Especialistas en seguridad informática critican la gestión de Cambiemos en el área, pensada desde una lógica de control social, punitivista, y de adquisición de equipamiento en teoría sofisticado. Los avances sobre la privacidad y la poca prevención contra ataques informáticos reales.
El pasado martes 10 de septiembre, en el salón de
conferencias de la Universidad Católica Argentina, el agente secreto retirado
Robert Villanueva disertó sobre las herramientas más eficaces de lucha contra
el ciberdelito en el marco de un taller organizado por el Ministerio de
Seguridad de la Nación. Así, pagándole un cachet en dólares a un exespía
estadounidense, el gobierno se ocupa de proteger a la ciudadanía de los cada
vez más frecuentes ataques informáticos. O eso pretende aparentar. En rigor, la
parafernalia tecnológica y los tips antihackers que varios funcionarios
nacionales, incluida la ministra Patricia Bullrich, describieron en ese
encuentro, no parecen rendir frutos en el complejo entramado de la prevención
contra el delito informático. Hasta aquí, la política de Cambiemos en el rubro
exhibe como único logro la sistemática persecución a ciudadanos que tuitean
temerariamente contra el presidente o su familia.
"Esta gestión nunca definió ni tuvo un plan concreto
para la ciberseguridad. Se dedicaron a viajar por el mundo y a dar charlas.
Nada más. Se suponía que este gobierno era más propenso a la innovación y al
desarrollo tecnológico, pero desde el punto de vista de la ciberseguridad hace
agua por todos lados", sentencia Iván Arce, exdirector del Programa de
Seguridad en TIC de la Fundación Sadosky y para muchos el mayor especialista en
seguridad informática del país.
A poco de asumir Mauricio Macri como presidente, y a
través de un decreto, el área de ciberseguridad pasó de la Jefatura de Gabinete
a depender del Ministerio de Modernización, y de ser una Subsecretaría (la de
Tecnología y Ciberseguridad) a una Dirección (de Infraestructuras Críticas de
Información y Ciberseguridad). Es decir, una "doble degradación",
describe Arce. "Después de cuatro años, el gobierno todavía no sabe qué es
lo que quiere hacer con la ciberseguridad. Se creó un comité en el que participan
las carteras de Seguridad, Defensa y
Modernización. Eso ya da la pauta de una concepción de las cosas: es muy
difícil que un comité genere definiciones de largo plazo, además de la
capacidad de implementarlas. En segundo lugar, la presencia del Ministerio de
Seguridad refrenda la idea de una concepción punitiva, cuando la ciberseguridad
es más amplia e implica investigación, desarrollo, relación con las
universidades, generación de una industria para exportar, entre otras cosas.
Tanto los organismos de Seguridad como los de Defensa piensan en términos de
espionaje y en cómo controlar a las personas en redes sociales o de imponer
penas y tipificar delitos relacionados con la tecnología, y en paralelo
adquirir equipamiento. El modo en que siempre se refirió al tema el ministro
Oscar Aguad revela la concepción de que la ciberseguridad se resuelve comprando
aparatitos".
En efecto, en octubre de 2018, el gobierno argentino
compró a Israel un paquete de software de ciberdefensa y ciberseguridad con la
capacidad de recolectar y analizar información de las redes sociales y acceder
a bases de datos públicas y privadas. Según informó en aquel momento
#SomosTélam, la operación se formalizó por un monto de 5.245.000 dólares para
la compra de equipos, software y entrenamiento del personal, datos sobre los
cuales se dispuso el secreto militar. El acuerdo de implementación fue firmado
por el ministro Aguad y su par de Defensa israelí, Udi Adam, luego de que las
Fuerzas Armadas argentinas analizaran la oferta presentada en octubre de 2017
por las firmas MerGroup y Rafael Advanced Defense Systems, el mismo consorcio
israelí que provee de servicios informáticos al sistema de defensa de la base
inglesa en las Islas Malvinas.
El convenio prevé la instalación de un núcleo de Equipo
de Respuesta ante Emergencias Informáticas con sede en Villa Martelli, y
centros operativos en dependencias del Ministerio de Defensa y las Fuerzas
Armadas para "el monitoreo de fuentes abiertas Web y Dark Web, toda vez
que permite la captura de información y análisis de foros, blogs, redes
sociales, sitios no estructurados, y comprender las acciones que grupos delictivos
y hackers pudieren planear contra el Ministerio de Defensa o el país".
Medidas invasivas
En 1999, a través de la Resolución N° 81/99, se creó la
Coordinación de Emergencia en Redes Teleinformáticas de la Administración
Pública Argentina (ArCeRT), configurando la primera área de ciberseguridad a
nivel Estado en el país y de las primeras en la región. "En 2011, eso se
decapitó –recuerda Arce– y se transformó en el Programa de Infraestructuras
Críticas de Información y Ciberseguridad, es decir, menos que una dirección en
el organigrama del Estado. Si con el anterior gobierno el panorama era
desolador, con el actual es todavía peor, porque antes había un embrión, había
expectativas de que algo podía suceder, pero ese algo se transformó en un
sinsentido. Ponen los esfuerzos en el lado incorrecto".
"No hay liderazgo político que pueda poner el tema
en agenda y, más difícil aun, lograr que la ciberseguridad tenga una mirada
holística, es decir, que ponga a la persona en el centro de las
políticas", agrega Leandro Ucciferri, abogado y analista de políticas
públicas de la Asociación por los Derechos Civiles (ADC). Pensar la
ciberseguridad exclusivamente como un tema de Defensa o Seguridad Nacional es
un error. Al fin y al cabo, cuando se habla de proteger infraestructuras
críticas, como pueden ser plantas nucleares, la red eléctrica, de gas, o
cualquier otro servicio básico, eso tiene un impacto social. Se trata de abrir
más el espectro".
Sin un plan de ciberseguridad con objetivos claros y
estrategias a largo plazo, lo que hay, en cambio, es una constante
"ciberpatrulla" del gobierno en las redes sociales.
"Como activistas por la privacidad y los derechos
fundamentales –dice Ucciferri–, somos bastantes críticos de cómo las fuerzas de
seguridad aprovechan el uso de la tecnología. La gente en redes sociales no
sabe qué información está dando, cuánta, en qué contexto puede ser utilizada.
Esa información disponible es fácilmente abusable. Al mismo tiempo nos
preguntamos: ¿cuál es el interés público que tiene perseguir usuarios?, ¿cómo
afecta o no que se configure un delito de amenaza? Si te ponés a ver los tuits
o posteos que fundaron las denuncias por amenazas, algunos tenían muy poca
exposición. Vos como Estado no podés empezar por las medidas más invasivas. Las
políticas públicas tienen que hacer un análisis de impacto en Derechos Humanos,
privacidad, datos privados, y hasta ahora no hemos visto que eso se haya
hecho".
"Mirar cuentas de Twitter –cierra Arce– o hacer
inteligencia en Facebook no va a hacer que tu sistema sea más seguro y no te
ataquen. ¿Hay algún requerimiento para el software que se utiliza en sectores
críticos, como el energético? ¿Hay algún organismo que verifique esas cosas?
No, el foco está puesto en perseguir a potenciales delincuentes en las redes
sociales, si es que eso puede considerarse un delito". «
Espías invitados y una tecnicatura
nal de Lucha contra el Ciberdelito, organizado por el
Ministerio de Seguridad en la UCA, Patricia Bullrich y los suyos vieron más o
menos de cerca las amenazas reales que hay en la web y en la dark web, más allá
de los mensajes de opositores pasados de rosca que espían y combaten en las
redes sociales. Los expertos (espías invitados de Estados Unidos y Europa y
altos mandos de las fuerzas de seguridad locales, además de emprendedores de
firmas de seguridad privadas) disertaron, por ejemplo, sobre los peligros del
ciberdelito financiero, que produce desfalcos de 600 mil millones de dólares al
año.
El diagnóstico final fue preocupante. La mitad de las
pymes argentinas ya han sufrido algún tipo de ataque cibernético, y una firma
de hackers rusos –este dato lo dio el exespía estadounidense Robert Villanueva,
ahora vicepresidente ejecutivo de Cytric Solutions– ofrece acceso a más de 10
mil tarjetas de crédito y cuentas de argentinos. Del millar de casos
investigados por la Dirección de Investigación de Ciberdelitos en 2018, apenas
5,5% correspondieron a estafas. El 12% fueron casos de narcotráfico. Y el 7,8%,
amenazas. Bullrich aprovechó para anunciar la creación de la primera
Tecnicatura Superior en Ciberdelito, que se dictará en la Universidad Nacional
Raúl Scalabrini Ortiz (UNSO), en San Isidro.
No amenacen al presidente
Federal de Inteligencia (AFI), Gustavo Arribas, y su
segunda, Silvia Majadalani, presentaron a principios de septiembre una denuncia
contra el abogado y dirigente peronista Osvaldo Pugliese, por una supuesta
amenaza a Mauricio Macri, en la que en realidad simulaba un pensamiento del
intendente de Pilar, Nicolás Ducoté, para intentar despegarse de la mala imagen
del primer mandatario. "Sería 'y que querés, que nos quedemos sin laburo,
vamos a hacer lo posible por seguir sin trabajar y si tenemos que matarlo a
Macri lo hacemos'", fue el tuit de Pugliese que, con ironía, hacía alusión
a la idea de Ducoté de esconder a Macri para ganar las elecciones.
"Los funcionarios de la AFI, además de carecer de la
más mínima capacidad de interpretar un texto, desconocen por completo los más
rudimentarios conceptos respecto a cuál es la función que cumple –o que debe
cumplir– la AFI", opinó la abogada Graciana Peñafort, en una de las tantas
muestras de solidaridad que recibió Pugliese.
Algo similar le ocurrió a Hernán Delgado. El 3 de
septiembre, una citación de la AFI llegó a su casa de Virrey del Pino
instándolo a declarar como imputado del delito de amenazas contra el
presidente. El 14 de octubre de 2018, Delgado había escrito en su muro de
Facebook "Macri te queda poco", en referencia a las elecciones de
este año. La AFI entendió que se trataba de una amenaza, argumentando que
Delgado, que trabaja de recolector de residuos hace 14 años, incluyó una foto
de él practicando tiro en una de las tantas excursiones con sus amigos.