–¿Qué acciones se deben tomar para evitar sucesivos ataques?
–Normalmente, se tiene un conjunto acotado de procedimientos para empezar el proceso de limpieza para restaurar los servicios, en el peor de los casos se debe reinstalar todo y volver con los datos del back-up para operar el servicio. El procedimiento a ser ejecutado depende de diversas razones y principalmente de que es lo que encuentran las personas encargadas de recuperar el servicio.
–¿Estas acciones son inmediatas sobre los sistemas?
–Adicionalmente, la existencia de estos eventos subraya la necesidad de levantar procesos organizacionales para evitar en el futuro que esto vuelva a ocurrir y son estos procesos los que no están siendo levantados ni en las instituciones ni a nivel interinstitucional. El Mitic y muchas instituciones en general no tienen capacidad local, en sus funcionarios, para encarar estos problemas, y si los tiene, estos no deciden que aplicar o no reciben los fondos necesarios para las actualizaciones que se requieren. Por esto último, es que señalo que tenemos problemas sistémicos graves dado que el Mitic desde hace bastante tiempo no se ha ocupado de arrancar estos procesos, simplemente buscan tercerizar y subcontratar el riesgo como si fuera una entidad privada, y en lo público la seguridad tiene otro cariz.
–¿Qué debe hacer el Gobierno para evitar las filtraciones?
–En el caso de las filtraciones de datos de ciudadanos, la filtración genera problemas serios indelebles, ya que uno no puede cambiar porque sí de dirección u otros datos, normalmente son datos entregados bajo declaración jurada, es decir, es de lo más exacto que se pueda tener. Estos datos posteriormente se utilizan en la manipulación de decisiones en compras o en el comportamiento en las redes, se utiliza para acceder a las cuentas en los bancos, se utilizan para estafas dirigidas, vía mensajería o hasta en llamadas a las personas.
–Es decir, ¿el efecto de estas filtraciones será permanente en los próximos días, meses, años?
–El Estado es el que debe velar por la protección de datos de la ciudadanía, no solo resguardar los datos, debe velar porque todos los sistemas inclusive del sector privado estén acordes a estándares donde se respeten los derechos de las personas. Es decir, el trabajo del Estado es doble.
Para mitigar (no impedir que es imposible, el blindaje no es posible en ciberseguridad) el riesgo de filtraciones se debe encarar a diversos niveles desde el mismo Ejecutivo al más alto nivel, la presidencia, los ministerios, llegando inclusive a interacturar con la academia, la sociedad civil, los gremios en el sector privado en general, mecanismos de gobernanza que no tenemos. Desde aquí parte nuestro problema, no hay una estrategia, no hay siquiera voluntad política de encarar el problema.
–¿Para ello hace falta una mayor inversión en ciberseguridad?
–Luego de definido una estrategia se debe bajar a nivel de gestión para aplicar procesos, procedimientos, fondos en el armado de una infraestructura que tenga seguridad, desde el hardware, los sistemas, los datos, las redes, etc. Dos grandes problemas que se tiene en el Estado es que no se están asignando los fondos necesarios para capacitación, para adquisiciones, para recursos en general para llegar a aplicar estos estándares a todo nivel.
–¿Estamos preparados para detectar rápidamente las filtraciones? ¿Tenemos las tecnologías adecuadas?
–Hay algunas instituciones que tienen los sistemas adecuados de detección. Lastimosamente, el Mitic no entrega datos de todas las instituciones para poder analizar el estado sistémico en este aspecto, su política se basa en la opacidad. En general, la mayoría de las instituciones no tienen estos sistemas. Por otro lado, cabe señalar acá que los servicios de seguridad de clase mundial son excesivamente caros, por lo que una estrategia para el ahorro es generar capacidad local que hoy por hoy se tiene, pero es casi mínima.
–¿Qué medidas debe tomar el Gobierno y qué medidas debemos tomar los particulares?
–Existen estándares internacionales que deben ser aplicados, hay varios, el Mitic tomo uno, pero hace décadas que lo aplica, pero no terminó nunca el proceso de arrancar en las instituciones, a población en general, no queda más salida que aprender estas tecnologías, que aprender como vienen los ataques, que aprender como buscan manipularnos, para empezar a retacear información a las redes sociales como por ejemplo compartir porque si donde uno esta físicamente, levantar fotos relacionadas a la privacidad de las casas, familias etc. Mucha información que está en la red combinada con información oficial de identidades son utilizadas para las estafas, el robo y todo tipo de ciberdelitos. No queda otra que aprender a defendernos en el ciberespacio.
–En menos de un año, recibimos dos grandes ataques, ¿esto qué significa?
–El Estado paraguayo viene recibiendo ataques desde la primera página del Proparaguay que se levantó a internet allá por el 97, permanentemente todos los servicios reciben ataques, lo que sí tenemos cada cierto tiempo, foco en la prensa para algunas filtraciones, muchas veces estos eventos son utilizados políticamente para marcar temas en la agenda. Desde la comunidad técnica nosotros venimos señalando los graves problemas que se tienen desde hace décadas hasta el día de hoy no nos han escuchado, ni siquiera nos han invitado a debatir, lo máximo que recibimos fueron invitaciones donde te marcan la presencia en una lista, pero donde tu opinión o tu aporte esta guardado en algún cajón sin que tenga peso o impacto en las decisiones que se toman. Mucha gente muy preparada en cuestiones de ciberseguridad está siendo dejada de lado desde hace bastante tiempo.
–¿Cree que se debe declarar emergencia de seguridad nacional?
–Particularmente, y esto quisiera que quede claro. Desde una gran parte de la comunidad de técnicos dedicados a ciberseguridad creemos que es estúpido y totalmente ineficiente el declarar seguridad nacional. Varios son los motivos. ¿Emergencia para qué? Si no tenemos esquemas de gobernanza, no tenemos un plan, no tenemos una arquitectura, no tenemos siquiera las organizaciones mínimas que deberíamos tener para encarar la situación para tal vez tener resultados en uno o dos años. Si declaramos emergencia nacional saldrán a acentuar las contrataciones, compra de equipamientos y servicios (que como dije son caros), pero no se buscará tener capacidad local que es lo que se necesita. Para ser más claro. No, no necesitamos declarar emergencia.
–¿Qué se necesita entonces?
–Lo que necesitamos es voluntad política para encarar la solución del tema, desde nuestros propios recursos sin incidencia de agentes extranjeros.
Ciberseguridad. Luis C. Benítez A. es licenciado en Análisis de Sistemas, tiene una maestría en Asuntos Públicos y un doctorado en Administración Pública, cuenta con decenas de certificaciones internacionales relacionadas con infraestructura de tecnología de la información. Formó parte del equipo de técnicos que realizó la primera conexión a internet del país. Enseña en dos facultades.
