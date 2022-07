Gustavo Sain es Licenciado en Ciencias de la Comunicación Social por la Universidad de Buenos Aires (UBA) y Magister en Sociología y Ciencias Políticas de la Facultad Latinoamericana de Ciencias Sociales (FLACSO-UNESCO). Experto en cibercrimen y delitos informáticos. Director Nacional de Ciberseguridad de la República Argentina. Coordinador Académico de la Diplomatura “El Ciberdelito en la Era de la Información” de la Facultad de Ciencias Sociales de la Universidad de Buenos Aires (UBA).

Dju: En términos generales ¿Cómo se está trabajando desde la Dirección Nacional de Ciberseguridad para prevenir delitos informáticos en las diferentes provincias?

La Dirección Nacional de Ciberseguridad es un organismo que tiene como misión primaria, por un lado, elevar los niveles de seguridad de la información de los organismos del Sector Público Nacional, por otro lado, proteger las denominadas infraestructuras críticas de información, es decir, sistemas informáticos que administran y gestionan servicios esenciales de un país o región; y por último, asistir en la gestión de incidentes de seguridad informáticos a toda la Administración Pública Nacional y de aquellas organizaciones que lo requiera, sean públicas o privadas desde el Equipo de Respuestas a Emergencias Informáticas Nacional (CERT.ar).

La Dirección trabaja en términos de seguridad informática, no de cibercrimen, es decir, trata de prevenir y mitigar incidentes de seguridad que afecten dispositivos informáticos, sean considerados delitos o no, eventos que puedan afectar el normal funcionamiento de la tecnología. Sin dudas que muchos incidentes constituyen delitos, por eso lo que brindamos a la ciudadanía son recomendaciones en relación a modalidades de delitos informáticos frecuentes en pandemia u ofrecer cursos de inducción gratuitos desde la plataforma de Punto Digital que posee el gobierno; además de diferentes charlas al respecto.

Mucha de esta información se encuentra en nuestra página web junto con otros documentos muy útiles. Nuestra “comunidad objetivo” -para decirlo en términos informáticos- es el Sector Público Nacional, la mayoría de nuestras políticas están orientadas básicamente a los organismos y empleados públicos.

Con las provincias desarrollamos algo que se llama Programa Federal de Formación y Capacitación en Ciberseguridad, donde profesionales de la Dirección y especialistas de diferentes universidades brindamos charlas y capacitaciones sobre ciberseguridad para personal de las administraciones públicas, miembros de la justicia, fuerzas de seguridad y también público en general. Ya realizamos capacitaciones en Corrientes, Mendoza, Santa Cruz, Chaco, Catamarca y La Pampa, y tenemos planificadas tres provincias más en breve.

Dju: A raíz del ataque informático sufrido por el poder judicial de la provincia del Chaco, ¿Cómo se intervino desde la Dirección Nacional y que se debió reforzar para evitar que en lo posible vuelva a suceder?

La Dirección formó parte del Comité de Crisis que constituyó el Superior Tribunal de Justicia del Chaco. Si bien la Dirección tiene alcance nacional estamos en un país federal, donde cada provincia tiene su autonomía, para lo cual nosotros ofrecemos asistencia y si la jurisdicción lo requiere, la brindamos, sea provincia o municipio e independientemente del poder del Estado que fuera y del color político, como corresponde.

En el caso del Poder Judicial de Chaco el Superior Tribunal, que fue víctima de un ransomware –un software malicioso que “secuestra las bases de datos de las organizaciones a cambio de un rescate- reaccionó rápidamente al ataque y actuó en consecuencia, donde conjuntamente trabajamos bien para mitigar el incidente y poner operativo nuevamente el sistema informático afectado.

Dju: ¿Se están celebrando convenios con los Poderes Judiciales de las diferentes provincias para readecuar los sistemas entorno a los distintos expedientes electrónicos? ¿Si es así, que es lo que se prioriza o por donde se empieza?

El año pasado hemos elevado al Jefe de Gabinete de Ministros un proyecto de Decisión Administrativa para el establecimiento de Requisitos Mínimos de Seguridad de la información para el Sector Público Nacional. Son una serie de estándares mínimos que todos los organismos del Poder Ejecutivo Nacional centralizados y desconcentrados tienen que cumplir obligatoriamente, elevar sus planes de cumplimiento a la Dirección Nacional y ser auditados por la Sindicatura General de la Nación (SIGEN).

Es como una norma ISO local para los organismos de gobierno, es una experiencia única en Latinoamérica al igual que el Registro de Puntos Focales de Ciberseguridad que creamos por Disposición, enlaces de los organismos alcanzados por la norma con la Dirección Nacional de Ciberseguridad para el cumplimiento de dichos requisitos y el reporte de incidentes de seguridad cuando sus organismos son víctimas de los mismos.

La norma invita a las diferentes provincias y municipios, tanto, así como a organizaciones de cualquier tipo, sean públicas o privadas a adherir a la misma. En este sentido la norma ha sido un éxito en tanto que diferentes poderes de Estado provinciales (ejecutivo, legislativo y judicial) empresas y universidades están adhiriendo a la norma, además de la JUFEJUS, la Junta de Cortes de provincias y el CIN, el Consejo Interuniversitario Nacional.

Las firmas son acompañadas con capacitación a funcionarios, miembros de la justicia, legisladores, miembros de fuerzas de seguridad en el marco del Plan Federal de Formación y Capacitación en Ciberseguridad.

Dju: ¿Cree necesario actualizar o crear alguna normativa en la materia, al margen de lo que ya existe en el país?

El ámbito de la ciberseguridad es dinámico, el Derecho va muy por detrás del avance de las tecnologías de la información y la comunicación, no sólo aquí en Argentina sino también a nivel global. En ese sentido, siempre hay cuestiones que actualizar.

Al igual que en el resto de países y a partir del ataque a las llamadas infraestructuras críticas de información –sistemas y redes informáticas que hacen a la cadena de suministros de servicios esenciales para un país como el agua, la luz, el gas y otros sistemas básicos- existe un proyecto para el diseño de políticas de ciberseguridad para la protección de las mismas.

La norma prevé la creación de un grupo de expertos que las identifique por sectores y un comité de crisis en caso de que una de ellas sea víctima de un ciberataque. El proyecto está a consideración de las autoridades.

Dju: Con la pandemia se intensificaron los delitos de estafas virtuales ¿Cuáles se dan con mayor frecuencia y como se está tratando de evitar que ocurran?

Una característica propia de los delitos informáticos cometidos en este contexto excepcional de pandemia es una mayor sofisticación y complejidad en las técnicas de comisión, tanto así como la aparición de asociaciones ilícitas y de bandas con cierto grado de organización que toman al cibercrimen como emprendimiento delictivo.

Las modalidades detectadas más frecuentes pueden agruparse en tres tipos: los fraudes y estafas en línea a nivel de usuarios particulares, los ataques de ransomware a organizaciones y el lavado de dinero por Internet. En términos de usuarios particulares sin dudas se incrementaron los fraudes y estafas en línea.

En Argentina, la mayoría de ellos se produjeron a través de campañas de phishing, término derivado de las palabras en inglés password “harvesting fishing”, que pueden traducirse como “cosecha y pesca de contraseñas”. Como la palabra lo indica se trata de un fraude aplicado para “pescar” datos personales de una víctima utilizado para cometer el robo de identidad de la víctima, el fraude más común de Internet, entendido como la obtención no autorizada de datos personales para realizar luego una suplantación o usurpación de identidad en un hecho ilícito posterior.

En los casos de phishing, el estafador se puede hacer pasar por un empleado de una institución bancaria, un organismo público, una tarjeta de crédito o una ONG, entre otras organizaciones, y envía mensajes fraudulentos a través de mails, mensajes de texto –SMS-, redes sociales, WhatsApp, chats y/ o en grupos de discusión o foros de sitios web, entre otros. Habitualmente, los motivos son un supuesto problema de seguridad, la actualización de datos, aprovechamiento de una oferta o promoción, la caducidad de un servicio o producto o la urgencia por una necesidad de la potencial víctima para obtener datos como nombre y apellido, DNI, número de tarjeta de crédito, credenciales de acceso a servicios y aplicaciones (nombre de usuario y contraseña) o número de cuenta bancaria, entre otros.

Durante la pandemia se vieron fraudes bancarios que tenían como objetivo el robo de credenciales de acceso a los sistemas de homebanking para vaciar la cuenta de las víctimas simulando ser las cuentas de determinados bancos en redes sociales, fraudes de subsidios de ANSES en páginas web gubernamentales falsas, estafas con turnos de vacunación de COVID, esquemas piramidales o Ponzi y fraudes de soborno extorsivo, donde en este último se le solicita a la víctima pago de un dinero a cambio de no hacer publica fotos o videos íntimos producidos a modo de sexting. Durante la pandemia, las solicitudes fraudulentas comenzaron a ser dirigidas, personalizadas. Esta modalidad se denomina “spearphishing” y, para cometerla, el estafador cuenta de antemano con información personal de la víctima, como el número de celular, el nombre, el apellido, la foto y el número del DNI, entre otros.

En términos de prevención, si bien la Dirección tiene competencia directa a la Administración Pública Nacional y en términos de incidentes de seguridad que afectan a los sistemas informáticos, elaboramos alertas y recomendaciones al ciudadano donde se describen estas modalidades y se alerta al respecto. También trabajamos con empresas proveedoras de Internet para que mejoren sus entornos digitales, más allá de solicitarles la baja de sitios web falsos a partir de una denuncia. Toda esa información es pública en Internet para aquel que desee informarse.

Dju: ¿Cómo ve a la Argentina posicionada en materia de ciberseguridad?

En primer lugar, hay que aclarar que la ciberseguridad de un país no puede medirse al igual que la seguridad ciudadana o publica en varios aspectos. En primer lugar y en términos de delitos informáticos, una característica que poseen los mismos es que tienen una amplia cifra oculta, es decir, la mayoría de estos hechos ilícitos no llegan al ámbito de la justicia ya que tienen resoluciones técnicas y administrativas más que penales.

Esto hace que no sea posible saber a ciencia cierta la “tasa de ciberdelitos” por país, como sucede con los delitos convencionales del mundo físico. En segundo lugar, los gobiernos no tienen el manejo de la ciberseguridad de las organizaciones, sean públicas o privadas. Internet es como un conglomerado de agencias de seguridad privadas donde el Estado cuanto mucho puede establecer los niveles mínimos de ciberseguridad, es decir, no tiene “el monopolio legitimo del manejo de las fuerzas de seguridad” en el ciberespacio.

Dicho esto, podemos analizar el nivel de ciberseguridad de un país en función de la cantidad de ciberataques de magnitud que puedan afectar a una gran cantidad de usuarios o afectan infraestructuras críticas. Si bien hubo ataques significativos, otros países como Estados Unidos o España, por nombrar algunos, han sufrido una parálisis de servicios esenciales.

En mayo de 2021, por ejemplo, un ataque de ransomware a una empresa de trasporte de combustible de los Estados Unidos llamada Colonial Pipeline dejó por una semana paralizada la provisión de gasolina en toda la Costa Este de ese país. En España, varios ayuntamientos se vieron paralizados en relación a los servicios que afectan a sus ciudadanos tales como Oviedo y el Tribunal de Cuentas nacional. En ese sentido no hemos sufrido ataques de esa magnitud.

Dju: Mirando hacia un futuro no muy lejano, ¿En qué cree que se debería enfocar o qué debería priorizar el país en materia de ciberseguridad?

En tanto que en materia de ciberseguridad existe, a diferencia de la seguridad ciudadana, una clara preeminencia del sector privado por sobre el público en tanto que la mayoría de los programas y aplicaciones utilizadas por los ciudadanos son comerciales, los servicios y aplicaciones de Internet lo brindan empresas y las conexiones a la red también son brindados por el sector privado. No existe policita de ciberseguridad a nivel nacional posible si no existe una sinergia entre el sector público y el privado en materia de protección de infraestructuras criticas de información. Aspiramos a eso.