiene por naturaleza la intimidad de las personas. Para que esa facultad se cumpla tiene que existir una estructura legal, institucional y tecnológica y por tanto, la falta de controles adecuados pone en riesgo la seguridad digital. Ya hemos recordado en otras ocasiones casos como las Chuzadas, Andrómeda, Hacking Team o las recientes persecuciones a Vicky Dávila y Claudia Morales y sus equipos de trabajo. Es evidente que la falta de control sobre estas facultades es un problema que requiere acciones concretas si es que el objetivo es crear las condiciones para que la tecnología digital pueda usarse de forma segura.

Un ejemplo. La acción A2.1.3. propone “actualizar la Ley Estatutaria No. 1621 del 17 de abril de 2013 de inteligencia y contrainteligencia, con el fin de enmarcar las actividades relacionadas con la seguridad digital, haciendo énfasis en la Ciberseguridad y la Ciberdefensa”.  Acciones similares proponen fortalecer las capacidades de las autoridades para controlar de una forma u otra lo que sucede en internet. Por supuesto que, entre otros cosas, ampliar esas capacidades busca evitar que internet sirva para cometer delitos pero la experiencia demuestra que es posible abusar de esas facultades haciendo en ocasiones más nocivo el remedio que la enfermedad. Esto es así porque un internet que funciona bajo la vigilancia desproporcionada e innecesaria del gobierno pierde toda capacidad para ser una herramienta de la libertad de expresión, característica por la que se le valora y defiende.

El Ministerio considera que el CONPES no es el lugar para resolver los problemas de seguridad digital.  Más bien se trata de una forma de buscar y planear acciones para resolver los problemas que se identifiquen durante el desarrollo de esa herramienta. En ese sentido, la falta de tiempo para estudiar el borrador y para formular recomendaciones limita mucho la posibilidad de que organizaciones de la sociedad civil participen con más fuerza en el proceso. Sin embargo, el gobierno tiene razón al llamar la atención sobre las acciones que surgen del CONPES. La tarea de orientar esas acciones hacia la protección y promoción de los derechos fundamentales apenas comienza y en ella, la búsqueda de balance entre facultades y control es clave.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.