Ciberseguridad desde el Sur Global: breve panorama del estado de Uruguay

OPINIÓN. En tres meses se ha producido la transformación digital esperada para los próximos tres años. En ese sentido, sostener que la COVID19 ha acelerado procesos pre-existentes, resulta evidente en el ámbito de la ciberseguridad.


A partir de la incidencia de la pandemia por COVID-19, la trascendencia de las tecnologías digitales a todo nivel ha quedado en clara evidencia. Se han instalado prácticas como la del teletrabajo y el estudio a distancia. Se han extendido otras actividades on line como el comercio digital, los trámites gubernamentales, las operaciones financieras, el entretenimiento, y un sinnúmero de servicios incluido el de la salud. La existencia de una “sociedad virtual” o “digital” es innegable. En ella la internet -al decir de Manuel Castells-, constituye el lugar donde el tejido social se ha recompuesto, y en el que existe “una sociabilidad real y verdaderamente importante”.


¿Importa la ciberseguridad en el Sur Global?

En 2004, la Organización de Estados Americanos (OEA) adoptó la Estrategia Interamericana de Seguridad Cibernética, transformándose en el primer organismo internacional en patrocinar una estrategia en la materia. A partir de ese momento, se impulsaron múltiples iniciativas en ciber seguridadpara los Estados Miembros.

La evolución de la seguridad cibernética en América Latina y el Caribe (ALC) muestra distintas realidades, de esta manera se acompasa lo que se da a nivel político, económico y social, la región no puede analizarse o interpretarse de una manera uniforme. Ser un continente tan desigual se proyecta en el ámbito de la seguridad en sentido amplio, y en particular en la ciberseguridad.

En los últimos días se conoció el Reporte 2020 de la OEA y el Banco Interamericano de Desarrollo (BID) “Ciberseguridad: riesgos, avances y el camino a seguir en América Latina y el Caribe”. Este documento recupera la evolución en ciberseguridad de los Estados Miembros de la OEA desde 2016, a partir de la publicación del informe “¿Estamos preparados en América Latina y el Caribe?”.

El Reporte 2020 OEA/BID asegura que en tres meses se ha producido la transformación digital esperada para los próximos tres años. En ese sentido, sostener que la COVID19 ha acelerado procesos preexistentes, resulta evidente en el ámbito de la ciberseguridad. La pandemia ha actuado como una especie de catalizador, que no solo pondrá en evidencia asimetrías y desigualdades instaladas, sino que las profundizará. Hoy la seguridad cibernética es trascendente a nivel de seguridad humana, en tanto es una dimensión transversal al resto, que involucra lo público y lo privado y permea tanto la vida on line, como en las interacciones sociales propias de la vida off line.


¿Hay avances en ciberseguridad?

Tal como se hizo en 2016, en la edición 2020 se utiliza el Modelo de Madurez de la Capacidad de Ciberseguridad para las Naciones (CMM), diseñado por el Centro Global de Capacidad en Seguridad Cibernética de la Universidad de Oxford. Tiene por objetivo medir el crecimiento y desarrollo de capacidades en ciberseguridad de los Estados Miembros de la OEA.

En líneas generales, puede decirse que ALC ha mejorado sus capacidades de ciberseguridad en relación al 2016. Se destaca que de los 32 Estados analizados, aumentaron a 12 los que cuentan con una estrategia nacional de ciberseguridad, frente a los 5 identificados inicialmente. De todas formas, si bien 20 Estados cuentan con algún grupo de respuesta a incidentes (CERT oCSIRT), solo 10 países tienen un organismo a nivel gubernamental responsable de la gestión de la ciberseguridad, y apenas 7 Estados poseen algún plan de protección de su infraestructura crítica.

El reporte afirma que “la ciberseguridad no ha ganado presencia en la agenda política de la región con la urgencia que se esperaría”. Esto resulta especialmente llamativo, ya que el mismo documento asegura que en la región los ciberataques han ido en aumento, sobre todo hacía instituciones financieras. En función de los datos del Informe de Riesgos Globales 2020 del Foro Económico Mundial, se asegura que los ciberataques constituyen la tercera mayor preocupación, estimando en 6 billones de dólares los costos financieros para el 2021, a causa de los daños producidos por delitos cibernéticos. Otra consecuencia de estas acciones para los usuarios de internet es el deterioro en su confianza en la economía digital.

En cuanto a capacidades de ciberseguridad, la identificación de niveles de madurez en similares en todas las dimensiones analizadas en el CMM, indicarían que los Estados desarrollan una perspectiva integral en seguridad cibernética. A pesar de esto, el nivel de madurez promedio está entre la etapa inicial -sin madurez o en estado embrionario-, y la etapa formativa, donde se identifican algunos avances generalmente desorganizados. Sin embargo, el Cono Sur se destaca con niveles más altos de madurez ubicados entre la etapa formativa y la etapa consolidada, que es aquella en la que se avanza en la toma de decisiones y existen indicadores en funcionamiento, aunque no es clara la asignación de recursos.

El Reporte 2020 OEA/BID confirma que los Estados que han progresado en el desarrollo de una estrategia nacional de ciberseguridad son los que han tenido mayores logros en todos los ámbitos, y los que han potenciado una “mentalidad de ciberseguridad” a nivel interno de gobierno y de los usuarios de internet. En el mismo sentido, los usuarios muestran niveles de confianza más altos en el uso de internet en los países que presentan avances en una legislación específica.

En lo que respecta a educación y capacitación en ciberseguridad, no se han registrado resultados destacados. Se identifican carencias de profesionales calificados en ciberseguridad, y se alerta sobre los efectos negativos que podrán recaer sobre las capacidades de otras áreas como resultado de las insuficiencias en habilidades en seguridad cibernética.


¿Qué ha pasado en Uruguay?

En febrero de 2018 Uruguay se convirtió en el primer Estado suramericano parte del Digital 9 (D9), un foro conformado por los gobiernos más digitalizados del mundo.  Uruguay es uno de los Estados Miembros de la OEA que no solo ha avanzado de manera integral en todas las dimensiones identificadas por el CMM, sino que se ha destacado en los últimos años por haber alcanzado nivel de madurez estratégico en capacitación profesional. Esto implica que, en el proceso de toma de decisiones, se han identificado indicadores en relación a su importancia para el Estado y en función de sus particularidades.

Existe en Uruguay un marco de ciberseguridad (MCU) que se ajusta a estándares internacionales -su última versión 4.1 es de noviembre de 2019-, aunque según con el Reporte 2020 OEA/BID no es una estrategia nacional de ciberseguridad. En lo que refiere a la dimensión “Marco legal y regulatorio”, el documento rescata la existencia de algunos proyectos de ley sobre delito cibernético. En ese sentido se resalta la existencia de la Ley no. 18.331 de Protección de Datos Personales, aplicable a los ámbitos público y privado. Como la mayor parte de los Estados Miembros de OEA, Uruguay no ha adherido al Convenio sobre Cibercrimen del Consejo de Europa -conocido como el Convenio de Budapest-, que a través de la cooperación en materia de ciberseguridad, busca promover una política penal común contra el ciberdelito ofreciendo un marco legal internacional integral. Este convenio es una herramienta muy valiosa para la construcción de legislación nacional, especialmente para Uruguay que desde hace varios años mantiene sin avances el proyecto de Ley de Ciberdelincuencia y Delitos Informáticos.

Es de destacar que Uruguay muestra avances en la mayoría de las dimensiones del CMM con respecto al estudio del 2016, siendo el país de madurez más alta en 4 de 5 dimensiones. Solo la dimensión de “Formación, Capacitación y Habilidades de Seguridad Cibernética” no registró cambios, sin embargo sus indicadores se mantienen en una madurez intermedia.

Bajo la órbita de la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (AGESIC) funciona el CSIRT nacional -CERTuy-, miembro de la red CSIRT Américas. Entre sus cometidos y potestades precisados por el Decreto 451/009, están las de adoptar medidas de seguridad para proteger los activos críticos de información del Estado, los que se definen en el mismo instrumento normativo. El D-CSIRT a cargo del Ministerio de Defensa, es el ente a cargo dela protección de la “infraestructura nacional crítica”, de la que aún se carece de definición nacional.


En un mundo interconectado...

La apuesta al desarrollo de capacidades cibernéticas es un pilar indispensable. Es esencial asumir que la ciberseguridad es un tema global y dinámico que no conoce de fronteras, por tanto, las respuestas más efectivas no serán individuales. En tiempos de profundas transformaciones tecnológicas seguir los ejemplos de prácticas con resultados eficaces, como las que han avanzado en desarrollo normativo, no solo allana el camino, sino que optimiza recursos. La ausencia de una legislación específica para los delitos cibernéticos hoy implica un vacío legal muy cuestionable.

En virtud del compromiso de Uruguay en la adopción de medidas y estrategias de ciberseguridad determinadas por la OEA, puede interpretarse que el recorrido en la construcción de una política pública específica se ha iniciado. Sin embargo, es imprescindible el desarrollo e implementación de una estrategia nacional de ciberseguridad.

La seguridad cibernética como tema nacional e internacional que involucra a múltiples actores requiere de colaboración pública y privada regulada, en un marco de derecho. Este contexto exige de cooperación multinivel, así como abordaje transdisciplinario e integral a fin de obtener mayores y mejores oportunidades en la construcción de estrategias efectivas. Desde el Estado se debe apuntar a la implementación de políticas públicas eficientes, lo que resulta complejo por la transversalidad de la ciberseguridad y la consecuente securitización de múltiples áreas. En ese escenario es de orden contemplar dinámicas y acciones que exceden al resguardo de la infraestructura crítica, como son la salvaguarda de los derechos humanos y la garantía del libre ejercicio de las libertades, entre otros atributos propios del rol soberano del Estado.

 


REFERENCIAS

BID-OEA (2016). Ciberseguridad ¿Estamos preparados en América Latina y el Caribe? Informe Ciberseguridad 2016. Disponible en: http://observatoriociberseguridad.com/graph/countries//selected//0/dimensions/1-2-3-4-5

BID-OEA (2020). Ciberseguridad. Riesgos, avances y el camino a seguir en América Latina y el Caribe. Disponible en: https://publications.iadb.org/publications/spanish/document/Reporte-Ciberseguridad-2020-riesgos-avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf

Bilbao,H. Manuel Castells La sociabilidad real se da hoy en Internet. Ñ Revista Cultura. Buenos Aires, 02 ago. 2013. Disponible en: http://www.revistaenie.clarin.com/ideas/Manuel-Castells-sociabilidad-real-hoy-Internet_0_967703232.html

Diarios Argentinos