La semana pasada ocurrió un evento histórico. Durante las primeras horas del viernes 21 de octubre, un enemigo desconocido lanzó uno de los ataques de denegación de servicio (DDoS) más grandes de la historia reciente. Casi simultáneamente, Estados Unidos y algunos países de Europa empezaron a reportar problemas para acceder a varios de los sitios más visitados de Internet como Twitter, Amazon y Spotify. Horas después, y con la emergencia controlada, la empresa encargada de gestionar la crisis confirmó el ataque.
Pese a lo tentador que suena, no estamos frente a un acto de Ciberguerra o a un ‘Pearl Harbor Digital’. Nadie ha muerto en este ataque. Ningún secreto ha sido robado. Además de que Internet se puso lenta durante unas horas, no pasó gran cosa. Pero sobre todo, pese a que es uno de los mayores de la historia, este tipo de ataque ocurre con más frecuencia de lo que uno se imagina.
La Ciberseguridad en el mundo
En el génesis mismo de Internet, la posibilidad de que los servidores y otros soportes físicos de la Red fueran atacados por virus informáticos era latente. Con el tiempo, estas amenazas se volverían cada vez más comunes, a medida que el uso de Internet se extendía a lo largo del mundo. Tal como se puede ver en este mapa interactivo, actualmente ocurren varios cientos de ataques por segundo, más pequeños, pero constantes.
Ante esta realidad, muchos países han implementado marcos regulatorios que les permitan defenderse de estas amenazas. Países como Estados Unidos, Rusia o la Unión Europea han elaborado planes y tomado otras medidas para lograr este fin. Asimismo, han convertido en delitos estos ataques cuando los objetivos son compañías o individuos.
Aunque no es un concepto unánime, puede decirse que el término Ciberseguridad describe el conjunto de estrategias, políticas y acciones encaminadas a garantizar la seguridad de la información. Así, un plan de Ciberseguridad puede ser adoptado por un gobierno, pero también por empresas particulares que manejen información digitalizada y hasta por usuarios.
Sin embargo, y pese a que las amenazas en el ciberespacio son comunes, la forma en que se entienden estos conceptos y cómo deben aplicarse varía de país en país. Por ejemplo, algunos ponen mucho énfasis en la protección de sus propios sistemas, aun a costa de implementar medidas restrictivas para los usuarios. Otros, en cambio, incluyen dentro de su estrategia la reducción del daño sobre las personas que dependen de su funcionamiento.
¿Cuál es la situación en el Perú?
A inicios de este año, el Banco Interamericano de Desarrollo (BID) y la OEA emitieron el Informe Ciberseguridad 2016, ¿Estamos preparados en América Latina y El Caribe?. En dicho informe evaluaron los avances en cada país de la región, ubicando al Perú en un puesto intermedio e identificando los principales retos a afrontar. Algunos puntos resaltantes fueron los siguientes:
Perú actualmente no cuenta con una estrategia nacional de Ciberseguridad. No obstante, sí posee la mayoría de elementos necesarios para combatir las amenazas en el ciberespacio.
- Desde 2005 existe en la Policía la DIVINDAT (División de Investigación de Delitos de Alta Tecnología) que se especializa en combatir delitos informáticos. Hasta antes de la creación de tipos penales específicos, la mayor parte de casos recibidos eran procesados como nuevas modalidades de estafa.
- Desde 2009 contamos con el PeCERT, un órgano de coordinación dentro de la Administración Pública dedicado a enfrentar los ciberataques dirigidos contra los sistemas del Estado. Este modelo de CERTs es además el más común en el mundo.
- Desde 2011 tenemos la Ley de Protección de Datos Personales que busca crear un ámbito de protección sobre la disposición y uso de dichos datos por terceros.
- En el 2013, se renovó la Ley de Delitos Informáticos que cubre de cierta forma el vacío normativo que existía sobre algunos de los ataques más comunes: la vulneración de sistemas informáticos, entre otros. Esta norma posteriormente fue perfeccionada en 2014.
El Perú actualmente se encuentra en proceso de adherirse al Convenio de Budapest, que es un tratado internacional de cooperación sobre delitos informáticos. Actualmente quien es responsable de gestionar su aprobación e implementación es la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI).
A pesar de que existe literatura online en algunos portales web del Estado, la educación y concientización sobre las amenazas informáticas es muy baja en el país. Esto en parte se debe a la inexistencia de un plan nacional de Ciberseguridad, pero también a la falta oferta de programas de capacitación en estos temas.
Perspectivas a futuro
Desde hace varios años, son cada vez más las voces que piden reevaluar la situación del Perú en materia de Ciberseguridad y empezar a trabajar en un plan de alcance nacional. Según el Informe de la OEA, esto ya estaría ocurriendo, pero actualmente sabemos poco o nada sobre qué tan avanzados están estos esfuerzos.
En un mundo cada vez más digitalizado, la seguridad de la información es un elemento vital no solo para la Defensa del país sino también para las entidades privadas. Teniendo en cuenta esto, sería interesante que el compromiso del nuevo gobierno sobre la Transparencia alcance también este tema y se abra al público para un debate más amplio. Si Estados Unidos y otros países lograron mitigar la amenaza fue porque estaban preparados.
El ataque de la semana pasada es un primer aviso. Quizás este sea el mejor momento para unir a todos los sectores y empujar hacia lo que parece ser uno de los retos de los próximo años: la Ciberseguridad.
Foto: Yuri Saloimov (CC BY)
Ex Director de Políticas Públicas (2013-2020)
Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos.
5 comentarios