En el día de ayer martes 16 de abril de 2024 la población se enteró de que se habían filtrado más de 6 millones de registros con fotografías de ambos lados de la Licencia de Conducir con rostro y firma del individuo, número de DNI, código QR, género, nombre completo, nacionalidad, fecha de nacimiento, fecha de emisión y vencimiento, grupo sanguíneo, restricciones de conducción, dirección física, tipo de licencia, y clases de vehículos, todo ello de la base de datos de Licencias de Conducir, dependiente de la Agencia Nacional de Seguridad Vial de la Secretaría de Transporte, del Ministerio de Economía de la Nación. Además, el grupo de ciberdelincuentes que vende dicha información exige un pago de 3 mil dólares para su acceso.
La Secretaría de Transporte, horas más tarde emitió un comunicado en el que señalaba que el incidente fue alertado por los equipos de seguridad informática quienes frenaron los accesos, y que no se encontraban comprometidas ni las bases de datos ni la información sensible de los ciudadanos. Como si esto fuera poco, en respuesta a este comunicado los ciberdelincuentes compartieron una declaración mediante la cual expresaron que “todo lo que podemos hacer es reír. Es una payasada pensar que los datos confidenciales no están comprometidos”.
Esto se suma a la serie de ciberincidentes de público conocimiento que viene sufriendo la Administración Pública Nacional respecto de su información en los últimos años, lo que demuestra la necesidad de repensar la ciberseguridad nacional para convertirla en una verdadera política pública.
Es necesario analizar si se está apuntando al lado correcto respecto del compromiso de alto nivel de los tomadores de decisiones de las distintas áreas del estado y los esfuerzos que se requieren en esta temática para que, las personas que abordan la ciberseguridad nacional mencionadas en el párrafo anterior, cuenten con las herramientas necesarias para su labor.
¿Los esfuerzos están apuntados al lugar correcto?
Muchos de quienes lean esta nota probablemente conozcan profesionales que se dediquen a brindar en la Administración Pública Nacional seguridad de la información a sistemas informáticos, infraestructuras, redes, seguridad de datos, protección de datos personales, etc., lo cual lo hacen con un esfuerzo encomiable pese a la escasez de recursos con los que muchas veces cuentan.
Es necesario analizar si se está apuntando al lado correcto respecto del compromiso de alto nivel de los tomadores de decisiones de las distintas áreas del estado y los esfuerzos que se requieren en esta temática para que, las personas que abordan la ciberseguridad nacional mencionadas en el párrafo anterior, cuenten con las herramientas necesarias para su labor.
En este sentido, en los últimos años y en todos los ámbitos gubernamentales se ha publicado normativa de distintos niveles, estrategias nacionales de ciberseguridad, guías de buenas prácticas, estándares, guías técnicas, recomendaciones, entre otros documentos, con el objetivo de conformar un marco legal y organizativo de seguridad de la información que proteja los diversos activos de información.
La pregunta sensata es: ¿es esto suficiente? La respuesta es que no. La cuestión lejos está de resolverse únicamente con la cuestión normativa. Es cierto que muchas veces “hacia afuera” lo más visible para evidenciar “que se está abordando la ciberseguridad” es la publicación de tales documentos, que, si bien son sumamente importantes, no deben agotar la cuestión en materia de ciberseguridad.
Sin ir más lejos, en la primera Estrategia de Ciberseguridad Nacional, aprobada por Resolución N° 829/2019 se establecieron como dos de sus siete objetivos el fortalecimiento de capacidades de prevención, detección y respuesta de ciberamenazas y la Protección y recuperación de los sistemas de información del Sector Público. En la segunda Estrategia, aprobada por Resolución N° 44/2023, se establecieron los mismos dos objetivos, entre los ocho que posee.
Nuevamente, ¿es suficiente? La Estrategia de Ciberseguridad es un documento que demuestra el norte a seguir y el compromiso del país en dicha materia, pero que no debe agotarse en su redacción. Lo más importante vendrá después, o sea trabajar en la implementación y el éxito de cada uno de sus objetivos, siendo un gravísimo error pensar lo contrario.
Lo mismo respecto de la implementación actual de los Requisitos mínimos de Seguridad de la Información para Organismos aprobados por Decisión Administrativa N° 641/2021 de Jefatura de Gabinete, que tampoco se deben agotar en su mero cumplimiento formal, sino que deben actualizarse y trabajarse minuto a minuto en cada rincón de cada dependencia pública.
Desde la visión organizativa es imperioso preguntarse, ¿cuál es el rol que debe tener la Dirección Nacional de Ciberseguridad?, ¿Cuál es el rol del Cert.ar (Equipo de Respuesta ante Emergencias Informáticas nacional)?, ¿tiene los recursos necesarios? Analizando a nivel interno en cada Ministerio y Organismo del Estado, ¿las unidades organizativas encargadas de abordar la cuestión cuentan con el presupuesto, la tecnología, las herramientas y el personal técnico necesario? ¿Son suficientes las investigaciones que realiza la Agencia de Acceso a la Información Pública (AAIP) en materia de protección de datos personales como órgano de control de la ley de protección de datos personales? Repensar estas cuestiones tiene que ver con abordar la ciberseguridad de manera más eficiente.
Se hace necesario trabajar técnicamente de manera mancomunada para que la información esté protegida en todo su ciclo de vida, que los incidentes en materia de ciberseguridad se reporten correctamente y fluyan hacia quienes tienen poder decisión dentro de cada dependencia pública y a los cuerpos de respuesta a ciberincidentes que deban intervenir. También, dotar de recursos económicos, técnicos, humanos y operativos a quienes días tras días toman contacto de primera mano con eventos de este tipo.
Una vez que los ciberincidentes suceden es tarde. Si bien pueden analizarse para extraer indicadores de compromiso, fortalecer las ciberdefensas y evitar que sucedan a futuro nuevamente, e incluso abordarlos desde el derecho penal y cibercrimen, el quid de la cuestión es trabajar en el “antes”. Nuevamente, recursos y abordaje técnico van de la mano para evitar incidentes, y filtraciones de datos.
La ciberseguridad como política pública
La respuesta a la problemática de esta nota debe ser mancomunada mediante una política pública proactiva y no solamente reactiva cuando el incidente ya se produjo.
En este sentido, la Secretaría de Gestión y Empleo Público en su “Guía de planificación y seguimiento de gestión de políticas públicas” define a estas como el “conjunto de objetivos, decisiones y acciones que lleva a cabo un gobierno en respuesta a los problemas que, en un momento determinado, los ciudadanos y el propio gobierno consideran prioritarios”. La ciberseguridad y las brechas de datos que estamos viviendo son un problema que no poseen políticas preventivas adecuadas, son una prioridad, y por ende deben ser abordados con objetivos, decisiones y acciones. Esto generará que, a futuro, realmente se pueda actuar en el “antes” del ciberincidente y de manera proactiva como aquí se propone. En otras palabras, evitar que suceda el problema para recién ahí abordarlo, y, por ende, trabajar esta cuestión de manera preventiva.
Una vez que los ciberincidentes suceden es tarde. Si bien pueden analizarse para extraer indicadores de compromiso, fortalecer las ciberdefensas y evitar que sucedan a futuro nuevamente, e incluso abordarlos desde el derecho penal y cibercrimen, el quid de la cuestión es trabajar en el “antes”. Nuevamente, recursos y abordaje técnico van de la mano para evitar incidentes, y filtraciones de datos.
Otra cuestión importante es dimensionar la naturaleza de la información filtrada en los últimos tiempos. Toda la información comprometida en las brechas de datos de los últimos años refiere a datos personales legalmente protegidos. Además, muchos de ellos son datos personales sensibles, que la Ley de Protección de los Datos Personales N° 25.326 y la normativa internacional suscripta por Argentina como el Convenio 108 y 108+ le asignan especial protección.
Datos personales sensibles ¿tomamos real dimensión?
Otra cuestión importante es dimensionar la naturaleza de la información filtrada en los últimos tiempos. Toda la información comprometida en las brechas de datos de los últimos años refiere a datos personales legalmente protegidos. Además, muchos de ellos son datos personales sensibles, que la Ley de Protección de los Datos Personales N° 25.326 y la normativa internacional suscripta por Argentina como el Convenio 108 y 108+ le asignan especial protección.
Más allá de todos los derechos y obligaciones que reconoce esta Ley, en su art. 9 exige que el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. Además, prohíbe expresamente registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.
La proliferación de datos personales debido a filtraciones de datos genera innumerables consecuencias que a futuro pueden tener alto impacto en los ciudadanos. Con estos datos, ciberdelincuentes pueden cometer defraudaciones, autenticarse en nombre de otras personas, producir robo de identidades digitales, doxeo, afectar el rastro digital de las personas, generar daños a la reputación y honor por la naturaleza de la información, lesionar el derecho a la intimidad, etc.
Hasta los propios ciberdelincuentes lo dijeron en su declaración en respuesta al comunicado de la Secretaría de Transporte: Argentina debe cambiar su rumbo y tomarse en serio la ciberseguridad.
En lo que refiere a los aspectos organizativos y de control, la normativa internacional en materia de protección de datos personales, como el Reglamento General de Protección de Datos europeo (GDPR 2016/679) establecen la figura del Delegado de Protección de Datos (DPO) con el objetivo de velar y auditar por la protección de datos personales en empresas y gobiernos. En Argentina, si bien la mencionada Ley vigente no lo exige, la Agencia de Acceso a la Información Pública (AAIP), en tanto organismo de control de dicha Ley, desde el año 2018 lo incluyó en la Política Modelo de Protección de Datos Personales para Organismos Públicos (Resolución AAIP N° 40/2018). ¿Cuántos organismos públicos han designado un DPO?
Conclusión
Urge adoptar un curso de acción en materia de ciberseguridad que genere una adecuada protección de los datos en general, y más aún de los datos personales.
Hasta los propios ciberdelincuentes lo dijeron en su declaración en respuesta al comunicado de la Secretaría de Transporte: Argentina debe cambiar su rumbo y tomarse en serio la ciberseguridad.
Los hechos están sobre la mesa. Los datos personales “dando vuelta por Internet”. Es hora de tomar cartas en el asunto, fortalecer la protección de los datos personales, repensar la ciberseguridad, y adoptarla como una verdadera política pública.
Julián Reale es Magister en Derecho de la Ciberseguridad y Entorno Digital por la Universidad de León, España (Becado por Fundación Carolina). Abogado especializado en Derecho Penal (UBA), Cibercrimen (UBA), Protección de Datos Personales (Univ. Nebrija, Madrid, España) y Seguridad de la Información (UTN). Integrante del equipo UBA Cibercrimen.