issn: 2226-8499
Año 7, nº 15 Agosto 2017 www.ieepp.org
4 Big data, decisiones basadas en datos
10 Delitos cibernéticos:
una amenaza latente en la región
13 Seguridad digital,
un asunto de derechos humanos
16 ¿Privacidad digital
para defensores/as de derechos humanos en Nicaragua?
22 Desafíos a la ciber-
seguridad en Colombia
29 Ciberseguridad y las
operaciones de negocios: ocho razones a considerar
34 Hacia una política de
ciberseguridad que ponga a la privacidad, la soberanía tecnológica y la dignidad al centro
Seguridad y Sociedad
Contenido PRESENTACIÓN 1 Conectividad y amenazas: una mirada hacia el espacio virtual en Latinoamérica
ACTUALIDAD
Es una publicación de
4 Big data, decisiones basadas en datos Alejandro Maldonado
COLOQUIO 10 Delitos cibernéticos: una amenaza latente en la región Daniel Monastersky
13 Seguridad digital, un asunto de derechos humanos Luciana Peri
VENTANA REGIONAL
16 ¿Privacidad digital para defensores y defensoras de derechos humanos en Nicaragua? Mireya Zepeda Rivera
22 Desafíos a la ciberseguridad en Colombia Vicente Torrijos Rivera, David González Ortiz
VENTANA GLOBAL
29 Ciberseguridad y las operaciones de negocios: ocho razones a considerar Niel Harper
MIRADA CRÍTICA
34 Hacia una política de ciberseguridad que ponga a la privacidad, la soberanía tecnológica y la dignidad al centro Renata Ávila
DIRECTOR EJECUTIVO Félix Maradiaga SUB-DIRECTORA Dayra Valle COORDINADORA DE REVISTA Skarlleth Martínez Prado IMAGEN Y REVISIÓN DE ESTILO Reyna Vallecillo Tapia COLABORARON EN ESTA EDICIÓN Renata Ávila, David González, Niel Harper, Alejandro Maldonado, Daniel Monastersky, Luciana Peri, Vicente Torrijos, Mireya Zepeda EDICIÓN, DISEÑO Y DIAGRAMACIÓN Complejo Gráfico TMC ISSN: 2226-8499 CON EL AUSPICIO DE National Endowment for Democracy (NED) Esta obra está bajo una Licencia Creative Commons Atribución–NoComercial– CompartirIgual 4.0 Internacional
Instituto de Estudios Estratégicos y Políticas Públicas Lomas de San Juan, casa #152 Apartado Postal LM202 Managua, Nicaragua +505 2270-5104 www.ieepp.org ieepp es el único responsable por el contenido
y las opiniones expresadas en esta publicación, las cuales no reflejan, necesariamente, los puntos de vista de quienes auspician este trabajo. Las fotografías incluidas en esta publicación son propiedad de sus respectivos autores o están bajo Licencia Creative Commons. Cualquier consulta u observación, favor dirigirla al equipo editorial. Esperamos que el contenido de este número sea de su interés y solicitamos dirigir cualquier comentario a: revistasys@ieepp.org Seguridad y Sociedad Año 7, nº15, agosto 2017
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 1
Presentación
Conectividad y amenazas: una mirada hacia el espacio virtual en Latinoamérica
E
L auge de la Internet ha provocado que personas1
El informe sobre ciberseguridad realizado por el
lo
Banco Interamericano de Desarrollo (bid) indica que
consideren como indispensable en su vida
cuatro de cada cinco países no poseen estrategias
diaria. Según el informe realizado por We Are
de
alrededor de 3,700 millones de
Hootsuite,2
ciberseguridad
o
planes
de
protección
de
más de la mitad de personas en el
infraestructura crítica. Dos de cada tres no cuentan
mundo utilizan un teléfono inteligente y la mayor parte
con un centro de comando y control de seguridad
del tráfico web proviene de los teléfonos celulares. Cada
cibernética. La gran mayoría de las fiscalías carece
vez que enviamos un mensaje, hacemos una llamada o
de capacidad para perseguir los delitos cibernéticos,
realizamos una transacción, dejamos una huella digital
dejando desprotegidas a las personas. Las tecnologías
que hace posible que otros conozcan nuestros intereses,
de la información y las innumerables formas en que las
gustos, preferencias, datos personales, familiares y
utilizamos vienen evolucionando a un ritmo acelerado,
financieros, e incluso los lugares que frecuentamos.
al igual que las vulnerabilidades que conllevan y los
Social y
actores que buscan aprovecharse de éstas. La innovación tecnológica ha revolucionado la forma en que interactuamos con las personas, las instituciones y
Los datos disponibles indican claramente que los
el mundo que nos rodea. La conectividad a la Internet
incidentes y ataques cibernéticos, en particular los que
acelera el crecimiento económico y crea oportunidades
se realizan con intención criminal, están aumentando
para los negocios y el comercio tanto legales como
en frecuencia y sofisticación. Según la revista Nueva
ilegales. Hoy en día, gran parte de la humanidad tiene
Sociedad, las actividades que llevan a cabo todos estos
en sus manos los medios para conectarse a cualquier
grupos son similares: robo de información en redes
parte del planeta: con la familia, las industrias del
empresariales o institucionales, ataques de denegación
entretenimiento, las transmisiones de corporaciones,
de servicio que bloquean el acceso a páginas web
los Estados y hasta con organizaciones criminales. Sin
(a menudo con propósitos de extorsión), chantaje
embargo, hay países en Latinoamérica que poseen
mediante herramientas que encriptan la información
más avances tecnológicos que otros, lo que no
en un ordenador o red hasta que se paga un rescate
necesariamente implica que estén preparados para las
(ramsonware), etc. En algunas ocasiones el propósito de
amenazas del ciberespacio.
los ataques es obtener información tecnológica o militar. Otras veces, en cambio, se publican datos obtenidos
1 We Are Social y Hootsuite. Digital in 2017: Global overview.
mediante estas técnicas para provocar movimientos
2 We Are Social es una empresa de mercadeo social y gestión
políticos o dañar a adversarios.3
de relaciones con clientes (CRM, siglas en inglés). Hootsuite es una plataforma de manejo de redes sociales.
3 Cervera, José (2017). Ciberguerra: más y menos de lo que
parece. Revista Nueva Sociedad.
2 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017
En la actualidad se reconoce que el delito cibernético
y del sector privado. También encontrarán diferentes
no reconoce fronteras nacionales y que se requiere un
enfoques de análisis donde se contrapone una visión
esfuerzo de todos los sectores para abordar la cantidad
corporativa versus la visión de sociedad civil.
de amenazas informáticas: gobierno, organismos internacionales,
academia,
comunidad
técnica,
En la sección Actualidad se analiza la importancia del
sociedad civil y el sector privado nacional e internacional.
uso de los datos para el sector privado utilizando la
De acuerdo con el informe del BID, los principales
tecnología de datos masivos. Telefónica Centroamérica
desafíos que enfrenta la región en seguridad cibernética
nos relata sus experiencias en Europa y en la región
son el desarrollo de capacidades en todos los países,
centroamericana.
la mejora de la cooperación en delitos cibernéticos y el intercambio de información sobre mejores prácticas,
La sección Coloquio está compuesta por dos entrevistas
amenazas y vulnerabilidades. La única manera de
a expertos en seguridad digital: la primera resalta los
superarlos es creando una estrategia de seguridad
principales problemas que vive Latinoamérica en temas
cibernética que incorpore la protección a la sociedad
de ciberseguridad asociados al robo de identidad y la
frente a las amenazas cibernéticas y fomentando la
falta de conocimiento en la materia, y la segunda analiza
prosperidad económica y social, especialmente en
la importancia del abordaje de la seguridad digital desde
aquellas áreas en que las Tecnologías de la Información
los derechos humanos.
y de la Comunicación (tic) van siendo cada vez más relevantes.
En Ventana Regional se presentan dos artículos enfocados en las realidades de Nicaragua y Colombia.
Las estrategias de seguridad cibernética nacional deben
El primero aborda los marcos legales de Nicaragua
armonizarse con los derechos fundamentales, tales
para la protección, criminalización o vigilancia digital
como la privacidad, la libertad de expresión y el debido
de los defensores y defensoras de derechos humanos;
proceso, así como con los principios técnicos clave que
el segundo identifica las amenazas a la ciberseguridad
han permitido la innovación en Internet, tales como la
de Colombia y cómo el Estado puede enfrentar este
apertura, la universalidad y la
interoperabilidad.4
desafío.
Con esta edición nº 15 de Seguridad y Sociedad
En Ventana Global incluimos una propuesta de las
esperamos brindar una comprensión del alcance de las
razones por las cuales la estrategia de ciberseguridad
amenazas a nuestro entorno cibernético, en vista que
y las operaciones de negocios son inseparables.
en Latinoamérica la literatura en materia de seguridad cibernética es sumamente escasa. Por esa razón, el
Finalmente, la sección Mirada Crítica contrapone
ieepp presenta una serie de entrevistas y artículos que
las buenas prácticas de privacidad y seguridad
esbozan una imagen de la seguridad cibernética de
concentradas en el sector financiero y gubernamental,
Latinoamérica y Centroamérica, y los casos específicos
con la realidad que se vive en Centroamérica donde las
de
desde
personas son vulnerables debido a la falta de un marco
perspectivas gubernamentales, de la sociedad civil
general de ciberseguridad que respete los derechos
Nicaragua
y
Colombia,
abordándose
humanos colocando a la privacidad en el centro. 4 Daigle, Leslie. On the Nature of the Internet. Global Com-
mission on Internet Governance Paper, serie nº 7. Marzo de 2015.
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 3
Colaboradores de esta edición
Alejandro Maldonado
Daniel Monastersky
Luciana Peri
Mireya Zepeda Rivera
Tiene más de 10 años como consultor de tecnología y procesos para PricewaterhouseCoopers (PwC) y 8 años en Telefónica Centroamérica. En los últimos 3 años ha sido responsable del área de inteligencia empresarial y datos masivos. Especialista en datos masivos por la Universidad de California San Diego y máster en datos masivos por Synergic Partners.
Abogado especializado en ciberseguridad, delitos informáticos y protección de datos personales. Ha realizado estudios de postgrado en la Universidad Oberta de Catalunya (uoc). Es profesor titular de derecho informático. En la actualidad es miembro del consejo asesor del Foro Mundial de Ciberseguridad (gfce).
Licenciada en relaciones internacionales por la Universidad de El Salvador y máster en derechos humanos por la Universidad de Costa Rica (UCR). Encargada de desarrollo organizativo de Fundación Acceso y coordinadora de la investigación ¿Privacidad digital para personas defensoras de derechos humanos?
Abogada y master en derechos humanos por la Universidad Iberoamericana de la Ciudad de México. Ha coordinado y elaborado investigaciones académicas en materia de trata de personas, seguridad digital y migraciones, entre otras. Actualmente es consultora internacional para organizaciones en materia de derechos humanos.
Vicente Torrijos Rivera
David González Ortiz
Niel Harper
Renata Ávila
Politólogo e internacionalista dedicado a la ciencia política, la política internacional, los asuntos estratégicos, los estudios de paz, la comunicación y la gobernabilidad. Profesor emérito, titular y distinguido de la Universidad del Rosario, Bogotá, Colombia.
Máster en estudios interdisciplinarios sobre el desarrollo, Universidad de los Andes, Bogotá, Colombia. Analista de criminalidad.
Fundador y director ejecutivo de Octave Consulting Group, firma asesora que ofrece servicios de información, ciberseguridad, transformación de negocios, gestión de riesgos y otros. Miembro del Foresight Forum de la Organización para la Cooperación y el Desarrollo Económico (ocde) y decano del Instituto de Ingeniería Eléctrica y Electrónica (ieee).
Abogada guatemalteca, experta en derechos digitales y nuevas tecnologías, asesora principal de derechos digitales para la World Wide Web Foundation (wwwf). Es parte del directorio internacional de Creative Commons. Actualmente investiga los efectos del colonialismo digital y su impacto en las democracias latinoamericanas.
Ilustración: Oscar Danilo Quezada
Actualidad
BIG DATA:
DECISIONES BASADAS EN DATOS El análisis de datos masivos tiene un gran potencial para impactar de manera positiva la vida de las personas, preservando su privacidad mediante la agregación y anonimización de los datos1
alejandro maldonado
1 Presentación realizada en la Expo Internet 2017, organizada por la Cámara Nicaragüense de Internet y Telecomunicaciones (canitel) el 17 de mayo 2017, Managua, Nicaragua.
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 5
L
A implementación de datos masivos o inteligencia data)2
La tecnología Hadoop nos permite el manejo de grandes
realizado por Telefónica Centro-
volúmenes de información de una forma accesible para
américa y su análisis en tiempo real de tráfico utiliza un
las empresas. El análisis de los datos en tiempo real
algoritmo predictivo para poder detectar de forma
genera valor para los sistemas transaccionales de las
de datos (big
automática el patrón que usan las personas que hacen
empresas.
fraude en las llamadas entrantes internacionales (ldi). Este año logramos frenar por primera vez este fraude de
DATOS MASIVOS: UN TEMA DE NEGOCIOS
mucho impacto financiero en Centroamérica. También hemos logramos aumentar el ingreso proveniente del
La implementación de la tecnología de datos masivos
negocio de los datos masivos.
surge de la necesidad que tiene una empresa para cubrir una problemática específica, un reto estratégico,
EL ORIGEN DE LOS DATOS MASIVOS
una meta comercial o de marketing, por lo que podemos decir que los datos masivos son un tema de negocios.
Los datos masivos son una respuesta a una problemática específica. El concepto se remonta al año
Describiré la tecnología de datos masivos como la
2000 cuando la joven compañía Google empezó a tener
combinación de varios factores: la infraestructura, el
dificultades para manejar el volumen de información
hardware, las herramientas de software que se montan
que transitaba por la Internet y que aumenta cada
sobre su entorno (como Hadoop) y las capacidades de
año. Se estima que para el 2020 cinco mil millones
las personas que manejan la información, tanto analíticas
de personas estarán llamando, enviando mensajes
y científicas. Se ha demostrado que las compañías que
de texto, navegando, descargando datos, etc., y que
adoptan esta tecnología son más efectivas, logran sus
el contenido en Facebook y otras redes sociales se
objetivos estratégicos más rápido, incrementan sus
incrementará de manera exponencial, generando
ingresos y mejoran su desempeño financiero.
transacciones comerciales de US$ 400 millones diarios. Aunque el camino es difícil, es necesario emprenderlo Google desarrolló un sistema de manejo de información
desde ya. Si se desea que la compañía sea basada
denominado Google File System (gfs) y un modelo de
en datos, pues hay muchos retos por delante. Esos
procesamiento de información llamado MapReduce.
retos principalmente se orientan a que la compañía
Ambas tecnologías pasaron a ser de dominio público
empiece a adoptar una cultura basada en análisis de
entre 2003 y 2004, permitiendo que la Apache Software
datos. En el pasado, las decisiones se tomaban de una
Foundation3
forma bastante intuitiva y al día de hoy también se sigue
como
creara un esquema de software conocido
Hadoop.4
haciendo así, pero las áreas comerciales y marketing deben tomar sus decisiones según lo que pasa en el
2 https://es.wikipedia.org/wiki/Big_data
mercado y sabemos que las mejores decisiones se
3 Una organización sin fines de lucro creada para apoyar pro-
toman cuando tenemos un respaldo de datos.
yectos de software libre (código abierto) y el popular servidor HTTP Apache. 4 Hadoop es un esquema de software para el procesamiento distribuido de datos masivos en computadoras interconectadas; usa modelos sencillos de programación y permite a las aplicaciones trabajar con miles de nodos y petabytes de datos (datos masivos).
Uno de los retos para implementar la tecnología de datos masivos en una empresa es empezar un cambio cultural:
6 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017
lograr que se tomen decisiones basadas en datos y
enriquecer la data almacenada en los almacenes de
que se empiece a conectar los datos a la empresa. Los
datos tradicionales.5
datos almacenados generan valor cuando se les extrae ese valor. La implementación de la tecnología de datos
Por tanto, se puede caracterizar a la tecnología de
masivos tiene varias fases, detalladas a continuación.
los datos masivos como disruptiva, porque antes de su creación el análisis de datos requería de grandes
DATOS MASIVOS Y SUS CUATRO FASES DE IMPLEMENTACIÓN
despliegues de infraestructura, necesitando servidores muy costosos y de mucha capacidad, es decir, grandes inversiones. La tecnología de datos masivos permite
La primera fase es la ingeniería de los datos, saber si
romper ese paradigma. Hoy se monta un grupo de
se cuenta con los datos suficientes, ver qué tenemos
servidores (cluster) del tipo llamado commodity,
y comprobar si se tiene suficiente información para
servidores comunes y corrientes que se unen en un
generar valor, conseguir fuentes externas y enriquecer
grupo y se configuran con el software de Hadoop.
las fuentes existentes. Cuando se tiene esa materia prima, se procede a verificar qué herramientas e
Sobre Hadoop se monta una capa de herramientas
infraestructuras son necesarias para almacenar y
de explotación de información como Hype, u otras
generar valor de esta información.
que sirven para realizar análisis estadísticos como R o Python.6 Además de esas herramientas, se debe
La tecnología de datos masivos nos ayuda a combinar
comprobar que se disponga de las capacidades
los
analíticas y de la infraestructura correcta, ya que la
datos
tradicionales
—datos
estructurados
organizados en una base de datos relacional— con datos no estructurados, siendo estos últimos todos los
5 Un almacén de datos (datawarehouse, en inglés) es una
Facebook o un tuit. Esta tecnología nos permite conectar
base de datos corporativa que integra y depura información de una o más fuentes, para luego procesarla a gran velocidad desde múltiples pespectivas.
los datos no estructurados con los estructurados y
6 R es un lenguaje de programación de código abierto para
datos que llegan por Internet, por ejemplo, un post de
análisis estadístico. Python es un lenguaje de programación interpretado cuya sintaxis favorece un código legible.
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 7
tecnología de datos masivos requiere la creación del puesto de científico de datos (data scientist), cuyo
TELEFÓNICA Y SU INNOVACIÓN EN TECNOLOGÍA DE DATOS
perfil profesional demanda capacidades analíticas, estadísticas, matemáticas, tecnológicas, manejo de
En octubre de 2016, Telefónica lanzó su nueva marca
bases de datos, instinto empresarial (business sense),
denominada luca,7 que representa nuestra oferta
y que también pueda interpretar y comunicar lo que los
de servicios de inteligencia. Después de recorrer
datos le muestran. Es un perfil muy específico, pero
este camino y convertirnos en una empresa basada
necesario para aprovechar los datos.
en la información (data driven company),8 pusimos esta experiencia a la disposición de otras compañías
En
Telefónica
hemos
transformado
los
perfiles
profesionales para las personas a cargo de inteligencia empresarial
y
almacenamiento
de
datos,
ofreciendo nuestras capacidades analíticas y de manejo de información.
para
convertirlos en científicos de datos mediante un
Lo interesante de luca es el acompañamiento que
programa de capacitación.
Telefónica puede brindar a las demás empresas. En la parte de ingeniería de datos (data engeneering)
Otro aspecto muy importante son las intuiciones
podemos acompañar en las áreas de productos,
o percepciones empresariales (business insights), el
servicios y capacidades para apoyar en la recolección
valor que generamos de la información. Todo esto debe
de la información y el análisis de los datos.
ir de la mano con la estrategia y la transformación de 7 luca son las siglas en inglés de Last Universal Common
Ancestor (último y universal ancestro compartido), concepto que alude a que todas las personas compartimos un mismo ancestro. Por analogía, se dice que las empresas también tienen un ancestro común que es el dato, la información recabada. 8 Empresa que toma sus decisiones basada en un análisis de información real y no en las intuiciones de sus directivos.
Ilustración: Oscar Danilo Quezada
la empresa, y obviamente con una capa de seguridad.
8 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017
En la parte de infraestructura hemos desarrollado varias
En Centroamérica tenemos las huellas de más de
herramientas que nos permiten realizar una asesoría
15 millones de abonados, de los cuales —después
o consultoría e identificar la infraestructura adecuada
de anonimizar la información y aplicar un algoritmo
para las empresas. En la parte de ciencia de datos,
de extrapolación— obtenemos el comportamiento de
en 2015 Telefónica adquirió una empresa de ciencia de
movilidad de la población total de un área o de un país
datos llamada Synergy Partners con alrededor de 150
específico. En Nicaragua tenemos cerca del 50% de
científicos de datos que forman ya parte de nuestro equipo
mercado, una población significativa —en otros países
y así apoyamos a empresas en Europa y en América
tenemos menos presencia— y la extrapolamos para
a implementar sus proyectos de ciencia de datos.
hacer ciertos análisis que antes se hacían de forma manual. En el pasado, si una empresa quería hacer un
Con respecto a las intuiciones empresariales, Telefónica
estudio de impacto de despliegue de infraestructura
está apoyando a las empresas con soluciones creadas
para buscar una nueva ubicación para sus sucursales,
y desplegadas de una forma rápida. A manera de
realizaba estudios mediante encuestas en las calles,
ejemplo les contaré la historia de un producto basado
con contadores de personas o se usaban los datos del
en la huella digital que dejan los usuarios de redes
censo, información que en nuestros países está muy
móviles. Todos los usuarios de móviles tenemos
desactualizada. Algunos se han aventurado y utilizan
patrones de uso bastantes peculiares, en vista de que
algún tipo de sensor o cámara, pero el reto es mucho
llevamos el teléfono inteligente a todos lados; pues bien,
mayor cuando se quiere cubrir un área muy grande.
Telefónica guarda de una forma no comprometedora
La información obtenida por encuestas o contadores
la huella que dejan los usuarios de nuestras redes
sí es de cierta utilidad, pero es ocasional, subjetiva
móviles,
Esas
y son datos declarados. En una encuesta las personas
huellas nos sirven para realizar estudios de movilidad
tienen que dar una respuesta y posiblemente expresan
o pasos inteligentes (smart steps). Esta es una
lo primero que se les ocurre, no los hechos reales.
protegiendo
su
confidencialidad.
solución que ponemos a disposición de las empresas y hacer estudios de masas poblacionales basados en
La propuesta de valor de los pasos inteligentes es usar
sus huellas de movilidad. Así, apoyamos a los gobiernos
esta huella anónima y agregada de la señal del móvil
y a las empresas a hacer estudios de factibilidad. Uno
por medio de nuestra red —la infraestructura de torres
de nuestros clientes principales en Europa es Transport
telefónicas— y procesar la información mediante la
London,9
y ellos no planifican una nueva estación
tecnología de datos masivos, almacenarla y generar
de metro o de buses, sin que Telefónica les apoye con
las intuiciones empresariales. Estas intuiciones son
un estudio de factibilidad basado en pasos inteligentes.
importantes, precisas, rápidas, económicas, flexibles, y
Estos estudios nos permiten aprovechar las huellas
ricas en detalles. Podemos hacer este tipo de estudio
digitales que dejan nuestros abonados y conocer el
cualquier día del año 24/7.
for
contexto de la movilidad de masas poblacionales. Para explicar cómo funcionan estos estudios de 9 Transport for London (TfL), empresa municipal encargada
del transporte público en la ciudad de Londres, Reino Unido. https://es.wikipedia.org/wiki/Transport_for_London
movilidad, relataré brevemente un trabajo que se hizo para el ayuntamiento de Barcelona. Se quería conocer el área de residencia de las personas que viven en dicha
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 9
Commuting y sostenibilidad: El big data en Barcelona Gracias al big data, en LUCA creamos mapas de movilidad laboral que muestran datos de transporte de la ciudad de Barcelona en sus distintos distritos.
fuente https://www.youtube.com/watch?v=l4Ehg20ehSg
ciudad y su sitio de estudio o trabajo para hacer un mapa
conviertan en empresas basadas en la información
de movilidad de punto A a punto B. Ese estudio se hacía
y que puedan tomar decisiones usando la tecnología
antes de forma manual cada 4 años con una muestra de
de datos masivos.
2,000 personas. Propusimos hacerlo con la tecnología de datos masivos con una población significativa de
Estos estudios de movilidad pueden utilizarse para
300,000 personas de forma recurrente, usando el
el turismo, porque podemos ver las huellas que dejan
despliegue de infraestructura. Por medio de algoritmos,
los visitantes extranjeros al usar sus dispositivos
estudiamos las llamadas anonimizadas para identificar
móviles. También sirven para hacer estudios de impacto
el punto A, que sería el hogar, y el punto B, que sería el
o estudios de influencia con un punto específico,
trabajo o estudio. Habiendo identificado esos puntos, le
por ejemplo, para medir el impacto de una campaña
entregamos al ayuntamiento los mapas de movilidad de
publicitaria.
cada sector importante de la ciudad, y así les brindamos intuiciones o nuevas percepciones empresariales para
La conclusión es que hoy la tecnología de datos masivos
que ellos pudieran saber el volumen de información
es muy relevante y que ya no hay excusas para no usar
que entra en un área específica. En el mapa adjunto,
estas herramientas en nuestros proyectos y convertirnos
podemos notar que muchas oficinas convergen en el
poco a poco en empresas basadas en la información.
área central. En resumen: pudimos decirles de dónde
La tecnología de datos masivos nos ayudará a enfrentar
viene la población, cuánta gente hay allí, y también la
la cuarta revolución industrial que es la revolución de los
población que sale de ese punto hacia otro. Este es
datos; aprovechemos que es una revolución anunciada,
un ejemplo de los estudios de pasos inteligentes con
a diferencia de las anteriores. Así que ¡manos a la obra!
los que Telefónica apoya a las empresas para que se
y contad con Telefónica para apoyarles en este viaje.
Coloquio
Delitos cibernéticos: una amenaza latente en la región Daniel Monastersky, abogado especializado en delitos informáticos, identifica los riesgos de la ciberdelincuencia a los que todos estamos expuestos. Uno de los más comunes es el robo de identidad, por lo que sugiere que se debe pensar dos veces antes de publicar algo en las redes sociales
sys. ¿Cuáles son los principales problemas que vive
Ilustración: Oscar Danilo Quezada Imágenes de uso libre: pxhere, pixabay
Latinoamérica en temas de ciberseguridad? dm. Uno de los mayores problemas que vivimos en la
región es el desconocimiento de esta temática por parte de los operadores judiciales y la ciudadanía en relación a qué es delito y qué no. También la falta de tipificación de algunas modalidades delictivas en algunos de los países de la región es un problema, por ejemplo el robo de identidad digital y el grooming1 son reconocidos como delito en algunos países, y en otros no. El tema de la pornografía infantil está tipificada, pero lo que no está plasmado es la tenencia del material pornográfico de menores en un sistema informático, que es muy importante, y que es uno de los puntos que recomienda la norma marco en tema de delitos informáticos que es el Convenio sobre la 1 Este término en inglés significa literalmente acicalamiento;
se llama así a la comunicación con menores por medios cibernéticos previo a un contacto físico o sexual; también es conocido como ciberacoso infantil.
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 11
Ciberdelincuencia de Budapest. La norma indica
El sector privado también es fundamental, porque
que la producción, la oferta o la puesta a disposición,
se requiere de una gran colaboración entre todos los
la difusión o transmisión, la adquisición de pornografía
actores involucrados. Si se quiere investigar un delito
infantil por medio de un sistema informático para uno
informático, se requiere que la empresa proveedora
mismo o para otra persona, y la posesión de pornografía
de servicios brinde los datos de ip 2 y los nodos de
infantil en un sistema informático o en un medio de
conexión. Sin esa información no se puede identificar
almacenamiento de datos informáticos, son medidas
a la persona que generó el incidente.
legislativas que deben ser retomadas para un abordaje del delito más concreto.
sys. Usted pertenece a una organización que se llama
“Identidad Robada”, ¿tiene alguna estadística sobre sys. ¿Cuál es la relación entre estos delitos de
qué países de Latinoamérica tienen mayor alcance
ciberseguridad con el tema de los derechos ciudadanos?
o mayor pérdida por robo de identidad?
dm. El acceso al Internet está considerado como un
dm. Tengo algunos datos sobre este tipo de delitos en
derecho humano, pero, evidentemente, los ciudadanos
Argentina, pero no en la región. Lo que sí te puedo decir
no tienen acceso a Internet de manera uniforme, lo que
es que el robo de identidad digital es la modalidad por
dificulta el desarrollo de estrategias para minimizar el
excelencia en los delitos informáticos.
impacto de las nuevas tecnologías en relación a los delitos. Como persona, para poder cuidarte, se necesita
A través del robo de identidad digital se generan
tener conocimientos. Sin acceso a Internet, no podés
muchos de los delitos informáticos que ocurren hoy
informarte y protegerte.
en día. Por ejemplo a través de un robo de identidad digital se puede calumniar, injuriar, o acosar a un
sys. Frente a estos problemas ¿Cuáles serían los retos
menor. También se puede hacer bullying,3 amenazar
o desafíos que tenemos según los distintos actores:
o extorsionar siempre a través de una identidad falsa
gobierno, sociedad civil, el sector privado, ciudadanos?
o con una identidad suplantada.
dm. La sociedad civil cumple un rol fundamental en esta
Soy autor de un proyecto de ley que por tercera vez se
temática porque si no fuera por ellos no tendríamos,
presenta en Argentina para tipificar el robo de identidad
o no hubiéramos tenido, campañas de prevención y
digital. En este caso se ha modificado la letra de la
concientización. Ahora, a nivel de gobierno, empiezan
ley, una adecuación del tipo penal, para adaptarla a
a haber espacios mediante los cuales se les brinda
los nuevos tiempos. El proyecto prevé que la persona
atención, orientación e información a los ciudadanos.
que robe, cree una identidad, o suplante la identidad
Por ejemplo el Centro de Ciberseguridad de Buenos Aires (BA-CSirt), donde soy asesor legal, recibe todo
2 Las empresas proveedoras de servicios de Internet (service
y lo que hacen ahí es que a partir de un protocolo que
providers, en inglés) colaboran con la fuerza pública dando la dirección ip (Internet Protocol Address) de una comunicación, lo que permite ubicar su origen y al posible usuario.
se preparó con la justicia, proceder con estos casos
3 Acoso o intimidación; su contraparte en el ámbito de las
tipo de consultas relacionadas con delitos informáticos,
cuando se requiera una investigación judicial.
comunicaciones cibernéticas se conoce como ciberacoso.
12 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017
de alguien para cometer un delito, se le aplique una
ong de todo el mundo. Por ejemplo: la brecha digital
pena agravada. O sea, si extorsionas con una identidad
que existe entre hombres y mujeres para el acceso a la
robada, la pena va a ser mayor.
tecnología; hay pocas mujeres que trabajan en temas de tecnología y de seguridad informática. Tratamos de
sys. ¿Hay algún procedimiento en Buenos Aires sobre
generar el espacio y de conseguir financiamiento para
cómo se debe manejar este tipo de delito? ¿Es un
achicar esa brecha. También hay otra iniciativa para
proceso diferente?
darle conectividad a pueblos alejados, para que esas personas tengan acceso a Internet.
dm. Hay fiscalías especializadas en la temática de delitos
informáticos. En la ciudad hay tres fiscalías. Una es la
sys. ¿Cómo puede una ciudadana centroamericana
Unidad Fiscal Especializada en Ciberdelincuencia
solicitarles a ustedes que le ayuden a llevarle acceso a
(ufeci),4
Internet a un pueblo?
de investigación de delincuencia informática.
Es fundamental que se capaciten a los operadores, jueces y fiscales de todo el país. Otra es la fiscalía
dm. En la página web hay un vínculo donde se pueden
nacional, que es el punto focal para todo el país;
proponer iniciativas. Una vez recibida la solicitud, los
después la investigación se deriva a la jurisdicción que
miembros del consejo asesor emitimos un declaración
corresponda, y tiene competencia en todo el país.
sobre la viabilidad de la propuesta; a partir de allí, la secretaría se encarga de conseguir financiamiento entre
sys. ¿Usted conoce de esfuerzos regionales que
los socios y los miembros del foro.
promuevan que el robo de identidad sea tipificado en sys. Desde su perspectiva, ¿cómo podemos proteger
las legislaciones de cada país?
nuestra información? dm. No. Hay esfuerzos independientes de cada país
para tipificar esta modalidad delictiva, pero no hay
dm. Hoy en día, la reputación digital es muy importante;
ningún organismo que unifique criterios respecto a este
si alguien te quiere hacer daño es muy fácil publicar
tema.
cualquier cosa en Internet, y muchas personas consideran que lo que está publicado es verdad.
sys. Usted participó recientemente en una cumbre
de ciberseguridad, ¿cuál es el tema principal que los
Es fundamental pensar antes de publicar algo, sacarse
expertos en la materia están tratando de abordar?
una foto o filmarse. Una vez que una imagen es subida a Internet o compartida a través de redes sociales, es
(gfce),5
imposible borrarla. Es necesario mantener y cuidar
nos llegan iniciativas de personas, organismos, y de
nuestras identidades digitales, ya sea la de una persona
dm. En el Global Forum on Cyber Expertise
o de una empresa, para que lo que aparezca en las 4 https://www.mpf.gob.ar/ufeci/
herramientas de búsqueda sea la información que
5 Una plataforma mundial para que los países, organiza-
nosotros queremos, y no la información falsa o negativa
ciones internacionales y empresas privadas intercambien prácticas y conocimientos sobre el ámbito cibernético. https://www.thegfce.com/
que otra persona quiera presentar.
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 13
Coloquio
Seguridad digital, un asunto de derechos humanos Luciana Peri, especialista de Fundación Acceso (Costa Rica) analiza la importancia del abordaje de la seguridad digital desde la perspectiva de los derechos humanos. Presenta las vulnerabilidades en la región centroamericana, y algunas medidas para promover una cultura de seguridad digital.
sys. ¿Cuál es la diferencia entre seguridad digital
y ciberseguridad? lp. En realidad, los términos ciberseguridad y seguridad Ilustración: Oscar Danilo Quezada Imagen de uso libre: pixabay
digital son sinónimos. Desde mi perspectiva, la diferencia entre uno y otro radica en la aproximación que hacemos sobre la temática. El término ciberseguridad suele utilizarse por actores privados/empresariales, como por ejemplo los bancos, en contextos de fraude o estafas electrónicas. Los actores gubernamentales (o inter-gubernamentales) también hablan de la ciberseguridad, haciendo hincapié en la seguridad nacional, es decir, en la seguridad de los Estados frente a las grandes amenazas como el terrorismo, el narcotráfico o la explotación sexual comercial. Ellos justifican la restricción de derechos de la ciudadanía en pos de la defensa de diferentes vertientes de la seguridad, entre ellas, la ciberseguridad. Cuando hablamos de seguridad digital, lo hacemos desde un enfoque de derechos humanos, priorizando
14 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017
la seguridad de la ciudadanía, defendiendo el derecho
lp. Por un lado, la falta de adecuación de las
a la privacidad de las personas, y rechazando la falsa
legislaciones a esta realidad expandida que plantea el
disyuntiva que se nos intenta imponer entre seguridad
universo digital, desemboca en que la ciudadanía no
y privacidad.
cuente con una protección efectiva de sus derechos en el ámbito digital.
De igual forma, entendemos que la seguridad digital es solo una de las variables de la seguridad integral de las
Al mismo tiempo, en Centroamérica la sociedad civil
personas, la que también incluye la seguridad física,
organizada aún no ha comenzado a incorporar la
la seguridad psico-social y la seguridad legal, por lo
temática de los derechos en el ámbito digital en su
que los abordajes de estos temas deben ser integrales
agenda de derechos humanos, lo que hace que exista
e interdisciplinarios.
poca incidencia y fiscalización en la región sobre estos temas por parte de la sociedad civil.
La seguridad digital es solo una de las variables de la seguridad integral de las personas, la que también incluye la seguridad física, la seguridad psico-social y la seguridad legal
Por otro lado, la vulnerabilidad radica en el papel que decidimos jugar como personas usuarias. Si cuento o no con los recursos para informarme sobre lo que implica moverme en este mundo digital y, si efectivamente tengo los recursos, ¿cómo decido utilizarlos? Existe un vacío generalizado de sensibilización sobre la seguridad
sys. ¿Cómo se relaciona la seguridad digital con los
digital, ya sea porque no logro identificar o dimensionar
derechos humanos?
los riesgos, porque si lo hago tengo que cambiar ciertos hábitos para protegerme, o fortalecer mis capacidades
lp. Al respecto se ha planteado un debate muy
en el uso de las tecnologías.
interesante en los últimos años. En un principio se comenzó abogando por la defensa de los derechos
sys. ¿Cuáles son los principales hallazgos de su último
digitales, para luego cambiar la perspectiva y afirmar
informe centroamericano de seguridad digital?
que los derechos digitales como tal no existen, sino que lo que se intenta defender son los derechos humanos
lp. El Observatorio Centroamericano de Seguridad
ya reconocidos, pero en el ámbito digital.
Digital (osd) surge como una iniciativa de Fundación Acceso1 que logra consolidarse en el año 2016,
Con esto se intenta establecer que los derechos
comenzando a operar en su etapa piloto.
digitales no son derechos nuevos, sino que son los mismos derechos fundamentales, pero aplicados en un
El objetivo general del osd es registrar y analizar
nuevo contexto, el digital.
los incidentes de seguridad digital de las personas defensoras de derechos humanos que ejercen su
sys. ¿Cuáles son los factores que nos vuelven
defensoría en Centroamérica. El proceso de registro
vulnerables ante las amenazas digitales? 1 http://www.acceso.or.cr/
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 15
y análisis es un trabajo conjunto entre personas que
nuevos hábitos y políticas institucionales que respalden
brindan asesoría legal y las que brindan asesoría
estas acciones.
informática. Además, resulta fundamental que el tema de los Para alcanzar este objetivo, Fundación Acceso visita
derechos en el ámbito digital comience a ser más
y da seguimiento a las personas u organizaciones
cotidiano, lo que debe ser el resultado de un esfuerzo
defensoras de derechos humanos que reportan un
conjunto entre una gran variedad de actores, entre ellos,
incidente a su seguridad digital, lleva un registro de los
la sociedad civil.
incidentes reportados y elabora un informe anual con la información recolectada.
sys. Desde su visión, ¿cuáles son los principales retos a
los que estamos expuestos hombres y mujeres? Con esto se busca fortalecer los mecanismos de seguridad de defensores/as de derechos humanos,
lp. Creo que en el ámbito de la seguridad digital, los
posicionar el tema de la seguridad digital como un
mayores retos que enfrentamos como personas en
componente clave de la seguridad integral, fortalecer
general son la vigilancia masiva y la recolección masiva
el análisis de la seguridad integral de defensores/as
de datos. Vivimos en sociedades de control, que intentan
de derechos humanos en Centroamérica, y apoyar
legitimarse desde un discurso del resguardo de nuestra
potenciales litigios estratégicos con información basada
seguridad, cuando en realidad lo que se busca es el
en un análisis jurídico e informático.
monitoreo de nuestros hábitos para el rédito privado y el control político.
Los principales hallazgos tienen la característica de haber sido recopilados durante la etapa piloto, por lo que son muy generales. Así, concluimos que efectivamente existen incidentes de seguridad digital y estos afectan directamente la labor que las y los defensores de derechos humanos realizan, poniendo en peligro su información y su trabajo. Sin embargo, aún no existe la sensibilización necesaria sobre este tema, por lo que
Vivimos en sociedades que intentan legitimarse desde un discurso del resguardo de nuestra seguridad, cuando en realidad lo que se busca es el monitoreo de nuestros hábitos para el rédito privado y el control político
los reportes han sido muy escasos y pocos de ellos se reportan. A su vez, las mujeres viven mayores retos en la sys. ¿Cómo podemos promover una cultura de
apropiación de las tecnologías y la seguridad digital,
seguridad digital?
ya que el mundo digital refleja lo que somos como sociedad.
lp. Se debe comenzar por la información y la
sensibilización, para después dar paso a la capacitación, el aprendizaje de nuevas herramientas, la adaptación a
16 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017
Ilustración: Oscar Danilo Quezada
Ventana Regional
¿Privacidad digital para defensores y defensoras de derechos humanos en Nicaragua? Un extracto de los hallazgos pertinentes a Nicaragua de la investigación ¿Privacidad digital para defensores y defensoras de derechos humanos?, realizada por la Fundación Acceso (Costa Rica) en 20151 mireya zepeda rivera
L
a vigilancia, censura, sanción y control del derecho a
de derechos humanos, se crean respuestas más
la privacidad de defensores y defensoras de derechos
intimidantes tales como agresión, amenaza, o inclusive
humanos violenta cualquier orden constitucional
asesinato.
y jurídico de un país. En un Estado de derecho
y democrático, el ideal es desarrollar acciones y políticas
DERECHO A LA PRIVACIDAD
para enfrentar los problemas sociales. Sin embargo, ante acciones efectivas de defensores y defensoras
Uno de los derechos fundamentales más afectado en las sociedades modernas es el derecho a la privacidad.
1 http://acceso.or.cr/assets/files/Investigacion-PrivacidadDigital-fa.pdf
Ello se debe al desarrollo de la tecnología, que ha
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 17
conllevado a la transformación de un bien jurídico. Esta
y aplica tanto para los y las ciudadanas nicaragüenses
situación ha creado una preocupación en la doctrina
como también para las personas extranjeras, pues se
científica jurídica que vela por una mayor protección
trata de un derecho estrictamente vinculado a la propia
de la privacidad, debido a su estrecha relación con la
persona, imponiendo como única restricción el ejercicio
dignidad humana y el desarrollo de la personalidad.
de los derechos políticos.3
El artículo 26 de la Constitución Política de Nicaragua,2
No existe referencia constitucional respecto a la titularidad
vigente desde la reforma constitucional de 1995,
del derecho por parte de las personas jurídicas, pues
dispone que toda persona tiene derecho a:
el derecho a la privacidad está concebido como un derecho de la personalidad; por ende, lo ostentan las
1. Su vida privada y a la de su familia; 2. Al respeto de su honra y reputación; 3. Conocer toda información que sobre ella se haya registrado en las entidades de naturaleza privada y pública, así como el derecho de saber por qué y con qué finalidad se tiene esa información; 4. La inviolabilidad de su domicilio, su correspondencia y sus comunicaciones de todo tipo.
personas físicas y no las jurídicas. Como consecuencia del desarrollo técnico jurídico, la protección material del derecho a la vida privada presenta en el contexto constitucional nicaragüense un contenido amplio y complejo: el reconocimiento de la vida privada personal, vida privada familiar, inviolabilidad del domicilio y del secreto de las comunicaciones. Sin embargo, también cuenta con otras manifestaciones que no necesariamente suponen derechos protegidos
El contenido normativo de este precepto constitucional
y reconocidos, como se verá a continuación.
aborda el derecho a la vida privada desde un punto de vista más amplio que el establecido previamente
Vida privada: ámbito personal y familiar
por la Constitución anterior, que data de 1987. La de 1995 considera que las libertades públicas no solo
La vida privada se entiende bajo un concepto
aplican para las injerencias que puedan provenir
relacionado con la prohibición de que una persona sea
desde particulares, sino también desde el Estado. De
objeto de injerencias arbitrarias hacia ella misma o la de
ahí que, en su apartado 3, introducido con la reforma
su familia, su domicilio o su correspondencia, así como
constitucional de 1995, se reconoce el derecho a la
de ataques a su honra o a su reputación, contando
información sobre registros de datos personales.
con la protección de la ley contra tales injerencias o ataques. En Nicaragua, aunado a lo contenido
Los derechos humanos son derechos individuales en
en el precepto constitucional, la Ley de Acceso a la
sentido propio. El derecho a la vida privada, reconocido
Información Pública4 y su reglamento,5 y la Ley de
en el mismo artículo 26 de la Constitución Política, protege la autonomía del individuo en su ámbito privado
3 Nicaragua “Constitución Política”, artículo 27. 4 Nicaragua “Ley de Acceso a la Información Pública”,
2 Nicaragua “Ley de Reforma Parcial a la Constitución Política
de Nicaragua”, La Gaceta, nº 26 (2014), artículo 26.
La Gaceta nº 118 (22 de junio 2007), artículo 4, inciso b, párr. 2. 5 Nicaragua “Reglamento de la Ley de Acceso a la Información Pública” Asamblea Nacional de la República de Nicaragua, Decreto No. 81–2007 (17 de agosto 2007).
18 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017
Protección de Datos Personales,6 hacen referencia
de amparo, el cual era admisible contra el funcionario,
a los aspectos que se consideran como información
autoridad o agente que por su acción u omisión violara
privada o sensible, entendiendo aquellos referidos a
o tratara de violar los derechos y garantías consagrados
la salud o vida sexual, raza, etnia, preferencia política
en la Constitución Política. Posteriormente y para
o religiosa, situación económica, social o familiar, o a
garantizar el resguardo y protección de los datos
su honra y reputación, antecedentes penales o faltas
personales, en 2013 se reformó la Ley de Amparo9 en
administrativas, información crediticia y financiera o
la que se añade el recurso de habeas data para evitar
cualquier otra que pueda ser motivo de discriminación.
la publicidad ilícita de los mismos. La reforma establece que el recurso de habeas data “…se crea como garantía de tutela de datos personales asentados en archivos,
Protección de datos personales
registros, bancos de datos u otros medios técnicos, La protección de datos personales emerge de la garantía
de naturaleza pública o privada, cuya publicidad
constitucional establecida en el artículo 26, inciso 3,
constituya una invasión a la privacidad personal
de la Constitución Política, el cual establece que toda
y tenga relevancia con el tratamiento de datos sensibles
persona tiene derecho a conocer toda información
de las personas en su ámbito íntimo y familiar.”10
personal que sobre ella se haya registrado en las entidades de naturaleza privada y pública, así como el
Secreto de las comunicaciones
derecho de saber por qué y con qué finalidad se tiene El artículo 26, inciso 4, del texto constitucional
dicha información.
nicaragüense reconoce de forma concisa el derecho La Ley de Protección de Datos Personales define la
a la inviolabilidad del domicilio y al secreto de las
autodeterminación informativa como el derecho de toda
comunicaciones, correspondencia, los papeles privados
persona a saber quién, cuándo, con qué fines y en qué
y las manifestaciones privadas contenidas en cualquier
personales,7
soporte, y se establece como único límite la autorización
circunstancias se investigan sus datos
entendiéndose los datos como toda información sobre
judicial.
una persona natural o jurídica que la identifica o la hace identificable, sean estos medios electrónicos o
automatizados.8
Nicaragua, a diferencia de otros países de la región, no cuenta con una ley específica de escucha o de interceptación de comunicaciones. Sin embargo,
Hasta el año 2013, Nicaragua velaba por el cumplimiento
ampliando
de dicho precepto constitucional a través del recurso
Constitución Política, bajo los cuales se podría
los
supuestos
establecidos
en
la
interceptar una comunicación, la Ley de Prevención, 6 Nicaragua “Ley de Protección de Datos Personales”,
La Gaceta nº 61 (2012), artículo 2, inciso g.
Investigación y Persecución del Crimen Organizado y de la Administración de los Bienes Incautados,
7 Nicaragua “Ley de Protección de Datos Personales”,
La Gaceta nº 61 (2012), artículo 3, inciso a.
8 Nicaragua “Ley de Protección de Datos Personales”,
artículo 3, incisos e y f.
9 Nicaragua “Ley de Amparo”, La Gaceta nº 61 (8 de abril
2013).
10 Íbid., artículo 6.
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 19
Decomisados y Abandonados11 establece que se interceptarán las comunicaciones a solicitud expresa y fundada del Fiscal General de la República o de la Directora General de la Policía Nacional. El juez penal podrá no solo interceptar una comunicación telefónica, sino también grabar e interrumpir cualquier tipo de comunicación: electrónica, radioeléctrica, fijas o móviles, inalámbricas, digitales o de cualquier otra naturaleza, siempre y cuando sea para fines de investigación penal. Dicha
interceptación
aplica
únicamente
para
la
investigación de los delitos previstos en la misma ley: financiamiento ilícito de estupefacientes, psicotrópicos y sustancias controladas, lavado de dinero, crimen organizado, terrorismo, asesinato, trata de personas, tráfico de migrantes, tráfico y extracción de órganos, delitos contra el sistema bancario, cohecho cometido por autoridad, uso de información reservada, entre otros.12 Por otro lado, los artículos 213 y 214 del Código Procesal Penal hacen una selección de los delitos graves que pueden dar lugar a una intervención telefónica y solo por un tiempo determinado, así como el procedimiento de las intervenciones de otro tipo de comunicaciones sean estas escritas, telegráficas
Es importante destacar que, dentro del proceso penal, la intervención de las comunicaciones telefónicas y la interceptación de comunicaciones escritas o telegráficas 11 Nicaragua “Ley de Prevención, Investigación y Persecución
del Crimen Organizado y de la Administración de los Bienes Incautados, Decomisados y Abandonados”, La Gaceta nº 199 y 200 (19–20 de octubre 2010), capítulo VIII, artículo 62.
12 Nicaragua “Ley de Prevención, Investigación y Persecución
del Crimen Organizado y de la Administración de los Bienes Incautados, Decomisados y Abandonados”, artículo 3.
fuentes Confidencial, cenidh, La Prensa
y electrónicas, respectivamente.
20 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017
constituyen una intromisión permisible de los órganos
En 2014, el Consejo de Derechos Humanos de
de persecución penal del Estado en el libre ejercicio del
Naciones Unidas aprobó la resolución a /hrc/27/37
derecho fundamental de las personas, reconocido en el
sobre El derecho a la privacidad en la era digital13
artículo 26, inciso 4, de la Constitución Política, con el
propuesta por Alemania, Brasil y México. Dicha
fin de averiguar la verdad sobre un hecho delictivo.
resolución identifica el reto que representa el rápido crecimiento de las tecnologías, aunado al Estado como
Dimensiones constitucionales
ente de control frente a los ciudadanos, mediante la vigilancia y la recopilación de datos, irrespetando el
El mencionado artículo 26 presenta un doble contenido
derecho a la privacidad individual. Así, se da un paso
con respecto a la privacidad de todo ciudadano
para el resguardo de la privacidad y la no vulneración
y ciudadana nicaragüense; uno de carácter positivo,
de derechos humanos y se insta a los Estados
que impide la intromisión e injerencias ajena a nuestra
a respetar las normativas internacionales respecto
información, y otro negativo, que se refiere al control
a la no vigilancia de sus ciudadanos y ciudadanas.
privado que ejercen terceros sobre nuestra información,
El siglo 21 crea nuevos desafíos para los Estados y para
almacenada en archivos informáticos. El derecho a la
todas las ciudadanas y ciudadanos. Las exigencias del
autodeterminación informativa se presenta como el
contexto actual nicaragüense demandan una mayor
derecho de una persona a reservar un ámbito de su vida
vigilancia por parte de una ciudadanía informada,
como intangible y secreto para los demás, así como
que no tenga restricción de información, ni sea
para controlar la recolección, uso y tratamiento de sus
perseguida por su propio gobierno.
datos personales en manos de terceros. En este precepto constitucional encontramos, de forma
NORMAS SOBRE INTELIGENCIA Y CONTRAINTELIGENCIA
implícita, la protección de los datos personales de los ciudadanos nicaragüenses, y el planteamiento de un
Los ataques cibernéticos están dando lugar a nuevos
límite legal a la Administración Pública, la que tiene el
tipos de conflicto, no solo entre atacantes y una nación,
deber de informar, a petición del ciudadano, qué datos
sino también entre el Estado que persigue controlar la
personales tiene registrados, el por qué y la finalidad de ello.
infraestructura electrónica e informática, así como las redes de comunicación de sus propios ciudadanos.
CIFRADO Y ANONIMATO Posterior a la publicación de la investigación realizada A pesar que la legislación nicaragüense no profundiza
por la Fundación Acceso (y que sirvió de base para
sobre la protección del cifrado y el anonimato,
el presente artículo, ver cita #1), Nicaragua aprobó la
exceptuando aquel referido al comercio electrónico,
Ley de Seguridad Soberana, la cual conceptualiza
estos pueden estar protegidos bajo lo establecido en el
e identifica aquellas eventualidades, acciones, actos
artículo nº 32 de la Constitución Política, el cual establece que ningún ciudadano o ciudadana nicaragüense está obligado a hacer lo que la ley no mande, ni impedida de hacer lo que ella no prohíbe.
13 Alto Comisionado de las Naciones Unidas para los Dere-
chos Humanos. El derecho a la privacidad en la era digital. Washington: Naciones Unidas, 2014.
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 21
y ataques que pongan en riesgo la seguridad del país, entre ellas, la seguridad cibernética o cualquier otro acto o actividad ilícita, o factor natural que atente contra el desarrollo integral de las personas, la familia y la comunidad.14 La ambigüedad y vaguedad de dicha ley podría ser interpretada a conveniencia de la autoridad que tiene a cargo la función de informar sobre esos posibles riesgos y amenazas, en este caso, el Sistema Nacional de Seguridad Soberana, presidido por el Ejército de Nicaragua a través de su Dirección de Información para la Defensa (did), principal órgano de inteligencia a nivel nacional. Defensores y defensoras de derechos humanos — consultados en la investigación— señalaron que la Ley de Protección de Datos Personales no los protege, pues los mecanismos a los cuales podrían acceder
Primera página de la Ley nº 919, Ley de Seguridad Soberana
para proteger sus datos no existen debido a la falta de institucionalidad creada por la misma ley. Por otro
La diversidad de las normativas que directa e
lado, dan a conocer la completa indefensión en la
indirectamente abordan la privacidad digital limita su
que se encuentran al no existir una normativa jurídica
completo conocimiento, tanto para el sector técnico
que proteja su labor. Destacan la preocupación que
como para la defensa de los derechos humanos.
sienten a ser demandados o enjuiciados por violación
¿Puede utilizarse la Ley de Prevención, Investigación y
ilícita de comunicaciones, acceso abusivo a un sistema
Persecución del Crimen Organizado en el contexto de
informático, robo, daño en bien ajeno, estafa, piratería,
privacidad digital? ¿Qué mecanismos existen para hacer
e incluso por terrorismo, bajo la mencionada Ley de
efectivo nuestros derechos a la privacidad digital y a la
Seguridad Soberana.
protección de nuestros datos? ¿Es la Ley de Seguridad Soberana un garante de la privacidad digital?
Los allanamientos realizados a organizaciones de sociedad civil en Nicaragua se han dado de forma
En Nicaragua, el derecho a la protección de la privacidad
arbitraria, lo que ha llevado a las organizaciones a
—en el contexto de la seguridad digital— enfrenta un reto
conocer sobre los procedimientos bajo los cuales
en cuanto a su cumplimiento. El recurso constitucional
debe llevarse a cabo un allanamiento; sin embargo,
del habeas data como mecanismo procesal de la
desconocen si entre el procedimiento de allanamiento
acción de protección de datos personales presupone
cabe la requisa de información reservada.
un equilibrio a favor del ciudadano. Sin embargo, para crear un precedente normativo es necesario que las y
14 Nicaragua “Ley de Seguridad Soberana”, La Gaceta nº 241
(18 de diciembre 2015), artículo 8, incisos 9 y 13.
los usuarios recurran a dicho recurso y hagan cumplir sus derechos.
22 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017
Ventana Regional
Desafíos a la ciberseguridad en Colombia Las amenazas cibernéticas representan un gran reto para los Estados y para los organismos internacionales de seguridad a nivel mundial. El ciberterrorismo, el cibercrimen o la posibilidad de una guerra cibernética son situaciones para los que las autoridades deben estar preparadas. Colombia ha reconocido estas amenazas y ha elaborado planes de seguridad digital, pero hay aspectos por mejorar para consolidar su ciberseguridad. vicente torrijos rivera, david gonzález ortiz
INTRODUCCIÓN Las amenazas tradicionales a la seguridad de las sociedades, durante la historia de la humanidad, han provenido de medios tangibles, físicos y propios de la interacción entre individuos, grupos y comunidades. El ciberespacio cambia las reglas de juego, en la medida en que se crean interacciones en un mundo virtual, donde las amenazas no se pueden visualizar con facilidad y tienden a permanecer incógnitas. El ciberespacio, como afirma Marc Goodman,1 se convierte entonces en un quinto ámbito de batalla, donde convergen todo tipo de actores, desde Estados y grandes corporaciones, hasta individuos, intermediarios y piratas informáticos (hackers), inmersos en la economía digital. 1 Goodman, M. (2016). Los delitos del futuro. Barcelona: Ariel.
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 23
Las amenazas tradicionales, como el crimen organizado y el terrorismo, han migrado al escenario cibernético, generando contrapartes como el cibercrimen y los ataques cibernéticos. Esto es un llamado de alerta a los Estados y organismos de seguridad a nivel mundial, para que evolucionen, con tanta, o incluso con mayor agilidad que las amenazas cibernéticas, implementando planes de contingencia y sistemas de alerta temprana contra las ciberamenazas. Para el Estado colombiano, esta iniciativa de adaptación constante a la evolución tecnológica es una obligación ineludible. El presente documento tiene como propósito identificar las amenazas a la ciberseguridad de Colombia y cómo puede el Estado colombiano enfrentar este desafío. Para ello, dividiremos este análisis en tres secciones. Primero, se expondrán las principales fuentes de amenaza para Colombia en el ciberespacio. Segundo, se analizarán las fortalezas con las que ya cuenta el Estado colombiano en materia de ciberseguridad. Y, finalmente, se determinarán qué aspectos del modelo colombiano se podrían mejorar, tomando como marco de referencia las características que debe tener un sistema de ciberseguridad de vanguardia.
AMENAZAS A LA CIBERSEGURIDAD EN COLOMBIA Los factores de inseguridad que generan desafíos al Estado colombiano son diversos, y pueden variar desde individuos con un alto conocimiento técnico, hasta grandes estructuras y organizaciones. Dentro de estas ciberamenazas, tres pueden definirse como críticas; por esa razón, el Estado colombiano debe prepararse y anticiparse a ellas para garantizar su supervivencia y la seguridad digital del país. En primer lugar, se deben considerar las actividades terroristas enmarcadas en el concepto de ciberterrorismo. A pesar de que su definición ha sido ampliamente debatida, se puede decir que el ciberterrorismo consiste en la convergencia de actividades terroristas en el ciberespacio, dadas las posibilidades de maximizar los objetivos de los terroristas a través de herramientas digitales.2 Para Colombia, las representaciones del ciberterrorismo podrían provenir de dos frentes: primero, de parte de grupos tradicionales en el marco del conflicto armado interno; segundo, de grupos terroristas extranjeros que tengan intereses particulares en Colombia o que quieran tomar al país como cabeza de puente para realizar actividades ciberterroristas en otros países. En el primero de los escenarios, grupos como el 2 Bucci, S. (2009). The Confluence of Cyber Crime and Terrorism. Heritage Lectures,
Heritage Foundation.
24 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017
Ejército de Liberación Nacional Colombiano (eln),
grupos competirían por obtener recursos digitales,
o disidencias de las Fuerzas Armadas Revolucionarias
conocimientos o dominar una cabeza de puente que les
de Colombia (farc) o inclusive los llamados Grupos
permita atacar a sus enemigos comunes, los Estados
Armados Organizados (gao), podrían incursionar en el
Unidos, Europa, Israel, etc. Colombia podría ser una de
ciberespacio para realizar actividades terroristas. Sobre
esas cabezas de puente, y el Estado colombiano debe
este asunto, Gema Sánchez
afirma:3
considerar esa posibilidad.
Los grupos armados se han volcado en la
Un segundo tipo de actores que representan posibles
red. Uno de los primeros fue el “Movimiento
amenazas para Colombia son las organizaciones
Sendero Luminoso”; después lo harían otros
criminales
como Al Qaeda, el Ejército Republicano Irlandés
ciberespacio y el cibercrimen organizado colombiano.
(IRA), el ELN, las FARC, Euskadi Ta Askatasuna
Las diferencias entre estos dos son su capacidad
(ETA), Hezbollah, etc. Se podría decir que,
técnica y su ámbito de acción. Mientras que el crimen
prácticamente, todos los grupos armados
organizado tradicional compra o contacta intermediarios
disponen de algún tipo de espacio (web, foro,
que actúen por ellos en el ciberespacio, los integrantes
site, etc.) en la red. Bien sea para divulgar la
del cibercrimen organizado tienen una alta capacidad
historia de la organización y de sus actividades,
técnica y dominio de conocimientos en tecnología
la información sobre sus objetivos políticos
informática.5 Este es el caso del tráfico ilegal de drogas
e ideológicos, las críticas de sus enemigos,
o armas que se realiza a través de la web profunda (deep
o simplemente, para verter amenazas o abrir
web), en el que intervienen organizaciones criminales,
foros de debate e interactuar con sus seguidores
tanto fuera como dentro del ciberespacio.6
tradicionales
que
incursionan
en
el
y simpatizantes. En cuanto al cibercrimen organizado, sus habilidades La otra posibilidad de amenaza ciberterrorista para
tecnológicas están altamente desarrolladas y están
Colombia podría provenir de los grupos terroristas
activas de manera permanente.7 Este tipo de criminales
islamistas del exterior. Organizaciones como isis,
se dedican al intercambio de bienes y servicios ilegales,
Al-Qaeda y Hezbollah han utilizado el ciberespacio para
o que rayan en lo ilegal. Su ámbito de acción ideal son los
extranjero.4
mercados negros digitales de la web profunda y la web
Hipotéticamente, podría darse que dichos grupos
oscura (darknet), donde pueden ofrecer aplicaciones
encuentren en Colombia un espacio libre de la
maliciosas, herramientas o kits de piratería informática,
férrea persecución de los organismos de seguridad
venta de tarjetas débito y crédito producto de fraudes
realizar actividades ciberterroristas en el
internacionales
que
se
encargan
de
neutralizar
el ciberterrorismo islamista. Si fuera así, estos
5 Kaarel, K. (2013). Illicit Network Structures in Cyberspace.
3 Sánchez, G. (2015). El ciberterrorismo, de la web 2.0 al
6 Ablon, L.; Golay, A. & Libicky, M. (2014). Markets for Cyber-
Internet profundo. Revista Ábaco, 85(3), p.101.
4 Europol (2016). The Convergence of Cyber and Terrorism.
The Internet Organized Crime Threat Assessment (IOCTA).
5th International Conference on Cyber Conflict.
crime Tools and Stolen Data: Hackers’ Bazaar. Rand Corporation. 7 Kaarel, K. (2013). Illicit Network Structures in Cyberspace. 5th International Conference on Cyber Conflict.
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 25
Amenazas tradicionales
Líneas de defensa Documento CONPES 3854 del DNP (desde 2016) Infraestructura tecnológica robusta (ColCERT) Centro Cibernético Policial (CCP) de DIJIN Estrategias educativas del MINTIC Cámara Colomb. de Informática y Telecomunic. (CCIT)
Crimen organizado Terrorismo Conflictos externos
Ciberamenazas Terrorismo interno Grupos terroristas extranjeros Estados adversarios (guerra híbrida)
electrónicos, entre otros.8 De esta manera, tanto el crimen organizado tradicional como el cibercrimen
Desafíos futuros Revisión constante de regulaciones tecnológicas Mejorar prácticas de vigilancia tecnológica y adaptar capacidad regulatoria Desarrollar protocolos de intercambio de información y estudios prospectivos sobre cibercrimen
AVANCES EN CIBERSEGURIDAD DEL ESTADO COLOMBIANO
representan una amenaza al Estado colombiano, ya que minan la gobernabilidad de éste en el ciberespacio,
Para que un sistema de seguridad cibernética sea
e impiden que se respeten sus normas en materia digital
efectivo, debe garantizar la seguridad de su propia
y el ejercicio del Estado de derecho.
población en el mundo virtual, así como impedir que amenazas internas o externas pongan en duda o en
En tercer lugar, una amenaza potencial sería la de un
serios aprietos a las entidades de seguridad digital. Para
Estado que se declare como adversario o contrario a
comprender la evolución de Colombia en esta materia,
los intereses de Colombia, y que subcontrate servicios
es necesario reconocer las características de un sistema
de ciberterroristas o cibercriminales para atacar
de seguridad cibernética de vanguardia. Según Andrés
instituciones públicas, el sector privado, o el sistema
Gaitán,11 se pueden tomar tres elementos esenciales
financiero colombiano. Esto cae dentro del concepto de
para construir una primera barrera de ciberdefensa
guerra
híbrida,9
en el que convergen diferentes formas
contra las amenazas cibernéticas:
de lucha, entre ellas la ciberguerra vía la subcontratación de agentes ciberterroristas o de cibercriminales. Al Libicki10
Primero se encuentra la impenetrabilidad del
sostiene que la forma de hacer
sistema para evitar la intrusión de cualquier
la ciberguerra comprenderá la alineación de todos los
tipo de amenaza. Consecutivamente se deben
tipos de ciberataques y el aprovechamiento de las
establecer los mecanismos de visibilidad;
vulnerabilidades digitales, por lo que un Estado debe
herramientas
implementar estrategias para contrarrestar todos estos
psicológicamente
frentes. Las autoridades colombianas han comprendido
al denunciarle costoso en tiempo, recursos
este mensaje y ya cuentan con medidas contra estas
tecnológicos, conocimientos en cibernética e
amenazas, como se verá a continuación.
informática, y por ende, recursos humanos que
respecto, Martin
informativas la
que
voluntad
del
impacten agresor
le demandará la ejecución de su operación. 8 Ablon et al., (2014).
Por último, el sistema debe erigirse sobre el
9 Hoffman, F. (2009). Hybrid warfare and challenges. National
componente del restablecimiento. La capacidad
Defense University, Issue 52, pp. 34-39.
10 Libicki, M. (2017). The Convergence of Information Warfare.
Strategic Studies Quarterly, vol. 11 (1).
del mecanismo para repararse a sí mismo después de un ataque cibernético. 11 Gaitán, A. (2012). El Ciberespacio: Un nuevo teatro de bata-
lla para los conflictos armados del siglo XXI, p.118.
26 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017
Tres elementos esenciales para construir una primera barrera de ciberdefensa contra las amenazas cibernéticas: 1. La impenetrabilidad del sistema para evitar la intrusión; 2. Establecer mecanismos de visibilidad o herramientas informativas que impacten la voluntad del agresor; 3. Un componente de restablecimiento, la capacidad del mecanismo para repararse a sí mismo después de un ataque cibernético
esta dinámica, dada la necesidad de responder a las demandas sociales mediante herramientas tecnológicas que hagan eficiente el trabajo del Estado. Esto hace que ambos ámbitos sean cada vez más interdependientes y cibedependientes, lo cual lleva a la necesidad de que exista un trabajo articulado contra las amenazas digitales. Sobre esta materia, Goodman13 sostiene que: Es evidente que las instituciones gubernamentales actuales no poseen el monopolio
A estas medidas, se debe añadir el factor educativo, ya
de las respuestas frente a muchos problemas
que el agresor podría querer realizar un ataque al eslabón
que acechan nuestro mundo, pero sí pueden
más débil de la barrera de la ciberdefensa: el usuario.
desempeñar un papel relevante como con-
Son ampliamente conocidas las consecuencias de un
ciliadoras, tendiendo puentes de diálogo entre
uso desprevenido de las herramientas virtuales, dada las
los sectores público y privado como medio
potenciales amenazas que esto entraña para cualquier
para hallar soluciones a algunos de los retos
usuario del ciberespacio. Las técnicas de ingeniería
más notables.
social, como mecanismo para realizar ciberataques o cometer ciberdelitos, son una preocupación contante
Una vez analizados estos elementos esenciales,
para entidades públicas y privadas, y una constante
debemos evaluar las acciones del Estado colombiano
fuente de aprendizaje para los agentes generadores
en términos de seguridad digital. Desde 2016, Colombia
de
ciberamenazas.12
cuenta con una directriz elaborada por el Departamento Nacional de Planeación dnp, el documento conpes
Para construir una red robusta que impida, elimine
3854, que determina la política nacional de seguridad
o disuada cualquier amenaza en el ciberespacio se
digital. En materia de impenetrabilidad, el documento
requiere de una óptima y continua integración público-
establece la importancia de la gestión de riesgos y de
privada. El sistema financiero y el empresarial se
la responsabilidad compartida entre entidades del alto
encuentran cada vez más inmersos en el mundo digital.
gobierno para evitar la intrusión de posibles agresores
Todas las transacciones, operaciones de intercambio
a la seguridad cibernética nacional como los descritos
de información, creación de bases de datos y trabajo
anteriormente. El enfoque de ciberseguridad en
colectivo en la nube, generan una incursión creciente
Colombia se basa en la prevención, la gestión de riesgos
del sector privado en el ciberespacio. De igual manera,
y la búsqueda de posibles actores que amenacen el
las instituciones públicas se encuentran inmersas en
espacio digital del país.
12 Mitnick, K. & Simon, W. (2001). The art of deception: Contro-
lling the human element of security.
13 Goodman, op.cit., p.582.
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 27
En
términos
de
visibilidad
y
restablecimiento,
Colombia cuenta con una infraestructura tecnológica bastante robusta. Dos ejemplos de ello son, por un lado, el llamado Grupo de Respuesta a Emergencias Cibernéticas de Colombia colcert. Este centro para la gestión de contingencias o siniestros digitales son fundamentales para contrarrestar las ciberamenazas nacionales, ya que está en constante monitoreo de las posibles fuentes de inseguridad digital. Según el Observatorio de la ciberseguridad en América Latina y el Caribe de la oea (2016), estas iniciativas contribuyen sin lugar a dudas a la seguridad digital; para ningún atacante será fácil superar esta barrera. Adicionalmente, para la lucha contra el cibercrimen y el ciberterrorismo, dentro de la Policía Nacional de Colombia se creó el Centro Cibernético Policial (ccp) de la Dirección de Investigación Criminal e Interpol,14 entidad que tiene cargo la persecución de los delitos informáticos y de las organizaciones criminales asociadas. Dada la calidad de su capital humano y uso de tecnología de punta, el ccp se constituye en una herramienta de reacción y disuasión frente a las amenazas cibernéticas. En materia educativa, el Ministerio de las Tecnologías de la Información y las Comunicaciones (mintic) desarrolla estrategias como ecosistema digital y ofrece servicios y guías para los y las ciudadanas, con el fin de que hagan un mejor uso de las tecnologías de la información. El ccp también proyecta avisos educativos en su página
web, para concientizar sobre las amenazas cibernéticas.
Lanzamiento de la Política Nacional de Seguridad Digital (documento CONPES 3854); en http://www.mintic.gov.co/ portal/604/w3-article-15033.html
han construido puentes de comunicación y alianzas estratégicas. La integración del sector público con
En lo que tiene que ver con la interacción entre el sector
Asobancaria, para asuntos financieros, o la Cámara
público y el privado en asuntos de ciberseguridad, se
Colombiana de Informática y Telecomunicaciones (CCIT), para el gremio de los servicios informáticos,
14 Conocida como dijin, antiguas siglas de Dirección de
Policía Judicial e Inteligencia.
demuestran el interés por la construcción de redes de apoyo público-privadas contra las ciberamenazas.
28 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017
ASPECTOS A MEJORAR Y DESAFÍOS FUTUROS
protocolos más ágiles de intercambio de información y de estudios prospectivos sobre el cibercrimen. Dada la alta capacidad de aprendizaje en innovación criminal
La infraestructura tecnológica e institucional que se
del crimen organizado colombiano,16 esto resulta
ha construido en Colombia tiene claro el objetivo de la
fundamental para la lucha contra las ciberamenazas en
ciberseguridad. No obstante, como todo sistema de
Colombia.
seguridad, es susceptible a ser mejorado y optimizado, lo cual resumiremos en dos grandes aspectos.
CONCLUSIÓN
Primero, se debe hacer una revisión constante de la
El volcamiento de la sociedad y del mundo al
regulación en materia tecnológica para el ciberespacio.
ciberespacio, conlleva a que las amenazas tradicionales
Es común que las leyes y el derecho tarden en cambiar
migren sus actividades al mundo digital, se valgan de
y adaptarse al desarrollo tecnológico, que, por su
las nuevas tecnologías o que se creen nuevas formas
naturaleza, evoluciona de manera ágil y se transforma
de inseguridad. Para Colombia, el ciberterrorismo, junto
constantemente. Por ello, el Estado colombiano debe
con el crimen organizado tradicional con incursión
mejorar sus prácticas de vigilancia tecnológica y
en el ciberespacio, el cibercrimen organizado, y la
prepararse para adaptar su capacidad regulatoria
posibilidad de una guerra híbrida de carácter digital,
antes de que los fenómenos se den, no cuando los
representa sus mayores desafíos en seguridad digital.
problemas ya se hayan desatado. Al respecto el informe
Al respecto, el Estado colombiano ha consolidado
de ciberseguridad elaborado por la oea en 2016
estrategias e instituciones que le permiten contrarrestar
establece:15
las ciberamenazas a través de la disuasión, negación de acceso, gestión de riesgos y emergencias, y
Colombia enmendó el Código Penal en 2009 mediante
la articulación público privada. Sin embargo, el
la Ley 1273 y el Código de Procedimiento Penal en 2011
ambiente tecnológico evoluciona con gran rapidez,
mediante la Ley 1453. Por lo anterior la ley sustantiva
por lo que una adecuada gobernabilidad digital del
parece estar en amplia armonía con los estándares
Estado colombiano requiere de ágiles adaptaciones
internacionales, es decir, con el Convenio de Budapest.
regulatorias y conocimiento anticipado de la mutación
Disposiciones de derecho procesal más específicas
de las ciberamenazas.
pueden ser necesarias, incluyendo las enfocadas a la rápida conservación de datos. Segundo,
el
Estado
colombiano,
16 De León, I. (2014). Aprendizaje Criminal en Colombia:
a
través
de
instituciones como la Fiscalía General de la Nación y el Centro Cibernético Policial, debe desarrollar 15 Organización de Estados Americanos (2016). Ciberseguri-
dad ¿Estamos preparados en América Latina y el Caribe? Informe de ciberseguridad 2016. Observatorio de Ciberseguridad de América Latina y el Caribe, p.21.
Un análisis de las organizaciones Bogotá: Ediciones de la U.
narcotraficantes.
Ilustració
n: Oscar
Danilo Q
uezada
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 29
Ventana Global
Ciberseguridad y las operaciones de negocios: ocho razones a considerar* Este análisis se centra en la atención y respuesta que dan las organizaciones a la multitud de amenazas cibernéticas, que para algunas aún no representa una prioridad. El error más común de toda organización es relegar la función de ciberseguridad a un departamento de TI con escasos recursos y con pocos fondos.
L
A hiperconectividad de la economía digital es un hecho ineludible de la sociedad moderna. Una institución financiera sin presencia en línea o con una estrategia omnidireccional dejará de ser
competitiva. Las universidades, ya sean públicas o privadas, deben desarrollar y evolucionar continuamente sus capacidades de aprendizaje en línea si es que quieren seguir siendo relevantes. Los minoristas en línea están rápidamente superando a sus contrapartes de “ladrillo y mortero” y haciéndolos irrelevantes. Otro ejemplo de esta evolución son las agencias de viaje tradicional, que
niel harper
en gran parte han quedado relegadas a la condición de dinosaurios ante la era de los “agregadores” de búsqueda de viajes en línea y portales de reserva.
* Traducido del inglés por Félix Maradiaga, director ejecutivo del ieepp.
30 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017
Un ecosistema de pagos en línea dominado
defensa donde un departamento de Tecnologías de
principalmente por las principales redes de tarjetas y
la Información (ti) gestiona los riesgos cibernéticos,
procesadores ahora incluye sistemas como Apple Pay,
operacional y de cumplimiento. Estos departamentos
Google Wallet y otros. Cuando añadimos la Internet de
de ti se especializan en la gestión de riesgos
(IoT)1,
la robótica y la inteligencia artificial
—incluido el cibernético— y la función de auditoría
a todos estos cambios, vemos que la sociedad
interna proporciona las garantías de que los riesgos
en red se ha convertido en algo que simplemente no
cibernéticos están siendo gestionados eficazmente.
podemos ignorar.
Este método requiere recursos intensivos y exige
las cosas (AI)2
personal altamente especializado y costoso. En este contexto de ubicuidad de la tecnología, uno de los aspectos más preocupantes, es la multitud de
Segundo, las compañías con recursos más limitados
amenazas cibernéticas con las cuales las organizacio-
y con poco personal calificado para atender de forma
nes y los individuos tienen que lidiar. Si bien los riesgos
cotidiana ante las posibles amenazas de un ciber-
para las personas son relativamente altos en lo que se
ataque. Muchas de estas organizaciones ni siquiera se
refiere a la invasión de la privacidad, el robo de iden-
enteran de que sus sistemas y redes están en peligro.
tidad y la pérdida financiera, los ataques cibernéticos
Y terceto, las pequeñas y medianas empresas (pymes)
también pueden tener un impacto especialmente crítico
que básicamente esconden la cabeza en la arena como
en las empresas. Dependiendo de las realidades del
el avestruz y prefieren creer que al ser demasiado
mercado y de la jurisdicción, las consecuencias pueden
pequeñas son insignificantes como para ser el blanco
incluir fuertes sanciones regulatorias, caída de precios
de los ciberdelincuentes.
de las acciones, demandas o despidos masivos. El efecto en los balances financieros de las empresas
En realidad, lo más común es que los líderes
puede ser catastrófico.
empresariales en general no reconocen que la ciberseguridad ya no es el dominio exclusivo de las
En ese sentido, ¿cómo responden las empresas a estos
organizaciones o departamentos de ti. La estrategia
escenarios de amenazas en constante evolución? Las
de seguridad cibernética es ahora una estrategia de
estrategias resultantes se encuentran en algunas de
negocios, y la respuesta a las amenazas cibernéticas
las siguientes categorías. Primero, están las grandes
es responsabilidad de todo individuo que trabaja
organizaciones que emplean el método de 3 líneas de
o dirige una empresa. A continuación presentamos ocho razones por las cuales la ciberseguridad debe ser
1 La Internet de las cosas (en inglés, Internet of things,
abreviado IoT) es un concepto que se refiere a la interconexión digital de objetos cotidianos con la Internet.
2 La robótica es la rama de la ingeniería y de las ciencias de
la computación que se ocupa del diseño, construcción, operación, disposición estructural, manufactura y aplicación de los robots. La inteligencia artificial (AI, siglas en inglés), también llamada inteligencia computacional, es la inteligencia exhibida por máquinas.
parte inseparable de las operaciones de una empresa.
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 31
GOBIERNO CORPORATIVO En una encuesta de Goldsmiths de 2016, basada en las respuestas de 1,530 directores no ejecutivos y ejecutivos de nivel directivo en Estados Unidos, Reino
VENTAJA COMPETITIVA
Unido, Alemania, Japón y países nórdicos, el 90% de los encuestados admitieron no poder leer un informe
El
desarrollo
de
controles
de seguridad cibernética y no estar preparados para
internos robustos y efectivos para
responder a un ataque mayor.
protegerse contra los ataques cibernéticos es parte de las estrategias de liderazgo en
Aún más preocupante fue el hecho de que más del 40%
el mercado, fortalecimiento de la marca y diferenciación
de los ejecutivos no creen que la seguridad cibernética
entre productos y servicios.
o la protección de los datos de los clientes sea su responsabilidad. Esto denota la importancia de que
Por ejemplo, a medida que más empresas buscan
la ciberseguridad sea un tema que se discuta desde
la inteligencia artificial, IoT y la robótica para agilizar
las juntas directivas. Aún más, una mayor apropiación
los procesos y mejorar el rendimiento empresarial,
debería atribuirse a todos los niveles de personal para
garantizar que estas tecnologías sean seguras puede
los riesgos cibernéticos. La cultura de la ciberseguridad
aumentar los ingresos y mejorar los rendimientos.
es un esfuerzo colectivo que comienza en los estratos
Los accionistas no sólo deben esperar la excelencia
superiores de la organización y luego se extiende hacia
cibernética, sino que deben exigirla.
otros estratos.
CUMPLIMIENTO NORMATIVO Y LEGAL
GESTIÓN FINANCIERA
Ciertas industrias como la banca,
Existe una correlación directa entre
la salud y la energía, están sujetas
los eventos de riesgo relacionados
a pesadas cargas regulatorias.
con lo cibernético (por ejemplo:
Muchos de sus reglamentos incluyen requisitos
daños a la reputación, interrupción del negocio, multas,
relacionados con la privacidad, la protección de datos
etc.) y pérdidas financieras. La gravedad y el impacto de
y la seguridad de la red. Por ejemplo, en los Estados
estos riesgos se pueden mitigar integrando la estrategia
Unidos de América hay normas como hipaa, Gramm-
comercial con la estrategia de seguridad cibernética.
Leach-Bliley y fisma. La Unión Europea (UE) tiene la Directiva nis y el gdpr. Para hacer frente a los flujos
La importancia es aún más pronunciada dada la recesión
de datos transfronterizos entre la ue y los ee.uu.
económica mundial y la disminución de rendimientos
está el Escudo de Privacidad. Para cumplir con esta
que enfrentan varios negocios.
multitud de regulaciones, las capacidades cibernéticas y de gestión de riesgos deben estar integradas entre las organizaciones. Si no es así, la capacidad de las empresas para continuar operando estará en riesgo. Así de claro.
32 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017
SEGURIDAD PÚBLICA Un número cada vez mayor de empresas
están
suministrando
RESPONSABILIDAD SOCIAL DE LAS EMPRESAS
productos y servicios en las áreas de redes inteligentes, ciudades inteligentes, transporte
Existen numerosos beneficios para
público automatizado, instalaciones eléctricas, vehículos
los programas de Responsabilidad
autónomos, etc. La posesión de conocimientos
Social (rsc), que van desde el aumento de la lealtad
básicos en la alineación de la ciberseguridad y las
a la marca hasta la obtención y retención de inversionistas
operaciones comerciales fortalece a las organizaciones
para atraer y retener a empleados comprometidos
en sus respectivos entornos de mercado en términos
y productivos. La inversión en responsabilidad social
de seguridad. También hay distintas implicaciones
en áreas relacionadas con el ciberespacio, como la
para la seguridad nacional cuando pensamos en estas
protección en línea de los niños, la codificación segura
tecnologías en el contexto de amenazas potenciales
para las mujeres, las piraterías y la investigación
a la vida humana.
en ciberseguridad es un enfoque inteligente para consolidar la posición en el mercado. Como resultado, las empresas pueden promover una buena seguridad
DESARROLLO DE NEGOCIOS
como punto de venta de sus productos y servicios, crear oportunidades para los mejores talentos de ciberseguridad y aprovechar sus cadenas de suministro
En 2004, el mercado
específicas para crear confianza del consumidor.
global de ciberseguridad fue valorado en US$ 3.5 mil millones. En 2017, se estima que ese mercado equivale a US$ 120 mil millones. Pero este valor se basa principalmente en el número de productos y servicios entregados. Si bien existe un enorme potencial de crecimiento dentro del paradigma existente, existe una oportunidad económica masiva para fomentar un ecosistema comercial basado en la confianza en línea. Tomemos por ejemplo la creciente popularidad de las auditorías de confianza global y las ofertas de puntuación. Cada vez más organizaciones están desarrollando soluciones para combatir la proliferación de noticias falsas. En relación con el IoT, se están formando consorcios para llenar las brechas de seguridad en el diseño del producto, es decir, los mercados existentes pueden fortalecerse mediante la colaboración y la coordinación. Estos son sólo algunos ejemplos del mercado emergente de Trust-as-a-Service (TaaS).
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 33
FUSIONES Y ADQUISICIONES Las empresas deben reconocer la importancia de la debida diligencia
en
la
ciberseguridad en el proceso de fusiones
y adquisiciones. Debido a un bajo nivel de diligencia, varias corporaciones se han enterado de los principales incidentes cibernéticos después de haberse firmado un acuerdo de adquisición. Los problemas serios de ciberseguridad —relacionados con el cumplimiento de normativas, las brechas de datos, la mala arquitectura de seguridad o la ausencia de procesos de respuesta a incidentes— deben identificarse antes de finalizar las transacciones. En el caso de la adquisición de Yahoo! por parte de Verizon, la oferta final se redujo en casi US$ 400 millones debido a revelaciones sobre incidentes de ciberseguridad. Una encuesta de la nyse de 2016 indicó que más del 50% de los encuestados consideraban que las vulnerabilidades de ciberseguridad eran suficiente razón para cancelar una fusión o adquisición empresarial.
CONCLUSIONES Considerando
que
los
usuarios
finales
son
amenaza que buscan entrar en la red o escalar sus
generalmente considerados como los puntos más
privilegios para acceder a información confidencial.
débiles en las defensas cibernéticas, la lógica dicta que
De hecho, tanto los ejecutivos como los empleados
la ciberseguridad debe comenzar con el individuo. Cada
representan vectores con el mismo objetivo final: el
empleado debe estar comprometido e involucrado
compromiso de los sistemas internos y el acceso a los
en la defensa de la organización contra amenazas
datos críticos.
en línea. Son ellos quienes más a menudo acceden a las aplicaciones empresariales, redes y dispositivos,
Por lo tanto, el desarrollo de una estrategia eficaz
y sin duda servirán como la primera línea de protección
de seguridad cibernética debe implicar el estrecho
contra los hackers.
acoplamiento de las prácticas de seguridad con las operaciones comerciales para reforzar la postura
Los ejecutivos y los miembros de la junta directiva
general de seguridad de una organización. El error
pueden convertirse en blancos de ataques debido a
más común de toda organización, el paso en falso
su nivel de acceso a activos digitales clave. Debido a
más común —no sólo de las empresas— es relegar
la fortificación tradicional del perímetro de la red, los
la función de ciberseguridad a un departamento
trabajadores de línea son el foco de los agentes de
de ti con escasos recursos y con pocos fondos.
Imagen de uso libre: pixabay
Hacia una política de ciberseguridad que ponga a la privacidad, la soberanía tecnológica y la dignidad al centro Una crítica del manejo de la ciberseguridad en Centroamérica propone la creación y promoción de un marco general de ciberseguridad que respete los derechos humanos colocando a la privacidad al centro, que incremente la confianza de quienes se conectan por primera vez, y que transforme verdaderamente el acceso y el uso de la Internet en una herramienta de desarrollo y empoderamiento. renata ávila
Los gigantes tecnológicos aprovechan la complejidad de los ataques informáticos para expandir su negocio y su poder ante la pasividad de los gobiernos. —Evgeny Morozov
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 35
CIBERSEGURIDAD, PRIVACIDAD Y PRIVILEGIOS
de sus usuarios permaneciera disponible en línea, en su totalidad, por meses enteros. Los usuarios afectados, algunos con acceso limitado a electricidad,
Llevar la Internet a los pobres es también, de forma
otros sin saber leer o escribir, ignoraban que los
directa o indirecta, contarlos, computarlos, monitorearlos
datos que les fueron requeridos para optar al servicio
y controlarlos; la seguridad o privacidad de sus
—documentos
conexiones es un tema del que poco se discute y nada
digitales y coordenadas exactas de sus hogares—
se hace. Las políticas públicas encaminadas a conectar
no habían sido protegidos. Su información personal
a los pobres, privilegian la conectividad y la adopción
permaneció disponible para quien quisiera utilizarlos,
de tecnologías, sin invertir recursos en capacitación
incluyendo el potencial abuso para crear identidades
y sin adecuar el marco normativo a los nuevos
falsas. Lamentablemente, éste no es un incidente
retos que la Internet y las nuevas tecnologías para la
aislado en la región; el número de filtraciones de bases
comunicación, información y comercio representan
de datos casi se ha duplicado en el último año. Muchos
para las poblaciones marginales.
centroamericanos son particularmente vulnerables y no
de
identidad,
fotografías,
huellas
cuentan con la capacidad y la educación para un control Desde lectores biométricos para determinar la edad migrantes,1
adecuado de sus datos personales, estando muchos
hasta transferencias sociales
de ellos en desconocimiento de las consecuencias y el
condicionadas, monitoreadas por medio de tarjetas
impacto que la colección de los mismos puede tener en
electrónicas que vigilan los hábitos de consumo, existe
el ejercicio de sus derechos.
de niños
una tendencia global a experimentar con herramientas y nuevas tecnologías en comunidades marginales
Incidentes como éstos son el resultado de acciones de
y vulnerables, supuestamente para su propio bien.
corto plazo sin adecuado examen de las consecuencias
En la región centroamericana esto ocurre en un vacío: las
que la adopción de tecnologías tiene en aquellos más
buenas prácticas de privacidad y seguridad, así como
vulnerables. Es además una negligencia compartida
los escuálidos marcos jurídicos de protección regionales,
entre
en la práctica, se concentran en el sector financiero,
gobiernos y el sector privado. Todos los sectores deben
mientras que el sector público y social se quedan atrás
formular soluciones a estos problemas, dentro de un
en adopción de estándares mínimos de protección.
marco general de ciberseguridad que:
Un ejemplo de esto se reportó a finales de 2016,2 cuando Kingo, una empresa guatemalteca que ofrece servicios prepago de energía eléctrica en comunidades pobres y remotas, permitió que una base de datos 1 Peirano, Marta. “Vigilando a los refugiados con sus datos biométricos”; en http://www.eldiario.es/cultura/privacidad/ Vigilando-refugiados-datos-biometricos_0_576043056.html 2 Whittakker, Zack. “‘Startup’ en Guatemala dejó expuesta por meses la información de miles de clientes”; en https:// www.cnet.com/es/noticias/guatemala-kingo-base-de-datos/
las
organizaciones
no
gubernamentales,
1. Respete los derechos humanos colocando a la privacidad al centro; 2. Incremente la confianza de aquellos que se conectan por primera vez; 3. Transforme verdaderamente el acceso y el uso de la Internet y de las aplicaciones en una herramienta de desarrollo y empoderamiento.
36 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017
Si las personas no confían en la tecnología, y no tienen expectativas de disfrutar un nivel razonable de privacidad, estarán menos dispuestas a adoptar las nuevas tecnologías para actividades cotidianas como pagos, comunicaciones, coordinación política, manejo de sus finanzas y acceso a servicios públicos. Esto repercute en el crecimiento del comercio electrónico, la educación y la telesalud en línea, la banca y la provisión de otros servicios a los ciudadanos. Es más, los negocios y las organizaciones sociales que operan en países de riesgo —tanto por razones de seguridad ciudadana como de opresión política— tienen
http://www.geekgt.com/2016/08/30/datos-personalesde-miles-de-guatemaltecos-han-sido-expuestos-en-la-web/
la obligación ética de asegurar que sus plataformas y herramientas mantengan estándares altos de seguridad
respecto de la privacidad y ciberseguridad de sus
y que los datos personales que recolectan no estén
ciudadanos, pero es un tema generalmente ausente de
siendo utilizados por colusión, por omisión o para asistir
las agendas políticas. En algunos casos, esto se da en
a la perpetración de violaciones a los derechos humanos
gobiernos desbordados con otros retos y prioridades,
autoritarios.3
en otros países simplemente no existe el marco legal
Una política de ciberseguridad integral no puede estar
que permita proteger a los ciudadanos, o dichas leyes
alejada de las personas y los sectores más vulnerables
sufren de vacíos o están tan desactualizadas que ya no
y tampoco puede aislarse de la política, sino que debe
son efectivas.
o contribuir a la consolidación de estados
combinarse con una cultura robusta de transparencia, auditorías,
participación
y
educación
ciudadana
Existen también Estados represores que atacan
y respeto a la privacidad y a los datos personales
deliberadamente la privacidad y la ciberseguridad de
de todos.
los ciudadanos para espiarlos y controlarlos, infectando los ordenadores, produciendo una Internet insegura
EL ROL DE LOS GOBIERNOS Y EL DE LAS EMPRESAS
y vulnerable, ya que las llamadas “puertas traseras” (backdoors) y debilidades de los sistemas —aunque configuradas para espiar a un reducido grupo— afectan
El Estado, a través de cada uno de sus poderes, es el
a todos, como el reciente incidente de WannaCry.4
responsable por la seguridad dentro de su territorio. La
Esta infección cibernética afectó los sistemas que no
transición digital no transforma dicha obligación y cada
habían implementado las actualizaciones de seguridad
país tiene competencias y atribuciones específicas 3 Daniel Hernández. “Mexico Is Hacking Team’s Biggest
Paying Client–By Far” (México es, por mucho, el cliente más lucrativo de Hacking Team); en https://news.vice.com/ article/mexico-is-hacking-teams-biggest-paying-client-by-far
4 Una infección cibernética que afectó el 12 de mayo de
2017 a las empresas españolas Telefónica, Iberdrola y Gas Natural, entre otras, así como al servicio de salud británico; en https://es.wikipedia.org/wiki/WannaCry
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 37
los sistemas de gobierno, aun siendo custodios de información sensible, como bases de datos biométricas, información médica, información energética, e incluso los sistemas de seguridad del sistema judicial y penitenciario. El presidente de Estados Unidos de América, Donald Trump, ha firmado una orden ejecutiva7 que ordena que la privacidad de quienes no son ciudadanos americanos o residentes permanentes no se proteja de la misma forma como la de sus nacionales. Si se https://www.cnet.com/es/noticias/guatemala-kingo-basede-datos/
considera que la mayoría de tecnologías y servicios en la nube utilizados por países centroamericanos es precisamente tecnología de Estados Unidos, nos
del sistema operativo Microsoft
Windows,5
cifrando
encontramos en un escenario donde los Estados
los datos y pidiendo un rescate por los mismos a los
contratan productos y servicios que no brindan altos
usuarios afectados.
estándares de protección de privacidad y, por tanto, no cumplen con los niveles adecuados de ciberseguridad.
El ejemplo de WannaCry también nos muestra como
Por conveniencia, precio o falta de opciones, el sector
los Estados dependen cada vez más de monopolios de
público continúa empleando tecnologías y usando
software y hardware. La provisión de servicios de los
proveedores
que depende la infraestructura crítica de un país se ha
secreta que les obligue a instalar mecanismos de
delegado casi enteramente a un pequeño y poderoso
intercepción de comunicaciones o a facilitar el acceso
grupo de transnacionales con un récord probado de
a mecanismos y sistemas de gobiernos a la información
colusión con terceros Estados, que instalan puertas
de sus ciudadanos, sin poder ni siquiera revelarlo.8 Las
traseras o dejan vulnerabilidades deliberadas en sus
opciones son pocas y presentan problemas similares.
productos y
servicios.6
susceptibles
de
recibir
una
orden
La mayoría de los Estados
centroamericanos carecen de una política orientada
A este complejo problema de soberanía y autonomía,
hacia la soberanía tecnológica y la ciberseguridad de
se suma el de la austeridad. Muchos de los recortes
5 Microsoft es uno de los principales proveedores de software
7 The White House. Office of the Press Secretary. Executive
6 Véase El Software de Microsoft es Malware. Fundación
8 Estos documentos se conocen como “Cartas de Seguridad
a los gobiernos centroamericanos, y, como lo ha documentado extensamente la Fundación por el Software Libre (Free Software Foundation), sus productos y servicios presentan cualidades y fallos incompatibles con una política integral de ciberseguridad; en https://www.gnu.org/proprietary/ malware-microsoft.es.html por el Software Libre; en https://www.gnu.org/proprietary/ malware-microsoft.es.html
Order: Enhancing Public Safety in the Interior of the United States (Casa Blanca. Oficina del Secretario de Prensa. Orden Ejecutiva para fortalecer la seguridad pública dentro de los Estados Unidos); en https://www.whitehouse.gov/ the-press-office/2017/01/25/presidential-executive-orderenhancing-public-safety-interior-united
Nacional” (National Security Letters), su emisión se autorizó como parte de las reformas introducidas por el Acta Patriota; en https://www.eff.org/issues/national-security-letters
38 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017
una violación a sus derechos. La falta de una política de Estado y de un compromiso multisectorial que permita adquirir, auditar y supervisar los productos y servicios de los que depende la ciberseguridad, afecta a todos y repercute negativamente en todas las esferas. A esto se añade el precario control sobre los comercializadores de datos personales agregados (data brokers), que comercian con bases de datos sensibles en una región donde los secuestros económicos o la represión a periodistas y líderes políticos no es extraña. Además, siendo una de las regiones que menos comercia de forma electrónica, las compañías centroamericanas están en una situación de riesgo. Gráfica informativa sobre el ransomware, Estado de Tabasco, México; en http://www.fiscaliatabasco.gob.mx/
En el pasado la región centroamericana cometió el craso error de delegar la seguridad ciudadana al sector privado y perdió el control y la auditoría de la misma. Esto llevó,
a las partidas presupuestarias de los gobiernos
en varios de los países de la región, a una espiral de
nacionales y locales afectan a menudo la renovación
violencia, corrupción y debilitamiento estatal, así como
de licencias, provocando vulnerabilidades adicionales
a la precarización de la seguridad de las ciudadanas
cuando no existe presupuesto suficiente para renovarlas.
y ciudadanos que no podían acceder a contratar
Los sistemas críticos quedan a merced de ciberataques
servicios privados de seguridad. En el ciberespacio
globales, lo que debería ser un tema de debate centrado
no debemos de repetir dicho error; la región debe
en el diseño de políticas públicas que rompan con este
adoptar una política de ciberseguridad que sea pública
círculo de dependencia tecnológica y que abarque
y para todos, que ponga la seguridad y privacidad de las
no solo un examen de las bases de las licitaciones
y los ciudadanos al centro de este esfuerzo y que
estatales para la adquisición de dichos servicios
respete los mandatos constitucionales de cada país.
y productos, asegurándose que el código sea abierto y verificable, que carezca de puertas traseras y que las entidades públicas puedan aplicar las actualizaciones
PASOS HACIA UNA POLÍTICA DE CIBERSEGURIDAD INTEGRAL
de los sistemas operativos con recursos internos y con su propio personal técnico.
Primero —complementario al Convenio de Budapest sobre la Ciberdelincuencia,9 cuya adopción se
El escenario no es distinto en el sector privado, que
está promoviendo en la región— se debería adoptar
muchas veces ofrece servicios públicos y que, de la
la Convención sobre Privacidad del Consejo de
misma forma, carece de opciones locales y se ve afectado por normas menos favorables en temas de privacidad, seguridad y jurisdicción, en cuanto quiera hacer efectiva
9 Véase https://www.coe.int/en/web/cybercrime/the-
budapest-convention; y https://rm.coe.int/16802fa41c
Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 39
Propagación del ataque de Wannacry; en http://www.elmundo.es/economia/empresas/2017/05/14/591755c846163f954a8b45e9.html
Europa10 y su protocolo adicional. Este instrumento
técnicos y desarrolladores locales que puedan producir
puede ser adoptado por los países centroamericanos
soluciones tecnológicas críticas y locales, para garantía
para contar con un estándar mínimo regional. Los
de la soberanía tecnológica y la seguridad regional.
esfuerzos por la ciberseguridad serán inútiles si no
Especial atención y estricta regulación son necesarias
colocan a la privacidad en el centro de sus acciones.
para aquellos que implementan soluciones tecnológicas orientadas a los sectores más vulnerables de la región.
Segundo,
se
deberían
establecer
mecanismos
regionales de auditoría y estándares técnicos para los
La Internet ha conectado al mundo, borrando fronteras,
proveedores de servicios cibernéticos utilizados por
por lo que también la ciberseguridad no debería
entidades del Estado, con estrecha cooperación con el
tener fronteras. Hoy, la ciberseguridad es un privilegio
sector privado y la academia, y también para desarrollar
únicamente de aquellos que pueden pagarla o que
planes de prevención y de contingencia que se ajusten
tienen la suerte de vivir en jurisdicciones con fuertes
a las realidades de cada país.
salvaguardias a sus derechos. Debemos trabajar con la sociedad civil, la academia, las organizaciones de
Tercero, se debería proponer una reforma educativa
apoyo a consumidores, los centros de pensamiento,
con acciones orientadas a la educación de sectores
la comunidad técnica y los encargados en el gobierno
populares que se conectan por primera vez a la Internet,
para desarrollar y afinar las mejores prácticas y así
así como un programa de inversión en formación de
garantizar que todas las personas, independientemente de su ubicación y de sus circunstancias económicas,
10 Convenio nº 108 del Consejo de Europa para la protección
de las personas con respecto al tratamiento automático de datos de carácter personal, 1981.
gocen de las mismas condiciones de privacidad y ciberseguridad.
Ediciones anteriores
SyS 14
Sintetiza alguna de las realidades que los migrantes padecen en su tránsito o estadía en la búsqueda de mejores condiciones de vida • La peligrosa trayectoria de la niñez migrante • La impercentible realidad de refugiados y migrantes • La mujer en las migraciones y otros temas…
SyS 13
Analiza algunos de los procesos de globalización y la geopolítica y el nuevo escenario que se gesta en Latinoamérica • Las relaciones entre Centroamérica y Taiwán • Rusia en el nuevo escenario internacional • Desarrollo transfronterizo e integración en Centroamérica y otros temas…
SyS 12
Presenta el nuevo escenario de las movilizaciones y los movimientos sociales que se desarrollan en Centroamérica • Derechos humanos: migración y trata de personas • Nuevos ciclos de movilización social en C.A. • Situación de los movimientos indígenas en C.A. y otros temas…
observatoriodeviolencias.net El observatorio de violencias es una plataforma de incidencia y acción en la que convergen la generación de conocimientos, la incidencia, el fortalecimiento de capacidades y la promoción de una opinión pública crítica. Observatorio
Conflictos sociales
Actividades
Publicaciones
Explore nuestro mapa interactivo sobre violencia de género, por región, año, tipo de acción, tipología o tipo penal edades, etc.
Vea nuestro mapa sobre el nivel de intensidad y la ubicación de sitios de conflicto social en Nicaragua.
Lea sobre el Encuentro Nacional de Observatorios y sobre las campañas de prevención del delito de trata de personas, la explotación sexual infantil y la prevención de la violencia hacia las mujeres.
Descargue copias de nuestra revista Seguridad y Sociedad (desde diciembre de 2011), así como informes de gestión de la seguridad, encuestas de percepciones de seguridad y otros temas.
Seguridad y Sociedad Año 7, nº 15 Agosto 2017
Esta publicación del Instituto de Estudios Estratégicos y Políticas Públicas se realizó gracias al apoyo de