issn: 2226-8499

Año 7, nº 15 Agosto 2017 www.ieepp.org

4 Big data, decisiones basadas en datos

10 Delitos cibernéticos:

una amenaza latente en la región

13 Seguridad digital,

un asunto de derechos humanos

16 ¿Privacidad digital

para defensores/as de derechos humanos en Nicaragua?

22 Desafíos a la ciber-

seguridad en Colombia

29 Ciberseguridad y las

operaciones de negocios: ocho razones a considerar

34 Hacia una política de

ciberseguridad que ponga a la privacidad, la soberanía tecnológica y la dignidad al centro

Seguridad y Sociedad

Contenido PRESENTACIÓN 1 Conectividad y amenazas: una mirada hacia el espacio virtual en Latinoamérica

ACTUALIDAD

Es una publicación de

4 Big data, decisiones basadas en datos Alejandro Maldonado

COLOQUIO 10 Delitos cibernéticos: una amenaza latente en la región Daniel Monastersky

13 Seguridad digital, un asunto de derechos humanos Luciana Peri



VENTANA REGIONAL

16 ¿Privacidad digital para defensores y defensoras de derechos humanos en Nicaragua? Mireya Zepeda Rivera

22 Desafíos a la ciberseguridad en Colombia Vicente Torrijos Rivera, David González Ortiz



VENTANA GLOBAL

29 Ciberseguridad y las operaciones de negocios: ocho razones a considerar Niel Harper



MIRADA CRÍTICA

34 Hacia una política de ciberseguridad que ponga a la privacidad, la soberanía tecnológica y la dignidad al centro Renata Ávila

DIRECTOR EJECUTIVO Félix Maradiaga SUB-DIRECTORA Dayra Valle COORDINADORA DE REVISTA Skarlleth Martínez Prado IMAGEN Y REVISIÓN DE ESTILO Reyna Vallecillo Tapia COLABORARON EN ESTA EDICIÓN Renata Ávila, David González, Niel Harper, Alejandro Maldonado, Daniel Monastersky, Luciana Peri, Vicente Torrijos, Mireya Zepeda EDICIÓN, DISEÑO Y DIAGRAMACIÓN Complejo Gráfico TMC ISSN: 2226-8499 CON EL AUSPICIO DE National Endowment for Democracy (NED) Esta obra está bajo una Licencia Creative Commons Atribución–NoComercial– CompartirIgual 4.0 Internacional

Instituto de Estudios Estratégicos y Políticas Públicas Lomas de San Juan, casa #152 Apartado Postal LM202 Managua, Nicaragua +505 2270-5104 www.ieepp.org ieepp es el único responsable por el contenido

y las opiniones expresadas en esta publicación, las cuales no reflejan, necesariamente, los puntos de vista de quienes auspician este trabajo. Las fotografías incluidas en esta publicación son propiedad de sus respectivos autores o están bajo Licencia Creative Commons. Cualquier consulta u observación, favor dirigirla al equipo editorial. Esperamos que el contenido de este número sea de su interés y solicitamos dirigir cualquier comentario a: [email protected] Seguridad y Sociedad Año 7, nº15, agosto 2017

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 1

Presentación

Conectividad y amenazas: una mirada hacia el espacio virtual en Latinoamérica

E

L auge de la Internet ha provocado que personas1

El informe sobre ciberseguridad realizado por el

lo

Banco Interamericano de Desarrollo (bid) indica que

consideren como indispensable en su vida

cuatro de cada cinco países no poseen estrategias

diaria. Según el informe realizado por We Are

de

alrededor de 3,700 millones de

Hootsuite,2

ciberseguridad

o

planes

de

protección

de

más de la mitad de personas en el

infraestructura crítica. Dos de cada tres no cuentan

mundo utilizan un teléfono inteligente y la mayor parte

con un centro de comando y control de seguridad

del tráfico web proviene de los teléfonos celulares. Cada

cibernética. La gran mayoría de las fiscalías carece

vez que enviamos un mensaje, hacemos una llamada o

de capacidad para perseguir los delitos cibernéticos,

realizamos una transacción, dejamos una huella digital

dejando desprotegidas a las personas. Las tecnologías

que hace posible que otros conozcan nuestros intereses,

de la información y las innumerables formas en que las

gustos, preferencias, datos personales, familiares y

utilizamos vienen evolucionando a un ritmo acelerado,

financieros, e incluso los lugares que frecuentamos.

al igual que las vulnerabilidades que conllevan y los

Social y

actores que buscan aprovecharse de éstas. La innovación tecnológica ha revolucionado la forma en que interactuamos con las personas, las instituciones y

Los datos disponibles indican claramente que los

el mundo que nos rodea. La conectividad a la Internet

incidentes y ataques cibernéticos, en particular los que

acelera el crecimiento económico y crea oportunidades

se realizan con intención criminal, están aumentando

para los negocios y el comercio tanto legales como

en frecuencia y sofisticación. Según la revista Nueva

ilegales. Hoy en día, gran parte de la humanidad tiene

Sociedad, las actividades que llevan a cabo todos estos

en sus manos los medios para conectarse a cualquier

grupos son similares: robo de información en redes

parte del planeta: con la familia, las industrias del

empresariales o institucionales, ataques de denegación

entretenimiento, las transmisiones de corporaciones,

de servicio que bloquean el acceso a páginas web

los Estados y hasta con organizaciones criminales. Sin

(a menudo con propósitos de extorsión), chantaje

embargo, hay países en Latinoamérica que poseen

mediante herramientas que encriptan la información

más avances tecnológicos que otros, lo que no

en un ordenador o red hasta que se paga un rescate

necesariamente implica que estén preparados para las

(ramsonware), etc. En algunas ocasiones el propósito de

amenazas del ciberespacio.

los ataques es obtener información tecnológica o militar. Otras veces, en cambio, se publican datos obtenidos

1 We Are Social y Hootsuite. Digital in 2017: Global overview.

mediante estas técnicas para provocar movimientos

2 We Are Social es una empresa de mercadeo social y gestión

políticos o dañar a adversarios.3

de relaciones con clientes (CRM, siglas en inglés). Hootsuite es una plataforma de manejo de redes sociales.

3 Cervera, José (2017). Ciberguerra: más y menos de lo que

parece. Revista Nueva Sociedad.

2 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017

En la actualidad se reconoce que el delito cibernético

y del sector privado. También encontrarán diferentes

no reconoce fronteras nacionales y que se requiere un

enfoques de análisis donde se contrapone una visión

esfuerzo de todos los sectores para abordar la cantidad

corporativa versus la visión de sociedad civil.

de amenazas informáticas: gobierno, organismos internacionales,

academia,

comunidad

técnica,

En la sección Actualidad se analiza la importancia del

sociedad civil y el sector privado nacional e internacional.

uso de los datos para el sector privado utilizando la

De acuerdo con el informe del BID, los principales

tecnología de datos masivos. Telefónica Centroamérica

desafíos que enfrenta la región en seguridad cibernética

nos relata sus experiencias en Europa y en la región

son el desarrollo de capacidades en todos los países,

centroamericana.

la mejora de la cooperación en delitos cibernéticos y el intercambio de información sobre mejores prácticas,

La sección Coloquio está compuesta por dos entrevistas

amenazas y vulnerabilidades. La única manera de

a expertos en seguridad digital: la primera resalta los

superarlos es creando una estrategia de seguridad

principales problemas que vive Latinoamérica en temas

cibernética que incorpore la protección a la sociedad

de ciberseguridad asociados al robo de identidad y la

frente a las amenazas cibernéticas y fomentando la

falta de conocimiento en la materia, y la segunda analiza

prosperidad económica y social, especialmente en

la importancia del abordaje de la seguridad digital desde

aquellas áreas en que las Tecnologías de la Información

los derechos humanos.

y de la Comunicación (tic) van siendo cada vez más relevantes.

En Ventana Regional se presentan dos artículos enfocados en las realidades de Nicaragua y Colombia.

Las estrategias de seguridad cibernética nacional deben

El primero aborda los marcos legales de Nicaragua

armonizarse con los derechos fundamentales, tales

para la protección, criminalización o vigilancia digital

como la privacidad, la libertad de expresión y el debido

de los defensores y defensoras de derechos humanos;

proceso, así como con los principios técnicos clave que

el segundo identifica las amenazas a la ciberseguridad

han permitido la innovación en Internet, tales como la

de Colombia y cómo el Estado puede enfrentar este

apertura, la universalidad y la

interoperabilidad.4

desafío.

Con esta edición nº 15 de Seguridad y Sociedad

En Ventana Global incluimos una propuesta de las

esperamos brindar una comprensión del alcance de las

razones por las cuales la estrategia de ciberseguridad

amenazas a nuestro entorno cibernético, en vista que

y las operaciones de negocios son inseparables.

en Latinoamérica la literatura en materia de seguridad cibernética es sumamente escasa. Por esa razón, el

Finalmente, la sección Mirada Crítica contrapone

ieepp presenta una serie de entrevistas y artículos que

las buenas prácticas de privacidad y seguridad

esbozan una imagen de la seguridad cibernética de

concentradas en el sector financiero y gubernamental,

Latinoamérica y Centroamérica, y los casos específicos

con la realidad que se vive en Centroamérica donde las

de

desde

personas son vulnerables debido a la falta de un marco

perspectivas gubernamentales, de la sociedad civil

general de ciberseguridad que respete los derechos

Nicaragua

y

Colombia,

abordándose

humanos colocando a la privacidad en el centro. 4 Daigle, Leslie. On the Nature of the Internet. Global Com-

mission on Internet Governance Paper, serie nº 7. Marzo de 2015.

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 3

Colaboradores de esta edición

Alejandro Maldonado

Daniel Monastersky

Luciana Peri

Mireya Zepeda Rivera

Tiene más de 10 años como consultor de tecnología y procesos para PricewaterhouseCoopers (PwC) y 8 años en Telefónica Centroamérica. En los últimos 3 años ha sido responsable del área de inteligencia empresarial y datos masivos. Especialista en datos masivos por la Universidad de California San Diego y máster en datos masivos por Synergic Partners.

Abogado especializado en ciberseguridad, delitos informáticos y protección de datos personales. Ha realizado estudios de postgrado en la Universidad Oberta de Catalunya (uoc). Es profesor titular de derecho informático. En la actualidad es miembro del consejo asesor del Foro Mundial de Ciberseguridad (gfce).

Licenciada en relaciones internacionales por la Universidad de El Salvador y máster en derechos humanos por la Universidad de Costa Rica (UCR). Encargada de desarrollo organizativo de Fundación Acceso y coordinadora de la investigación ¿Privacidad digital para personas defensoras de derechos humanos?

Abogada y master en derechos humanos por la Universidad Iberoamericana de la Ciudad de México. Ha coordinado y elaborado investigaciones académicas en materia de trata de personas, seguridad digital y migraciones, entre otras. Actualmente es consultora internacional para organizaciones en materia de derechos humanos.

Vicente Torrijos Rivera

David González Ortiz

Niel Harper

Renata Ávila

Politólogo e internacionalista dedicado a la ciencia política, la política internacional, los asuntos estratégicos, los estudios de paz, la comunicación y la gobernabilidad. Profesor emérito, titular y distinguido de la Universidad del Rosario, Bogotá, Colombia.

Máster en estudios interdisciplinarios sobre el desarrollo, Universidad de los Andes, Bogotá, Colombia. Analista de criminalidad.

Fundador y director ejecutivo de Octave Consulting Group, firma asesora que ofrece servicios de información, ciberseguridad, transformación de negocios, gestión de riesgos y otros. Miembro del Foresight Forum de la Organización para la Cooperación y el Desarrollo Económico (ocde) y decano del Instituto de Ingeniería Eléctrica y Electrónica (ieee).

Abogada guatemalteca, experta en derechos digitales y nuevas tecnologías, asesora principal de derechos digitales para la World Wide Web Foundation (wwwf). Es parte del directorio internacional de Creative Commons. Actualmente investiga los efectos del colonialismo digital y su impacto en las democracias latinoamericanas.

Ilustración: Oscar Danilo Quezada

Actualidad

BIG DATA:

DECISIONES BASADAS EN DATOS El análisis de datos masivos tiene un gran potencial para impactar de manera positiva la vida de las personas, preservando su privacidad mediante la agregación y anonimización de los datos1

alejandro maldonado

1 Presentación realizada en la Expo Internet 2017, organizada por la Cámara Nicaragüense de Internet y Telecomunicaciones (canitel) el 17 de mayo 2017, Managua, Nicaragua.

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 5

L

A implementación de datos masivos o inteligencia data)2

La tecnología Hadoop nos permite el manejo de grandes

realizado por Telefónica Centro-

volúmenes de información de una forma accesible para

américa y su análisis en tiempo real de tráfico utiliza un

las empresas. El análisis de los datos en tiempo real

algoritmo predictivo para poder detectar de forma

genera valor para los sistemas transaccionales de las

de datos (big

automática el patrón que usan las personas que hacen

empresas.

fraude en las llamadas entrantes internacionales (ldi). Este año logramos frenar por primera vez este fraude de

DATOS MASIVOS: UN TEMA DE NEGOCIOS

mucho impacto financiero en Centroamérica. También hemos logramos aumentar el ingreso proveniente del

La implementación de la tecnología de datos masivos

negocio de los datos masivos.

surge de la necesidad que tiene una empresa para cubrir una problemática específica, un reto estratégico,

EL ORIGEN DE LOS DATOS MASIVOS

una meta comercial o de marketing, por lo que podemos decir que los datos masivos son un tema de negocios.

Los datos masivos son una respuesta a una problemática específica. El concepto se remonta al año

Describiré la tecnología de datos masivos como la

2000 cuando la joven compañía Google empezó a tener

combinación de varios factores: la infraestructura, el

dificultades para manejar el volumen de información

hardware, las herramientas de software que se montan

que transitaba por la Internet y que aumenta cada

sobre su entorno (como Hadoop) y las capacidades de

año. Se estima que para el 2020 cinco mil millones

las personas que manejan la información, tanto analíticas

de personas estarán llamando, enviando mensajes

y científicas. Se ha demostrado que las compañías que

de texto, navegando, descargando datos, etc., y que

adoptan esta tecnología son más efectivas, logran sus

el contenido en Facebook y otras redes sociales se

objetivos estratégicos más rápido, incrementan sus

incrementará de manera exponencial, generando

ingresos y mejoran su desempeño financiero.

transacciones comerciales de US$ 400 millones diarios. Aunque el camino es difícil, es necesario emprenderlo Google desarrolló un sistema de manejo de información

desde ya. Si se desea que la compañía sea basada

denominado Google File System (gfs) y un modelo de

en datos, pues hay muchos retos por delante. Esos

procesamiento de información llamado MapReduce.

retos principalmente se orientan a que la compañía

Ambas tecnologías pasaron a ser de dominio público

empiece a adoptar una cultura basada en análisis de

entre 2003 y 2004, permitiendo que la Apache Software

datos. En el pasado, las decisiones se tomaban de una

Foundation3

forma bastante intuitiva y al día de hoy también se sigue

como

creara un esquema de software conocido

Hadoop.4

haciendo así, pero las áreas comerciales y marketing deben tomar sus decisiones según lo que pasa en el

2 https://es.wikipedia.org/wiki/Big_data

mercado y sabemos que las mejores decisiones se

3 Una organización sin fines de lucro creada para apoyar pro-

toman cuando tenemos un respaldo de datos.

yectos de software libre (código abierto) y el popular servidor HTTP Apache. 4 Hadoop es un esquema de software para el procesamiento distribuido de datos masivos en computadoras interconectadas; usa modelos sencillos de programación y permite a las aplicaciones trabajar con miles de nodos y petabytes de datos (datos masivos).

Uno de los retos para implementar la tecnología de datos masivos en una empresa es empezar un cambio cultural:

6 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017

lograr que se tomen decisiones basadas en datos y

enriquecer la data almacenada en los almacenes de

que se empiece a conectar los datos a la empresa. Los

datos tradicionales.5

datos almacenados generan valor cuando se les extrae ese valor. La implementación de la tecnología de datos

Por tanto, se puede caracterizar a la tecnología de

masivos tiene varias fases, detalladas a continuación.

los datos masivos como disruptiva, porque antes de su creación el análisis de datos requería de grandes

DATOS MASIVOS Y SUS CUATRO FASES DE IMPLEMENTACIÓN

despliegues de infraestructura, necesitando servidores muy costosos y de mucha capacidad, es decir, grandes inversiones. La tecnología de datos masivos permite

La primera fase es la ingeniería de los datos, saber si

romper ese paradigma. Hoy se monta un grupo de

se cuenta con los datos suficientes, ver qué tenemos

servidores (cluster) del tipo llamado commodity,

y comprobar si se tiene suficiente información para

servidores comunes y corrientes que se unen en un

generar valor, conseguir fuentes externas y enriquecer

grupo y se configuran con el software de Hadoop.

las fuentes existentes. Cuando se tiene esa materia prima, se procede a verificar qué herramientas e

Sobre Hadoop se monta una capa de herramientas

infraestructuras son necesarias para almacenar y

de explotación de información como Hype, u otras

generar valor de esta información.

que sirven para realizar análisis estadísticos como R o Python.6 Además de esas herramientas, se debe

La tecnología de datos masivos nos ayuda a combinar

comprobar que se disponga de las capacidades

los

analíticas y de la infraestructura correcta, ya que la

datos

tradicionales

—datos

estructurados

organizados en una base de datos relacional— con datos no estructurados, siendo estos últimos todos los

5 Un almacén de datos (datawarehouse, en inglés) es una

Facebook o un tuit. Esta tecnología nos permite conectar

base de datos corporativa que integra y depura información de una o más fuentes, para luego procesarla a gran velocidad desde múltiples pespectivas.

los datos no estructurados con los estructurados y

6 R es un lenguaje de programación de código abierto para

datos que llegan por Internet, por ejemplo, un post de

análisis estadístico. Python es un lenguaje de programación interpretado cuya sintaxis favorece un código legible.

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 7

tecnología de datos masivos requiere la creación del puesto de científico de datos (data scientist), cuyo

TELEFÓNICA Y SU INNOVACIÓN EN TECNOLOGÍA DE DATOS

perfil profesional demanda capacidades analíticas, estadísticas, matemáticas, tecnológicas, manejo de

En octubre de 2016, Telefónica lanzó su nueva marca

bases de datos, instinto empresarial (business sense),

denominada luca,7 que representa nuestra oferta

y que también pueda interpretar y comunicar lo que los

de servicios de inteligencia. Después de recorrer

datos le muestran. Es un perfil muy específico, pero

este camino y convertirnos en una empresa basada

necesario para aprovechar los datos.

en la información (data driven company),8 pusimos esta experiencia a la disposición de otras compañías

En

Telefónica

hemos

transformado

los

perfiles

profesionales para las personas a cargo de inteligencia empresarial

y

almacenamiento

de

datos,

ofreciendo nuestras capacidades analíticas y de manejo de información.

para

convertirlos en científicos de datos mediante un

Lo interesante de luca es el acompañamiento que

programa de capacitación.

Telefónica puede brindar a las demás empresas. En la parte de ingeniería de datos (data engeneering)

Otro aspecto muy importante son las intuiciones

podemos acompañar en las áreas de productos,

o percepciones empresariales (business insights), el

servicios y capacidades para apoyar en la recolección

valor que generamos de la información. Todo esto debe

de la información y el análisis de los datos.

ir de la mano con la estrategia y la transformación de 7 luca son las siglas en inglés de Last Universal Common

Ancestor (último y universal ancestro compartido), concepto que alude a que todas las personas compartimos un mismo ancestro. Por analogía, se dice que las empresas también tienen un ancestro común que es el dato, la información recabada. 8 Empresa que toma sus decisiones basada en un análisis de información real y no en las intuiciones de sus directivos.

Ilustración: Oscar Danilo Quezada

la empresa, y obviamente con una capa de seguridad.

8 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017

En la parte de infraestructura hemos desarrollado varias

En Centroamérica tenemos las huellas de más de

herramientas que nos permiten realizar una asesoría

15 millones de abonados, de los cuales —después

o consultoría e identificar la infraestructura adecuada

de anonimizar la información y aplicar un algoritmo

para las empresas. En la parte de ciencia de datos,

de extrapolación— obtenemos el comportamiento de

en 2015 Telefónica adquirió una empresa de ciencia de

movilidad de la población total de un área o de un país

datos llamada Synergy Partners con alrededor de 150

específico. En Nicaragua tenemos cerca del 50% de

científicos de datos que forman ya parte de nuestro equipo

mercado, una población significativa —en otros países

y así apoyamos a empresas en Europa y en América

tenemos menos presencia— y la extrapolamos para

a implementar sus proyectos de ciencia de datos.

hacer ciertos análisis que antes se hacían de forma manual. En el pasado, si una empresa quería hacer un

Con respecto a las intuiciones empresariales, Telefónica

estudio de impacto de despliegue de infraestructura

está apoyando a las empresas con soluciones creadas

para buscar una nueva ubicación para sus sucursales,

y desplegadas de una forma rápida. A manera de

realizaba estudios mediante encuestas en las calles,

ejemplo les contaré la historia de un producto basado

con contadores de personas o se usaban los datos del

en la huella digital que dejan los usuarios de redes

censo, información que en nuestros países está muy

móviles. Todos los usuarios de móviles tenemos

desactualizada. Algunos se han aventurado y utilizan

patrones de uso bastantes peculiares, en vista de que

algún tipo de sensor o cámara, pero el reto es mucho

llevamos el teléfono inteligente a todos lados; pues bien,

mayor cuando se quiere cubrir un área muy grande.

Telefónica guarda de una forma no comprometedora

La información obtenida por encuestas o contadores

la huella que dejan los usuarios de nuestras redes

sí es de cierta utilidad, pero es ocasional, subjetiva

móviles,

Esas

y son datos declarados. En una encuesta las personas

huellas nos sirven para realizar estudios de movilidad

tienen que dar una respuesta y posiblemente expresan

o pasos inteligentes (smart steps). Esta es una

lo primero que se les ocurre, no los hechos reales.

protegiendo

su

confidencialidad.

solución que ponemos a disposición de las empresas y hacer estudios de masas poblacionales basados en

La propuesta de valor de los pasos inteligentes es usar

sus huellas de movilidad. Así, apoyamos a los gobiernos

esta huella anónima y agregada de la señal del móvil

y a las empresas a hacer estudios de factibilidad. Uno

por medio de nuestra red —la infraestructura de torres

de nuestros clientes principales en Europa es Transport

telefónicas— y procesar la información mediante la

London,9

y ellos no planifican una nueva estación

tecnología de datos masivos, almacenarla y generar

de metro o de buses, sin que Telefónica les apoye con

las intuiciones empresariales. Estas intuiciones son

un estudio de factibilidad basado en pasos inteligentes.

importantes, precisas, rápidas, económicas, flexibles, y

Estos estudios nos permiten aprovechar las huellas

ricas en detalles. Podemos hacer este tipo de estudio

digitales que dejan nuestros abonados y conocer el

cualquier día del año 24/7.

for

contexto de la movilidad de masas poblacionales. Para explicar cómo funcionan estos estudios de 9 Transport for London (TfL), empresa municipal encargada

del transporte público en la ciudad de Londres, Reino Unido. https://es.wikipedia.org/wiki/Transport_for_London

movilidad, relataré brevemente un trabajo que se hizo para el ayuntamiento de Barcelona. Se quería conocer el área de residencia de las personas que viven en dicha

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 9

Commuting y sostenibilidad: El big data en Barcelona Gracias al big data, en LUCA creamos mapas de movilidad laboral que muestran datos de transporte de la ciudad de Barcelona en sus distintos distritos.

fuente https://www.youtube.com/watch?v=l4Ehg20ehSg

ciudad y su sitio de estudio o trabajo para hacer un mapa

conviertan en empresas basadas en la información

de movilidad de punto A a punto B. Ese estudio se hacía

y que puedan tomar decisiones usando la tecnología

antes de forma manual cada 4 años con una muestra de

de datos masivos.

2,000 personas. Propusimos hacerlo con la tecnología de datos masivos con una población significativa de

Estos estudios de movilidad pueden utilizarse para

300,000 personas de forma recurrente, usando el

el turismo, porque podemos ver las huellas que dejan

despliegue de infraestructura. Por medio de algoritmos,

los visitantes extranjeros al usar sus dispositivos

estudiamos las llamadas anonimizadas para identificar

móviles. También sirven para hacer estudios de impacto

el punto A, que sería el hogar, y el punto B, que sería el

o estudios de influencia con un punto específico,

trabajo o estudio. Habiendo identificado esos puntos, le

por ejemplo, para medir el impacto de una campaña

entregamos al ayuntamiento los mapas de movilidad de

publicitaria.

cada sector importante de la ciudad, y así les brindamos intuiciones o nuevas percepciones empresariales para

La conclusión es que hoy la tecnología de datos masivos

que ellos pudieran saber el volumen de información

es muy relevante y que ya no hay excusas para no usar

que entra en un área específica. En el mapa adjunto,

estas herramientas en nuestros proyectos y convertirnos

podemos notar que muchas oficinas convergen en el

poco a poco en empresas basadas en la información.

área central. En resumen: pudimos decirles de dónde

La tecnología de datos masivos nos ayudará a enfrentar

viene la población, cuánta gente hay allí, y también la

la cuarta revolución industrial que es la revolución de los

población que sale de ese punto hacia otro. Este es

datos; aprovechemos que es una revolución anunciada,

un ejemplo de los estudios de pasos inteligentes con

a diferencia de las anteriores. Así que ¡manos a la obra!

los que Telefónica apoya a las empresas para que se

y contad con Telefónica para apoyarles en este viaje.

Coloquio

Delitos cibernéticos: una amenaza latente en la región Daniel Monastersky, abogado especializado en delitos informáticos, identifica los riesgos de la ciberdelincuencia a los que todos estamos expuestos. Uno de los más comunes es el robo de identidad, por lo que sugiere que se debe pensar dos veces antes de publicar algo en las redes sociales

sys. ¿Cuáles son los principales problemas que vive

Ilustración: Oscar Danilo Quezada Imágenes de uso libre: pxhere, pixabay

Latinoamérica en temas de ciberseguridad? dm. Uno de los mayores problemas que vivimos en la

región es el desconocimiento de esta temática por parte de los operadores judiciales y la ciudadanía en relación a qué es delito y qué no. También la falta de tipificación de algunas modalidades delictivas en algunos de los países de la región es un problema, por ejemplo el robo de identidad digital y el grooming1 son reconocidos como delito en algunos países, y en otros no. El tema de la pornografía infantil está tipificada, pero lo que no está plasmado es la tenencia del material pornográfico de menores en un sistema informático, que es muy importante, y que es uno de los puntos que recomienda la norma marco en tema de delitos informáticos que es el Convenio sobre la 1 Este término en inglés significa literalmente acicalamiento;

se llama así a la comunicación con menores por medios cibernéticos previo a un contacto físico o sexual; también es conocido como ciberacoso infantil.

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 11

Ciberdelincuencia de Budapest. La norma indica

El sector privado también es fundamental, porque

que la producción, la oferta o la puesta a disposición,

se requiere de una gran colaboración entre todos los

la difusión o transmisión, la adquisición de pornografía

actores involucrados. Si se quiere investigar un delito

infantil por medio de un sistema informático para uno

informático, se requiere que la empresa proveedora

mismo o para otra persona, y la posesión de pornografía

de servicios brinde los datos de ip 2 y los nodos de

infantil en un sistema informático o en un medio de

conexión. Sin esa información no se puede identificar

almacenamiento de datos informáticos, son medidas

a la persona que generó el incidente.

legislativas que deben ser retomadas para un abordaje del delito más concreto.

sys. Usted pertenece a una organización que se llama

“Identidad Robada”, ¿tiene alguna estadística sobre sys. ¿Cuál es la relación entre estos delitos de

qué países de Latinoamérica tienen mayor alcance

ciberseguridad con el tema de los derechos ciudadanos?

o mayor pérdida por robo de identidad?

dm. El acceso al Internet está considerado como un

dm. Tengo algunos datos sobre este tipo de delitos en

derecho humano, pero, evidentemente, los ciudadanos

Argentina, pero no en la región. Lo que sí te puedo decir

no tienen acceso a Internet de manera uniforme, lo que

es que el robo de identidad digital es la modalidad por

dificulta el desarrollo de estrategias para minimizar el

excelencia en los delitos informáticos.

impacto de las nuevas tecnologías en relación a los delitos. Como persona, para poder cuidarte, se necesita

A través del robo de identidad digital se generan

tener conocimientos. Sin acceso a Internet, no podés

muchos de los delitos informáticos que ocurren hoy

informarte y protegerte.

en día. Por ejemplo a través de un robo de identidad digital se puede calumniar, injuriar, o acosar a un

sys. Frente a estos problemas ¿Cuáles serían los retos

menor. También se puede hacer bullying,3 amenazar

o desafíos que tenemos según los distintos actores:

o extorsionar siempre a través de una identidad falsa

gobierno, sociedad civil, el sector privado, ciudadanos?

o con una identidad suplantada.

dm. La sociedad civil cumple un rol fundamental en esta

Soy autor de un proyecto de ley que por tercera vez se

temática porque si no fuera por ellos no tendríamos,

presenta en Argentina para tipificar el robo de identidad

o no hubiéramos tenido, campañas de prevención y

digital. En este caso se ha modificado la letra de la

concientización. Ahora, a nivel de gobierno, empiezan

ley, una adecuación del tipo penal, para adaptarla a

a haber espacios mediante los cuales se les brinda

los nuevos tiempos. El proyecto prevé que la persona

atención, orientación e información a los ciudadanos.

que robe, cree una identidad, o suplante la identidad

Por ejemplo el Centro de Ciberseguridad de Buenos Aires (BA-CSirt), donde soy asesor legal, recibe todo

2 Las empresas proveedoras de servicios de Internet (service

y lo que hacen ahí es que a partir de un protocolo que

providers, en inglés) colaboran con la fuerza pública dando la dirección ip (Internet Protocol Address) de una comunicación, lo que permite ubicar su origen y al posible usuario.

se preparó con la justicia, proceder con estos casos

3 Acoso o intimidación; su contraparte en el ámbito de las

tipo de consultas relacionadas con delitos informáticos,

cuando se requiera una investigación judicial.

comunicaciones cibernéticas se conoce como ciberacoso.

12 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017

de alguien para cometer un delito, se le aplique una

ong de todo el mundo. Por ejemplo: la brecha digital

pena agravada. O sea, si extorsionas con una identidad

que existe entre hombres y mujeres para el acceso a la

robada, la pena va a ser mayor.

tecnología; hay pocas mujeres que trabajan en temas de tecnología y de seguridad informática. Tratamos de

sys. ¿Hay algún procedimiento en Buenos Aires sobre

generar el espacio y de conseguir financiamiento para

cómo se debe manejar este tipo de delito? ¿Es un

achicar esa brecha. También hay otra iniciativa para

proceso diferente?

darle conectividad a pueblos alejados, para que esas personas tengan acceso a Internet.

dm. Hay fiscalías especializadas en la temática de delitos

informáticos. En la ciudad hay tres fiscalías. Una es la

sys. ¿Cómo puede una ciudadana centroamericana

Unidad Fiscal Especializada en Ciberdelincuencia

solicitarles a ustedes que le ayuden a llevarle acceso a

(ufeci),4

Internet a un pueblo?

de investigación de delincuencia informática.

Es fundamental que se capaciten a los operadores, jueces y fiscales de todo el país. Otra es la fiscalía

dm. En la página web hay un vínculo donde se pueden

nacional, que es el punto focal para todo el país;

proponer iniciativas. Una vez recibida la solicitud, los

después la investigación se deriva a la jurisdicción que

miembros del consejo asesor emitimos un declaración

corresponda, y tiene competencia en todo el país.

sobre la viabilidad de la propuesta; a partir de allí, la secretaría se encarga de conseguir financiamiento entre

sys. ¿Usted conoce de esfuerzos regionales que

los socios y los miembros del foro.

promuevan que el robo de identidad sea tipificado en sys. Desde su perspectiva, ¿cómo podemos proteger

las legislaciones de cada país?

nuestra información? dm. No. Hay esfuerzos independientes de cada país

para tipificar esta modalidad delictiva, pero no hay

dm. Hoy en día, la reputación digital es muy importante;

ningún organismo que unifique criterios respecto a este

si alguien te quiere hacer daño es muy fácil publicar

tema.

cualquier cosa en Internet, y muchas personas consideran que lo que está publicado es verdad.

sys. Usted participó recientemente en una cumbre

de ciberseguridad, ¿cuál es el tema principal que los

Es fundamental pensar antes de publicar algo, sacarse

expertos en la materia están tratando de abordar?

una foto o filmarse. Una vez que una imagen es subida a Internet o compartida a través de redes sociales, es

(gfce),5

imposible borrarla. Es necesario mantener y cuidar

nos llegan iniciativas de personas, organismos, y de

nuestras identidades digitales, ya sea la de una persona

dm. En el Global Forum on Cyber Expertise

o de una empresa, para que lo que aparezca en las 4 https://www.mpf.gob.ar/ufeci/

herramientas de búsqueda sea la información que

5 Una plataforma mundial para que los países, organiza-

nosotros queremos, y no la información falsa o negativa

ciones internacionales y empresas privadas intercambien prácticas y conocimientos sobre el ámbito cibernético. https://www.thegfce.com/

que otra persona quiera presentar.

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 13

Coloquio

Seguridad digital, un asunto de derechos humanos Luciana Peri, especialista de Fundación Acceso (Costa Rica) analiza la importancia del abordaje de la seguridad digital desde la perspectiva de los derechos humanos. Presenta las vulnerabilidades en la región centroamericana, y algunas medidas para promover una cultura de seguridad digital.

sys. ¿Cuál es la diferencia entre seguridad digital

y ciberseguridad? lp. En realidad, los términos ciberseguridad y seguridad Ilustración: Oscar Danilo Quezada Imagen de uso libre: pixabay

digital son sinónimos. Desde mi perspectiva, la diferencia entre uno y otro radica en la aproximación que hacemos sobre la temática. El término ciberseguridad suele utilizarse por actores privados/empresariales, como por ejemplo los bancos, en contextos de fraude o estafas electrónicas. Los actores gubernamentales (o inter-gubernamentales) también hablan de la ciberseguridad, haciendo hincapié en la seguridad nacional, es decir, en la seguridad de los Estados frente a las grandes amenazas como el terrorismo, el narcotráfico o la explotación sexual comercial. Ellos justifican la restricción de derechos de la ciudadanía en pos de la defensa de diferentes vertientes de la seguridad, entre ellas, la ciberseguridad. Cuando hablamos de seguridad digital, lo hacemos desde un enfoque de derechos humanos, priorizando

14 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017

la seguridad de la ciudadanía, defendiendo el derecho

lp. Por un lado, la falta de adecuación de las

a la privacidad de las personas, y rechazando la falsa

legislaciones a esta realidad expandida que plantea el

disyuntiva que se nos intenta imponer entre seguridad

universo digital, desemboca en que la ciudadanía no

y privacidad.

cuente con una protección efectiva de sus derechos en el ámbito digital.

De igual forma, entendemos que la seguridad digital es solo una de las variables de la seguridad integral de las

Al mismo tiempo, en Centroamérica la sociedad civil

personas, la que también incluye la seguridad física,

organizada aún no ha comenzado a incorporar la

la seguridad psico-social y la seguridad legal, por lo

temática de los derechos en el ámbito digital en su

que los abordajes de estos temas deben ser integrales

agenda de derechos humanos, lo que hace que exista

e interdisciplinarios.

poca incidencia y fiscalización en la región sobre estos temas por parte de la sociedad civil.

La seguridad digital es solo una de las variables de la seguridad integral de las personas, la que también incluye la seguridad física, la seguridad psico-social y la seguridad legal

Por otro lado, la vulnerabilidad radica en el papel que decidimos jugar como personas usuarias. Si cuento o no con los recursos para informarme sobre lo que implica moverme en este mundo digital y, si efectivamente tengo los recursos, ¿cómo decido utilizarlos? Existe un vacío generalizado de sensibilización sobre la seguridad

sys. ¿Cómo se relaciona la seguridad digital con los

digital, ya sea porque no logro identificar o dimensionar

derechos humanos?

los riesgos, porque si lo hago tengo que cambiar ciertos hábitos para protegerme, o fortalecer mis capacidades

lp. Al respecto se ha planteado un debate muy

en el uso de las tecnologías.

interesante en los últimos años. En un principio se comenzó abogando por la defensa de los derechos

sys. ¿Cuáles son los principales hallazgos de su último

digitales, para luego cambiar la perspectiva y afirmar

informe centroamericano de seguridad digital?

que los derechos digitales como tal no existen, sino que lo que se intenta defender son los derechos humanos

lp. El Observatorio Centroamericano de Seguridad

ya reconocidos, pero en el ámbito digital.

Digital (osd) surge como una iniciativa de Fundación Acceso1 que logra consolidarse en el año 2016,

Con esto se intenta establecer que los derechos

comenzando a operar en su etapa piloto.

digitales no son derechos nuevos, sino que son los mismos derechos fundamentales, pero aplicados en un

El objetivo general del osd es registrar y analizar

nuevo contexto, el digital.

los incidentes de seguridad digital de las personas defensoras de derechos humanos que ejercen su

sys. ¿Cuáles son los factores que nos vuelven

defensoría en Centroamérica. El proceso de registro

vulnerables ante las amenazas digitales? 1 http://www.acceso.or.cr/

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 15

y análisis es un trabajo conjunto entre personas que

nuevos hábitos y políticas institucionales que respalden

brindan asesoría legal y las que brindan asesoría

estas acciones.

informática. Además, resulta fundamental que el tema de los Para alcanzar este objetivo, Fundación Acceso visita

derechos en el ámbito digital comience a ser más

y da seguimiento a las personas u organizaciones

cotidiano, lo que debe ser el resultado de un esfuerzo

defensoras de derechos humanos que reportan un

conjunto entre una gran variedad de actores, entre ellos,

incidente a su seguridad digital, lleva un registro de los

la sociedad civil.

incidentes reportados y elabora un informe anual con la información recolectada.

sys. Desde su visión, ¿cuáles son los principales retos a

los que estamos expuestos hombres y mujeres? Con esto se busca fortalecer los mecanismos de seguridad de defensores/as de derechos humanos,

lp. Creo que en el ámbito de la seguridad digital, los

posicionar el tema de la seguridad digital como un

mayores retos que enfrentamos como personas en

componente clave de la seguridad integral, fortalecer

general son la vigilancia masiva y la recolección masiva

el análisis de la seguridad integral de defensores/as

de datos. Vivimos en sociedades de control, que intentan

de derechos humanos en Centroamérica, y apoyar

legitimarse desde un discurso del resguardo de nuestra

potenciales litigios estratégicos con información basada

seguridad, cuando en realidad lo que se busca es el

en un análisis jurídico e informático.

monitoreo de nuestros hábitos para el rédito privado y el control político.

Los principales hallazgos tienen la característica de haber sido recopilados durante la etapa piloto, por lo que son muy generales. Así, concluimos que efectivamente existen incidentes de seguridad digital y estos afectan directamente la labor que las y los defensores de derechos humanos realizan, poniendo en peligro su información y su trabajo. Sin embargo, aún no existe la sensibilización necesaria sobre este tema, por lo que

Vivimos en sociedades que intentan legitimarse desde un discurso del resguardo de nuestra seguridad, cuando en realidad lo que se busca es el monitoreo de nuestros hábitos para el rédito privado y el control político

los reportes han sido muy escasos y pocos de ellos se reportan. A su vez, las mujeres viven mayores retos en la sys. ¿Cómo podemos promover una cultura de

apropiación de las tecnologías y la seguridad digital,

seguridad digital?

ya que el mundo digital refleja lo que somos como sociedad.

lp. Se debe comenzar por la información y la

sensibilización, para después dar paso a la capacitación, el aprendizaje de nuevas herramientas, la adaptación a

16 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017

Ilustración: Oscar Danilo Quezada

Ventana Regional

¿Privacidad digital para defensores y defensoras de derechos humanos en Nicaragua? Un extracto de los hallazgos pertinentes a Nicaragua de la investigación ¿Privacidad digital para defensores y defensoras de derechos humanos?, realizada por la Fundación Acceso (Costa Rica) en 20151 mireya zepeda rivera

L

a vigilancia, censura, sanción y control del derecho a

de derechos humanos, se crean respuestas más

la privacidad de defensores y defensoras de derechos

intimidantes tales como agresión, amenaza, o inclusive

humanos violenta cualquier orden constitucional

asesinato.

y jurídico de un país. En un Estado de derecho

y democrático, el ideal es desarrollar acciones y políticas

DERECHO A LA PRIVACIDAD

para enfrentar los problemas sociales. Sin embargo, ante acciones efectivas de defensores y defensoras

Uno de los derechos fundamentales más afectado en las sociedades modernas es el derecho a la privacidad.

1 http://acceso.or.cr/assets/files/Investigacion-PrivacidadDigital-fa.pdf

Ello se debe al desarrollo de la tecnología, que ha

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 17

conllevado a la transformación de un bien jurídico. Esta

y aplica tanto para los y las ciudadanas nicaragüenses

situación ha creado una preocupación en la doctrina

como también para las personas extranjeras, pues se

científica jurídica que vela por una mayor protección

trata de un derecho estrictamente vinculado a la propia

de la privacidad, debido a su estrecha relación con la

persona, imponiendo como única restricción el ejercicio

dignidad humana y el desarrollo de la personalidad.

de los derechos políticos.3

El artículo 26 de la Constitución Política de Nicaragua,2

No existe referencia constitucional respecto a la titularidad

vigente desde la reforma constitucional de 1995,

del derecho por parte de las personas jurídicas, pues

dispone que toda persona tiene derecho a:

el derecho a la privacidad está concebido como un derecho de la personalidad; por ende, lo ostentan las

1. Su vida privada y a la de su familia; 2. Al respeto de su honra y reputación; 3. Conocer toda información que sobre ella se haya registrado en las entidades de naturaleza privada y pública, así como el derecho de saber por qué y con qué finalidad se tiene esa información; 4. La inviolabilidad de su domicilio, su correspondencia y sus comunicaciones de todo tipo.

personas físicas y no las jurídicas. Como consecuencia del desarrollo técnico jurídico, la protección material del derecho a la vida privada presenta en el contexto constitucional nicaragüense un contenido amplio y complejo: el reconocimiento de la vida privada personal, vida privada familiar, inviolabilidad del domicilio y del secreto de las comunicaciones. Sin embargo, también cuenta con otras manifestaciones que no necesariamente suponen derechos protegidos

El contenido normativo de este precepto constitucional

y reconocidos, como se verá a continuación.

aborda el derecho a la vida privada desde un punto de vista más amplio que el establecido previamente

Vida privada: ámbito personal y familiar

por la Constitución anterior, que data de 1987. La de 1995 considera que las libertades públicas no solo

La vida privada se entiende bajo un concepto

aplican para las injerencias que puedan provenir

relacionado con la prohibición de que una persona sea

desde particulares, sino también desde el Estado. De

objeto de injerencias arbitrarias hacia ella misma o la de

ahí que, en su apartado 3, introducido con la reforma

su familia, su domicilio o su correspondencia, así como

constitucional de 1995, se reconoce el derecho a la

de ataques a su honra o a su reputación, contando

información sobre registros de datos personales.

con la protección de la ley contra tales injerencias o ataques. En Nicaragua, aunado a lo contenido

Los derechos humanos son derechos individuales en

en el precepto constitucional, la Ley de Acceso a la

sentido propio. El derecho a la vida privada, reconocido

Información Pública4 y su reglamento,5 y la Ley de

en el mismo artículo 26 de la Constitución Política, protege la autonomía del individuo en su ámbito privado

3 Nicaragua “Constitución Política”, artículo 27. 4 Nicaragua “Ley de Acceso a la Información Pública”,

2 Nicaragua “Ley de Reforma Parcial a la Constitución Política

de Nicaragua”, La Gaceta, nº 26 (2014), artículo 26.

La Gaceta nº 118 (22 de junio 2007), artículo 4, inciso b, párr. 2. 5 Nicaragua “Reglamento de la Ley de Acceso a la Información Pública” Asamblea Nacional de la República de Nicaragua, Decreto No. 81–2007 (17 de agosto 2007).

18 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017

Protección de Datos Personales,6 hacen referencia

de amparo, el cual era admisible contra el funcionario,

a los aspectos que se consideran como información

autoridad o agente que por su acción u omisión violara

privada o sensible, entendiendo aquellos referidos a

o tratara de violar los derechos y garantías consagrados

la salud o vida sexual, raza, etnia, preferencia política

en la Constitución Política. Posteriormente y para

o religiosa, situación económica, social o familiar, o a

garantizar el resguardo y protección de los datos

su honra y reputación, antecedentes penales o faltas

personales, en 2013 se reformó la Ley de Amparo9 en

administrativas, información crediticia y financiera o

la que se añade el recurso de habeas data para evitar

cualquier otra que pueda ser motivo de discriminación.

la publicidad ilícita de los mismos. La reforma establece que el recurso de habeas data “…se crea como garantía de tutela de datos personales asentados en archivos,

Protección de datos personales

registros, bancos de datos u otros medios técnicos, La protección de datos personales emerge de la garantía

de naturaleza pública o privada, cuya publicidad

constitucional establecida en el artículo 26, inciso 3,

constituya una invasión a la privacidad personal

de la Constitución Política, el cual establece que toda

y tenga relevancia con el tratamiento de datos sensibles

persona tiene derecho a conocer toda información

de las personas en su ámbito íntimo y familiar.”10

personal que sobre ella se haya registrado en las entidades de naturaleza privada y pública, así como el

Secreto de las comunicaciones

derecho de saber por qué y con qué finalidad se tiene El artículo 26, inciso 4, del texto constitucional

dicha información.

nicaragüense reconoce de forma concisa el derecho La Ley de Protección de Datos Personales define la

a la inviolabilidad del domicilio y al secreto de las

autodeterminación informativa como el derecho de toda

comunicaciones, correspondencia, los papeles privados

persona a saber quién, cuándo, con qué fines y en qué

y las manifestaciones privadas contenidas en cualquier

personales,7

soporte, y se establece como único límite la autorización

circunstancias se investigan sus datos

entendiéndose los datos como toda información sobre

judicial.

una persona natural o jurídica que la identifica o la hace identificable, sean estos medios electrónicos o

automatizados.8

Nicaragua, a diferencia de otros países de la región, no cuenta con una ley específica de escucha o de interceptación de comunicaciones. Sin embargo,

Hasta el año 2013, Nicaragua velaba por el cumplimiento

ampliando

de dicho precepto constitucional a través del recurso

Constitución Política, bajo los cuales se podría

los

supuestos

establecidos

en

la

interceptar una comunicación, la Ley de Prevención, 6 Nicaragua “Ley de Protección de Datos Personales”,

La Gaceta nº 61 (2012), artículo 2, inciso g.

Investigación y Persecución del Crimen Organizado y de la Administración de los Bienes Incautados,

7 Nicaragua “Ley de Protección de Datos Personales”,

La Gaceta nº 61 (2012), artículo 3, inciso a.

8 Nicaragua “Ley de Protección de Datos Personales”,

artículo 3, incisos e y f.

9 Nicaragua “Ley de Amparo”, La Gaceta nº 61 (8 de abril

2013).

10 Íbid., artículo 6.

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 19

Decomisados y Abandonados11 establece que se interceptarán las comunicaciones a solicitud expresa y fundada del Fiscal General de la República o de la Directora General de la Policía Nacional. El juez penal podrá no solo interceptar una comunicación telefónica, sino también grabar e interrumpir cualquier tipo de comunicación: electrónica, radioeléctrica, fijas o móviles, inalámbricas, digitales o de cualquier otra naturaleza, siempre y cuando sea para fines de investigación penal. Dicha

interceptación

aplica

únicamente

para

la

investigación de los delitos previstos en la misma ley: financiamiento ilícito de estupefacientes, psicotrópicos y sustancias controladas, lavado de dinero, crimen organizado, terrorismo, asesinato, trata de personas, tráfico de migrantes, tráfico y extracción de órganos, delitos contra el sistema bancario, cohecho cometido por autoridad, uso de información reservada, entre otros.12 Por otro lado, los artículos 213 y 214 del Código Procesal Penal hacen una selección de los delitos graves que pueden dar lugar a una intervención telefónica y solo por un tiempo determinado, así como el procedimiento de las intervenciones de otro tipo de comunicaciones sean estas escritas, telegráficas

Es importante destacar que, dentro del proceso penal, la intervención de las comunicaciones telefónicas y la interceptación de comunicaciones escritas o telegráficas 11 Nicaragua “Ley de Prevención, Investigación y Persecución

del Crimen Organizado y de la Administración de los Bienes Incautados, Decomisados y Abandonados”, La Gaceta nº 199 y 200 (19–20 de octubre 2010), capítulo VIII, artículo 62.

12 Nicaragua “Ley de Prevención, Investigación y Persecución

del Crimen Organizado y de la Administración de los Bienes Incautados, Decomisados y Abandonados”, artículo 3.

fuentes Confidencial, cenidh, La Prensa

y electrónicas, respectivamente.

20 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017

constituyen una intromisión permisible de los órganos

En 2014, el Consejo de Derechos Humanos de

de persecución penal del Estado en el libre ejercicio del

Naciones Unidas aprobó la resolución a /hrc/27/37

derecho fundamental de las personas, reconocido en el

sobre El derecho a la privacidad en la era digital13

artículo 26, inciso 4, de la Constitución Política, con el

propuesta por Alemania, Brasil y México. Dicha

fin de averiguar la verdad sobre un hecho delictivo.

resolución identifica el reto que representa el rápido crecimiento de las tecnologías, aunado al Estado como

Dimensiones constitucionales

ente de control frente a los ciudadanos, mediante la vigilancia y la recopilación de datos, irrespetando el

El mencionado artículo 26 presenta un doble contenido

derecho a la privacidad individual. Así, se da un paso

con respecto a la privacidad de todo ciudadano

para el resguardo de la privacidad y la no vulneración

y ciudadana nicaragüense; uno de carácter positivo,

de derechos humanos y se insta a los Estados

que impide la intromisión e injerencias ajena a nuestra

a respetar las normativas internacionales respecto

información, y otro negativo, que se refiere al control

a la no vigilancia de sus ciudadanos y ciudadanas.

privado que ejercen terceros sobre nuestra información,

El siglo 21 crea nuevos desafíos para los Estados y para

almacenada en archivos informáticos. El derecho a la

todas las ciudadanas y ciudadanos. Las exigencias del

autodeterminación informativa se presenta como el

contexto actual nicaragüense demandan una mayor

derecho de una persona a reservar un ámbito de su vida

vigilancia por parte de una ciudadanía informada,

como intangible y secreto para los demás, así como

que no tenga restricción de información, ni sea

para controlar la recolección, uso y tratamiento de sus

perseguida por su propio gobierno.

datos personales en manos de terceros. En este precepto constitucional encontramos, de forma

NORMAS SOBRE INTELIGENCIA Y CONTRAINTELIGENCIA

implícita, la protección de los datos personales de los ciudadanos nicaragüenses, y el planteamiento de un

Los ataques cibernéticos están dando lugar a nuevos

límite legal a la Administración Pública, la que tiene el

tipos de conflicto, no solo entre atacantes y una nación,

deber de informar, a petición del ciudadano, qué datos

sino también entre el Estado que persigue controlar la

personales tiene registrados, el por qué y la finalidad de ello.

infraestructura electrónica e informática, así como las redes de comunicación de sus propios ciudadanos.

CIFRADO Y ANONIMATO Posterior a la publicación de la investigación realizada A pesar que la legislación nicaragüense no profundiza

por la Fundación Acceso (y que sirvió de base para

sobre la protección del cifrado y el anonimato,

el presente artículo, ver cita #1), Nicaragua aprobó la

exceptuando aquel referido al comercio electrónico,

Ley de Seguridad Soberana, la cual conceptualiza

estos pueden estar protegidos bajo lo establecido en el

e identifica aquellas eventualidades, acciones, actos

artículo nº 32 de la Constitución Política, el cual establece que ningún ciudadano o ciudadana nicaragüense está obligado a hacer lo que la ley no mande, ni impedida de hacer lo que ella no prohíbe.

13 Alto Comisionado de las Naciones Unidas para los Dere-

chos Humanos. El derecho a la privacidad en la era digital. Washington: Naciones Unidas, 2014.

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 21

y ataques que pongan en riesgo la seguridad del país, entre ellas, la seguridad cibernética o cualquier otro acto o actividad ilícita, o factor natural que atente contra el desarrollo integral de las personas, la familia y la comunidad.14 La ambigüedad y vaguedad de dicha ley podría ser interpretada a conveniencia de la autoridad que tiene a cargo la función de informar sobre esos posibles riesgos y amenazas, en este caso, el Sistema Nacional de Seguridad Soberana, presidido por el Ejército de Nicaragua a través de su Dirección de Información para la Defensa (did), principal órgano de inteligencia a nivel nacional. Defensores y defensoras de derechos humanos — consultados en la investigación— señalaron que la Ley de Protección de Datos Personales no los protege, pues los mecanismos a los cuales podrían acceder

Primera página de la Ley nº 919, Ley de Seguridad Soberana

para proteger sus datos no existen debido a la falta de institucionalidad creada por la misma ley. Por otro

La diversidad de las normativas que directa e

lado, dan a conocer la completa indefensión en la

indirectamente abordan la privacidad digital limita su

que se encuentran al no existir una normativa jurídica

completo conocimiento, tanto para el sector técnico

que proteja su labor. Destacan la preocupación que

como para la defensa de los derechos humanos.

sienten a ser demandados o enjuiciados por violación

¿Puede utilizarse la Ley de Prevención, Investigación y

ilícita de comunicaciones, acceso abusivo a un sistema

Persecución del Crimen Organizado en el contexto de

informático, robo, daño en bien ajeno, estafa, piratería,

privacidad digital? ¿Qué mecanismos existen para hacer

e incluso por terrorismo, bajo la mencionada Ley de

efectivo nuestros derechos a la privacidad digital y a la

Seguridad Soberana.

protección de nuestros datos? ¿Es la Ley de Seguridad Soberana un garante de la privacidad digital?

Los allanamientos realizados a organizaciones de sociedad civil en Nicaragua se han dado de forma

En Nicaragua, el derecho a la protección de la privacidad

arbitraria, lo que ha llevado a las organizaciones a

—en el contexto de la seguridad digital— enfrenta un reto

conocer sobre los procedimientos bajo los cuales

en cuanto a su cumplimiento. El recurso constitucional

debe llevarse a cabo un allanamiento; sin embargo,

del habeas data como mecanismo procesal de la

desconocen si entre el procedimiento de allanamiento

acción de protección de datos personales presupone

cabe la requisa de información reservada.

un equilibrio a favor del ciudadano. Sin embargo, para crear un precedente normativo es necesario que las y

14 Nicaragua “Ley de Seguridad Soberana”, La Gaceta nº 241

(18 de diciembre 2015), artículo 8, incisos 9 y 13.

los usuarios recurran a dicho recurso y hagan cumplir sus derechos.

22 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017

Ventana Regional

Desafíos a la ciberseguridad en Colombia Las amenazas cibernéticas representan un gran reto para los Estados y para los organismos internacionales de seguridad a nivel mundial. El ciberterrorismo, el cibercrimen o la posibilidad de una guerra cibernética son situaciones para los que las autoridades deben estar preparadas. Colombia ha reconocido estas amenazas y ha elaborado planes de seguridad digital, pero hay aspectos por mejorar para consolidar su ciberseguridad. vicente torrijos rivera, david gonzález ortiz

INTRODUCCIÓN Las amenazas tradicionales a la seguridad de las sociedades, durante la historia de la humanidad, han provenido de medios tangibles, físicos y propios de la interacción entre individuos, grupos y comunidades. El ciberespacio cambia las reglas de juego, en la medida en que se crean interacciones en un mundo virtual, donde las amenazas no se pueden visualizar con facilidad y tienden a permanecer incógnitas. El ciberespacio, como afirma Marc Goodman,1 se convierte entonces en un quinto ámbito de batalla, donde convergen todo tipo de actores, desde Estados y grandes corporaciones, hasta individuos, intermediarios y piratas informáticos (hackers), inmersos en la economía digital. 1 Goodman, M. (2016). Los delitos del futuro. Barcelona: Ariel.

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 23

Las amenazas tradicionales, como el crimen organizado y el terrorismo, han migrado al escenario cibernético, generando contrapartes como el cibercrimen y los ataques cibernéticos. Esto es un llamado de alerta a los Estados y organismos de seguridad a nivel mundial, para que evolucionen, con tanta, o incluso con mayor agilidad que las amenazas cibernéticas, implementando planes de contingencia y sistemas de alerta temprana contra las ciberamenazas. Para el Estado colombiano, esta iniciativa de adaptación constante a la evolución tecnológica es una obligación ineludible. El presente documento tiene como propósito identificar las amenazas a la ciberseguridad de Colombia y cómo puede el Estado colombiano enfrentar este desafío. Para ello, dividiremos este análisis en tres secciones. Primero, se expondrán las principales fuentes de amenaza para Colombia en el ciberespacio. Segundo, se analizarán las fortalezas con las que ya cuenta el Estado colombiano en materia de ciberseguridad. Y, finalmente, se determinarán qué aspectos del modelo colombiano se podrían mejorar, tomando como marco de referencia las características que debe tener un sistema de ciberseguridad de vanguardia.

AMENAZAS A LA CIBERSEGURIDAD EN COLOMBIA Los factores de inseguridad que generan desafíos al Estado colombiano son diversos, y pueden variar desde individuos con un alto conocimiento técnico, hasta grandes estructuras y organizaciones. Dentro de estas ciberamenazas, tres pueden definirse como críticas; por esa razón, el Estado colombiano debe prepararse y anticiparse a ellas para garantizar su supervivencia y la seguridad digital del país. En primer lugar, se deben considerar las actividades terroristas enmarcadas en el concepto de ciberterrorismo. A pesar de que su definición ha sido ampliamente debatida, se puede decir que el ciberterrorismo consiste en la convergencia de actividades terroristas en el ciberespacio, dadas las posibilidades de maximizar los objetivos de los terroristas a través de herramientas digitales.2 Para Colombia, las representaciones del ciberterrorismo podrían provenir de dos frentes: primero, de parte de grupos tradicionales en el marco del conflicto armado interno; segundo, de grupos terroristas extranjeros que tengan intereses particulares en Colombia o que quieran tomar al país como cabeza de puente para realizar actividades ciberterroristas en otros países. En el primero de los escenarios, grupos como el 2 Bucci, S. (2009). The Confluence of Cyber Crime and Terrorism. Heritage Lectures,

Heritage Foundation.

24 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017

Ejército de Liberación Nacional Colombiano (eln),

grupos competirían por obtener recursos digitales,

o disidencias de las Fuerzas Armadas Revolucionarias

conocimientos o dominar una cabeza de puente que les

de Colombia (farc) o inclusive los llamados Grupos

permita atacar a sus enemigos comunes, los Estados

Armados Organizados (gao), podrían incursionar en el

Unidos, Europa, Israel, etc. Colombia podría ser una de

ciberespacio para realizar actividades terroristas. Sobre

esas cabezas de puente, y el Estado colombiano debe

este asunto, Gema Sánchez

afirma:3

considerar esa posibilidad.

Los grupos armados se han volcado en la

Un segundo tipo de actores que representan posibles

red. Uno de los primeros fue el “Movimiento

amenazas para Colombia son las organizaciones

Sendero Luminoso”; después lo harían otros

criminales

como Al Qaeda, el Ejército Republicano Irlandés

ciberespacio y el cibercrimen organizado colombiano.

(IRA), el ELN, las FARC, Euskadi Ta Askatasuna

Las diferencias entre estos dos son su capacidad

(ETA), Hezbollah, etc. Se podría decir que,

técnica y su ámbito de acción. Mientras que el crimen

prácticamente, todos los grupos armados

organizado tradicional compra o contacta intermediarios

disponen de algún tipo de espacio (web, foro,

que actúen por ellos en el ciberespacio, los integrantes

site, etc.) en la red. Bien sea para divulgar la

del cibercrimen organizado tienen una alta capacidad

historia de la organización y de sus actividades,

técnica y dominio de conocimientos en tecnología

la información sobre sus objetivos políticos

informática.5 Este es el caso del tráfico ilegal de drogas

e ideológicos, las críticas de sus enemigos,

o armas que se realiza a través de la web profunda (deep

o simplemente, para verter amenazas o abrir

web), en el que intervienen organizaciones criminales,

foros de debate e interactuar con sus seguidores

tanto fuera como dentro del ciberespacio.6

tradicionales

que

incursionan

en

el

y simpatizantes. En cuanto al cibercrimen organizado, sus habilidades La otra posibilidad de amenaza ciberterrorista para

tecnológicas están altamente desarrolladas y están

Colombia podría provenir de los grupos terroristas

activas de manera permanente.7 Este tipo de criminales

islamistas del exterior. Organizaciones como isis,

se dedican al intercambio de bienes y servicios ilegales,

Al-Qaeda y Hezbollah han utilizado el ciberespacio para

o que rayan en lo ilegal. Su ámbito de acción ideal son los

extranjero.4

mercados negros digitales de la web profunda y la web

Hipotéticamente, podría darse que dichos grupos

oscura (darknet), donde pueden ofrecer aplicaciones

encuentren en Colombia un espacio libre de la

maliciosas, herramientas o kits de piratería informática,

férrea persecución de los organismos de seguridad

venta de tarjetas débito y crédito producto de fraudes

realizar actividades ciberterroristas en el

internacionales

que

se

encargan

de

neutralizar

el ciberterrorismo islamista. Si fuera así, estos

5 Kaarel, K. (2013). Illicit Network Structures in Cyberspace.

3 Sánchez, G. (2015). El ciberterrorismo, de la web 2.0 al

6 Ablon, L.; Golay, A. & Libicky, M. (2014). Markets for Cyber-

Internet profundo. Revista Ábaco, 85(3), p.101.

4 Europol (2016). The Convergence of Cyber and Terrorism.

The Internet Organized Crime Threat Assessment (IOCTA).

5th International Conference on Cyber Conflict.

crime Tools and Stolen Data: Hackers’ Bazaar. Rand Corporation. 7 Kaarel, K. (2013). Illicit Network Structures in Cyberspace. 5th International Conference on Cyber Conflict.

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 25

Amenazas tradicionales

Líneas de defensa Documento CONPES 3854 del DNP (desde 2016) Infraestructura tecnológica robusta (ColCERT) Centro Cibernético Policial (CCP) de DIJIN Estrategias educativas del MINTIC Cámara Colomb. de Informática y Telecomunic. (CCIT)

Crimen organizado Terrorismo Conflictos externos

Ciberamenazas Terrorismo interno Grupos terroristas extranjeros Estados adversarios (guerra híbrida)

electrónicos, entre otros.8 De esta manera, tanto el crimen organizado tradicional como el cibercrimen

Desafíos futuros Revisión constante de regulaciones tecnológicas Mejorar prácticas de vigilancia tecnológica y adaptar capacidad regulatoria Desarrollar protocolos de intercambio de información y estudios prospectivos sobre cibercrimen

AVANCES EN CIBERSEGURIDAD DEL ESTADO COLOMBIANO

representan una amenaza al Estado colombiano, ya que minan la gobernabilidad de éste en el ciberespacio,

Para que un sistema de seguridad cibernética sea

e impiden que se respeten sus normas en materia digital

efectivo, debe garantizar la seguridad de su propia

y el ejercicio del Estado de derecho.

población en el mundo virtual, así como impedir que amenazas internas o externas pongan en duda o en

En tercer lugar, una amenaza potencial sería la de un

serios aprietos a las entidades de seguridad digital. Para

Estado que se declare como adversario o contrario a

comprender la evolución de Colombia en esta materia,

los intereses de Colombia, y que subcontrate servicios

es necesario reconocer las características de un sistema

de ciberterroristas o cibercriminales para atacar

de seguridad cibernética de vanguardia. Según Andrés

instituciones públicas, el sector privado, o el sistema

Gaitán,11 se pueden tomar tres elementos esenciales

financiero colombiano. Esto cae dentro del concepto de

para construir una primera barrera de ciberdefensa

guerra

híbrida,9

en el que convergen diferentes formas

contra las amenazas cibernéticas:

de lucha, entre ellas la ciberguerra vía la subcontratación de agentes ciberterroristas o de cibercriminales. Al Libicki10

Primero se encuentra la impenetrabilidad del

sostiene que la forma de hacer

sistema para evitar la intrusión de cualquier

la ciberguerra comprenderá la alineación de todos los

tipo de amenaza. Consecutivamente se deben

tipos de ciberataques y el aprovechamiento de las

establecer los mecanismos de visibilidad;

vulnerabilidades digitales, por lo que un Estado debe

herramientas

implementar estrategias para contrarrestar todos estos

psicológicamente

frentes. Las autoridades colombianas han comprendido

al denunciarle costoso en tiempo, recursos

este mensaje y ya cuentan con medidas contra estas

tecnológicos, conocimientos en cibernética e

amenazas, como se verá a continuación.

informática, y por ende, recursos humanos que

respecto, Martin

informativas la

que

voluntad

del

impacten agresor

le demandará la ejecución de su operación. 8 Ablon et al., (2014).

Por último, el sistema debe erigirse sobre el

9 Hoffman, F. (2009). Hybrid warfare and challenges. National

componente del restablecimiento. La capacidad

Defense University, Issue 52, pp. 34-39.

10 Libicki, M. (2017). The Convergence of Information Warfare.

Strategic Studies Quarterly, vol. 11 (1).

del mecanismo para repararse a sí mismo después de un ataque cibernético. 11 Gaitán, A. (2012). El Ciberespacio: Un nuevo teatro de bata-

lla para los conflictos armados del siglo XXI, p.118.

26 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017

Tres elementos esenciales para construir una primera barrera de ciberdefensa contra las amenazas cibernéticas: 1. La impenetrabilidad del sistema para evitar la intrusión; 2. Establecer mecanismos de visibilidad o herramientas informativas que impacten la voluntad del agresor; 3. Un componente de restablecimiento, la capacidad del mecanismo para repararse a sí mismo después de un ataque cibernético

esta dinámica, dada la necesidad de responder a las demandas sociales mediante herramientas tecnológicas que hagan eficiente el trabajo del Estado. Esto hace que ambos ámbitos sean cada vez más interdependientes y cibedependientes, lo cual lleva a la necesidad de que exista un trabajo articulado contra las amenazas digitales. Sobre esta materia, Goodman13 sostiene que: Es evidente que las instituciones gubernamentales actuales no poseen el monopolio

A estas medidas, se debe añadir el factor educativo, ya

de las respuestas frente a muchos problemas

que el agresor podría querer realizar un ataque al eslabón

que acechan nuestro mundo, pero sí pueden

más débil de la barrera de la ciberdefensa: el usuario.

desempeñar un papel relevante como con-

Son ampliamente conocidas las consecuencias de un

ciliadoras, tendiendo puentes de diálogo entre

uso desprevenido de las herramientas virtuales, dada las

los sectores público y privado como medio

potenciales amenazas que esto entraña para cualquier

para hallar soluciones a algunos de los retos

usuario del ciberespacio. Las técnicas de ingeniería

más notables.

social, como mecanismo para realizar ciberataques o cometer ciberdelitos, son una preocupación contante

Una vez analizados estos elementos esenciales,

para entidades públicas y privadas, y una constante

debemos evaluar las acciones del Estado colombiano

fuente de aprendizaje para los agentes generadores

en términos de seguridad digital. Desde 2016, Colombia

de

ciberamenazas.12

cuenta con una directriz elaborada por el Departamento Nacional de Planeación dnp, el documento conpes

Para construir una red robusta que impida, elimine

3854, que determina la política nacional de seguridad

o disuada cualquier amenaza en el ciberespacio se

digital. En materia de impenetrabilidad, el documento

requiere de una óptima y continua integración público-

establece la importancia de la gestión de riesgos y de

privada. El sistema financiero y el empresarial se

la responsabilidad compartida entre entidades del alto

encuentran cada vez más inmersos en el mundo digital.

gobierno para evitar la intrusión de posibles agresores

Todas las transacciones, operaciones de intercambio

a la seguridad cibernética nacional como los descritos

de información, creación de bases de datos y trabajo

anteriormente. El enfoque de ciberseguridad en

colectivo en la nube, generan una incursión creciente

Colombia se basa en la prevención, la gestión de riesgos

del sector privado en el ciberespacio. De igual manera,

y la búsqueda de posibles actores que amenacen el

las instituciones públicas se encuentran inmersas en

espacio digital del país.

12 Mitnick, K. & Simon, W. (2001). The art of deception: Contro-

lling the human element of security.

13 Goodman, op.cit., p.582.

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 27

En

términos

de

visibilidad

y

restablecimiento,

Colombia cuenta con una infraestructura tecnológica bastante robusta. Dos ejemplos de ello son, por un lado, el llamado Grupo de Respuesta a Emergencias Cibernéticas de Colombia colcert. Este centro para la gestión de contingencias o siniestros digitales son fundamentales para contrarrestar las ciberamenazas nacionales, ya que está en constante monitoreo de las posibles fuentes de inseguridad digital. Según el Observatorio de la ciberseguridad en América Latina y el Caribe de la oea (2016), estas iniciativas contribuyen sin lugar a dudas a la seguridad digital; para ningún atacante será fácil superar esta barrera. Adicionalmente, para la lucha contra el cibercrimen y el ciberterrorismo, dentro de la Policía Nacional de Colombia se creó el Centro Cibernético Policial (ccp) de la Dirección de Investigación Criminal e Interpol,14 entidad que tiene cargo la persecución de los delitos informáticos y de las organizaciones criminales asociadas. Dada la calidad de su capital humano y uso de tecnología de punta, el ccp se constituye en una herramienta de reacción y disuasión frente a las amenazas cibernéticas. En materia educativa, el Ministerio de las Tecnologías de la Información y las Comunicaciones (mintic) desarrolla estrategias como ecosistema digital y ofrece servicios y guías para los y las ciudadanas, con el fin de que hagan un mejor uso de las tecnologías de la información. El ccp también proyecta avisos educativos en su página

web, para concientizar sobre las amenazas cibernéticas.

Lanzamiento de la Política Nacional de Seguridad Digital (documento CONPES 3854); en http://www.mintic.gov.co/ portal/604/w3-article-15033.html

han construido puentes de comunicación y alianzas estratégicas. La integración del sector público con

En lo que tiene que ver con la interacción entre el sector

Asobancaria, para asuntos financieros, o la Cámara

público y el privado en asuntos de ciberseguridad, se

Colombiana de Informática y Telecomunicaciones (CCIT), para el gremio de los servicios informáticos,

14 Conocida como dijin, antiguas siglas de Dirección de

Policía Judicial e Inteligencia.

demuestran el interés por la construcción de redes de apoyo público-privadas contra las ciberamenazas.

28 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017

ASPECTOS A MEJORAR Y DESAFÍOS FUTUROS

protocolos más ágiles de intercambio de información y de estudios prospectivos sobre el cibercrimen. Dada la alta capacidad de aprendizaje en innovación criminal

La infraestructura tecnológica e institucional que se

del crimen organizado colombiano,16 esto resulta

ha construido en Colombia tiene claro el objetivo de la

fundamental para la lucha contra las ciberamenazas en

ciberseguridad. No obstante, como todo sistema de

Colombia.

seguridad, es susceptible a ser mejorado y optimizado, lo cual resumiremos en dos grandes aspectos.

CONCLUSIÓN

Primero, se debe hacer una revisión constante de la

El volcamiento de la sociedad y del mundo al

regulación en materia tecnológica para el ciberespacio.

ciberespacio, conlleva a que las amenazas tradicionales

Es común que las leyes y el derecho tarden en cambiar

migren sus actividades al mundo digital, se valgan de

y adaptarse al desarrollo tecnológico, que, por su

las nuevas tecnologías o que se creen nuevas formas

naturaleza, evoluciona de manera ágil y se transforma

de inseguridad. Para Colombia, el ciberterrorismo, junto

constantemente. Por ello, el Estado colombiano debe

con el crimen organizado tradicional con incursión

mejorar sus prácticas de vigilancia tecnológica y

en el ciberespacio, el cibercrimen organizado, y la

prepararse para adaptar su capacidad regulatoria

posibilidad de una guerra híbrida de carácter digital,

antes de que los fenómenos se den, no cuando los

representa sus mayores desafíos en seguridad digital.

problemas ya se hayan desatado. Al respecto el informe

Al respecto, el Estado colombiano ha consolidado

de ciberseguridad elaborado por la oea en 2016

estrategias e instituciones que le permiten contrarrestar

establece:15

las ciberamenazas a través de la disuasión, negación de acceso, gestión de riesgos y emergencias, y

Colombia enmendó el Código Penal en 2009 mediante

la articulación público privada. Sin embargo, el

la Ley 1273 y el Código de Procedimiento Penal en 2011

ambiente tecnológico evoluciona con gran rapidez,

mediante la Ley 1453. Por lo anterior la ley sustantiva

por lo que una adecuada gobernabilidad digital del

parece estar en amplia armonía con los estándares

Estado colombiano requiere de ágiles adaptaciones

internacionales, es decir, con el Convenio de Budapest.

regulatorias y conocimiento anticipado de la mutación

Disposiciones de derecho procesal más específicas

de las ciberamenazas.

pueden ser necesarias, incluyendo las enfocadas a la rápida conservación de datos. Segundo,

el

Estado

colombiano,

16 De León, I. (2014). Aprendizaje Criminal en Colombia:

a

través

de

instituciones como la Fiscalía General de la Nación y el Centro Cibernético Policial, debe desarrollar 15 Organización de Estados Americanos (2016). Ciberseguri-

dad ¿Estamos preparados en América Latina y el Caribe? Informe de ciberseguridad 2016. Observatorio de Ciberseguridad de América Latina y el Caribe, p.21.

Un análisis de las organizaciones Bogotá: Ediciones de la U.

narcotraficantes.

Ilustració

n: Oscar

Danilo Q

uezada

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 29

Ventana Global

Ciberseguridad y las operaciones de negocios: ocho razones a considerar* Este análisis se centra en la atención y respuesta que dan las organizaciones a la multitud de amenazas cibernéticas, que para algunas aún no representa una prioridad. El error más común de toda organización es relegar la función de ciberseguridad a un departamento de TI con escasos recursos y con pocos fondos.

L

A hiperconectividad de la economía digital es un hecho ineludible de la sociedad moderna. Una institución financiera sin presencia en línea o con una estrategia omnidireccional dejará de ser

competitiva. Las universidades, ya sean públicas o privadas, deben desarrollar y evolucionar continuamente sus capacidades de aprendizaje en línea si es que quieren seguir siendo relevantes. Los minoristas en línea están rápidamente superando a sus contrapartes de “ladrillo y mortero” y haciéndolos irrelevantes. Otro ejemplo de esta evolución son las agencias de viaje tradicional, que

niel harper

en gran parte han quedado relegadas a la condición de dinosaurios ante la era de los “agregadores” de búsqueda de viajes en línea y portales de reserva.

*Traducido del inglés por Félix Maradiaga, director ejecutivo del ieepp.

30 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017

Un ecosistema de pagos en línea dominado

defensa donde un departamento de Tecnologías de

principalmente por las principales redes de tarjetas y

la Información (ti) gestiona los riesgos cibernéticos,

procesadores ahora incluye sistemas como Apple Pay,

operacional y de cumplimiento. Estos departamentos

Google Wallet y otros. Cuando añadimos la Internet de

de ti se especializan en la gestión de riesgos

(IoT)1,

la robótica y la inteligencia artificial

—incluido el cibernético— y la función de auditoría

a todos estos cambios, vemos que la sociedad

interna proporciona las garantías de que los riesgos

en red se ha convertido en algo que simplemente no

cibernéticos están siendo gestionados eficazmente.

podemos ignorar.

Este método requiere recursos intensivos y exige

las cosas (AI)2

personal altamente especializado y costoso. En este contexto de ubicuidad de la tecnología, uno de los aspectos más preocupantes, es la multitud de

Segundo, las compañías con recursos más limitados

amenazas cibernéticas con las cuales las organizacio-

y con poco personal calificado para atender de forma

nes y los individuos tienen que lidiar. Si bien los riesgos

cotidiana ante las posibles amenazas de un ciber-

para las personas son relativamente altos en lo que se

ataque. Muchas de estas organizaciones ni siquiera se

refiere a la invasión de la privacidad, el robo de iden-

enteran de que sus sistemas y redes están en peligro.

tidad y la pérdida financiera, los ataques cibernéticos

Y terceto, las pequeñas y medianas empresas (pymes)

también pueden tener un impacto especialmente crítico

que básicamente esconden la cabeza en la arena como

en las empresas. Dependiendo de las realidades del

el avestruz y prefieren creer que al ser demasiado

mercado y de la jurisdicción, las consecuencias pueden

pequeñas son insignificantes como para ser el blanco

incluir fuertes sanciones regulatorias, caída de precios

de los ciberdelincuentes.

de las acciones, demandas o despidos masivos. El efecto en los balances financieros de las empresas

En realidad, lo más común es que los líderes

puede ser catastrófico.

empresariales en general no reconocen que la ciberseguridad ya no es el dominio exclusivo de las

En ese sentido, ¿cómo responden las empresas a estos

organizaciones o departamentos de ti. La estrategia

escenarios de amenazas en constante evolución? Las

de seguridad cibernética es ahora una estrategia de

estrategias resultantes se encuentran en algunas de

negocios, y la respuesta a las amenazas cibernéticas

las siguientes categorías. Primero, están las grandes

es responsabilidad de todo individuo que trabaja

organizaciones que emplean el método de 3 líneas de

o dirige una empresa. A continuación presentamos ocho razones por las cuales la ciberseguridad debe ser

1 La Internet de las cosas (en inglés, Internet of things,

abreviado IoT) es un concepto que se refiere a la interconexión digital de objetos cotidianos con la Internet.

2 La robótica es la rama de la ingeniería y de las ciencias de

la computación que se ocupa del diseño, construcción, operación, disposición estructural, manufactura y aplicación de los robots. La inteligencia artificial (AI, siglas en inglés), también llamada inteligencia computacional, es la inteligencia exhibida por máquinas.

parte inseparable de las operaciones de una empresa.

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 31

GOBIERNO CORPORATIVO En una encuesta de Goldsmiths de 2016, basada en las respuestas de 1,530 directores no ejecutivos y ejecutivos de nivel directivo en Estados Unidos, Reino

VENTAJA COMPETITIVA

Unido, Alemania, Japón y países nórdicos, el 90% de los encuestados admitieron no poder leer un informe

El

desarrollo

de

controles

de seguridad cibernética y no estar preparados para

internos robustos y efectivos para

responder a un ataque mayor.

protegerse contra los ataques cibernéticos es parte de las estrategias de liderazgo en

Aún más preocupante fue el hecho de que más del 40%

el mercado, fortalecimiento de la marca y diferenciación

de los ejecutivos no creen que la seguridad cibernética

entre productos y servicios.

o la protección de los datos de los clientes sea su responsabilidad. Esto denota la importancia de que

Por ejemplo, a medida que más empresas buscan

la ciberseguridad sea un tema que se discuta desde

la inteligencia artificial, IoT y la robótica para agilizar

las juntas directivas. Aún más, una mayor apropiación

los procesos y mejorar el rendimiento empresarial,

debería atribuirse a todos los niveles de personal para

garantizar que estas tecnologías sean seguras puede

los riesgos cibernéticos. La cultura de la ciberseguridad

aumentar los ingresos y mejorar los rendimientos.

es un esfuerzo colectivo que comienza en los estratos

Los accionistas no sólo deben esperar la excelencia

superiores de la organización y luego se extiende hacia

cibernética, sino que deben exigirla.

otros estratos.

CUMPLIMIENTO NORMATIVO Y LEGAL

GESTIÓN FINANCIERA

Ciertas industrias como la banca,

Existe una correlación directa entre

la salud y la energía, están sujetas

los eventos de riesgo relacionados

a pesadas cargas regulatorias.

con lo cibernético (por ejemplo:

Muchos de sus reglamentos incluyen requisitos

daños a la reputación, interrupción del negocio, multas,

relacionados con la privacidad, la protección de datos

etc.) y pérdidas financieras. La gravedad y el impacto de

y la seguridad de la red. Por ejemplo, en los Estados

estos riesgos se pueden mitigar integrando la estrategia

Unidos de América hay normas como hipaa, Gramm-

comercial con la estrategia de seguridad cibernética.

Leach-Bliley y fisma. La Unión Europea (UE) tiene la Directiva nis y el gdpr. Para hacer frente a los flujos

La importancia es aún más pronunciada dada la recesión

de datos transfronterizos entre la ue y los ee.uu.

económica mundial y la disminución de rendimientos

está el Escudo de Privacidad. Para cumplir con esta

que enfrentan varios negocios.

multitud de regulaciones, las capacidades cibernéticas y de gestión de riesgos deben estar integradas entre las organizaciones. Si no es así, la capacidad de las empresas para continuar operando estará en riesgo. Así de claro.

32 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017

SEGURIDAD PÚBLICA Un número cada vez mayor de empresas

están

suministrando

RESPONSABILIDAD SOCIAL DE LAS EMPRESAS

productos y servicios en las áreas de redes inteligentes, ciudades inteligentes, transporte

Existen numerosos beneficios para

público automatizado, instalaciones eléctricas, vehículos

los programas de Responsabilidad

autónomos, etc. La posesión de conocimientos

Social (rsc), que van desde el aumento de la lealtad

básicos en la alineación de la ciberseguridad y las

a la marca hasta la obtención y retención de inversionistas

operaciones comerciales fortalece a las organizaciones

para atraer y retener a empleados comprometidos

en sus respectivos entornos de mercado en términos

y productivos. La inversión en responsabilidad social

de seguridad. También hay distintas implicaciones

en áreas relacionadas con el ciberespacio, como la

para la seguridad nacional cuando pensamos en estas

protección en línea de los niños, la codificación segura

tecnologías en el contexto de amenazas potenciales

para las mujeres, las piraterías y la investigación

a la vida humana.

en ciberseguridad es un enfoque inteligente para consolidar la posición en el mercado. Como resultado, las empresas pueden promover una buena seguridad

DESARROLLO DE NEGOCIOS

como punto de venta de sus productos y servicios, crear oportunidades para los mejores talentos de ciberseguridad y aprovechar sus cadenas de suministro

En 2004, el mercado

específicas para crear confianza del consumidor.

global de ciberseguridad fue valorado en US$ 3.5 mil millones. En 2017, se estima que ese mercado equivale a US$ 120 mil millones. Pero este valor se basa principalmente en el número de productos y servicios entregados. Si bien existe un enorme potencial de crecimiento dentro del paradigma existente, existe una oportunidad económica masiva para fomentar un ecosistema comercial basado en la confianza en línea. Tomemos por ejemplo la creciente popularidad de las auditorías de confianza global y las ofertas de puntuación. Cada vez más organizaciones están desarrollando soluciones para combatir la proliferación de noticias falsas. En relación con el IoT, se están formando consorcios para llenar las brechas de seguridad en el diseño del producto, es decir, los mercados existentes pueden fortalecerse mediante la colaboración y la coordinación. Estos son sólo algunos ejemplos del mercado emergente de Trust-as-a-Service (TaaS).

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 33

FUSIONES Y ADQUISICIONES Las empresas deben reconocer la importancia de la debida diligencia

en

la

ciberseguridad en el proceso de fusiones

y adquisiciones. Debido a un bajo nivel de diligencia, varias corporaciones se han enterado de los principales incidentes cibernéticos después de haberse firmado un acuerdo de adquisición. Los problemas serios de ciberseguridad —relacionados con el cumplimiento de normativas, las brechas de datos, la mala arquitectura de seguridad o la ausencia de procesos de respuesta a incidentes— deben identificarse antes de finalizar las transacciones. En el caso de la adquisición de Yahoo! por parte de Verizon, la oferta final se redujo en casi US$ 400 millones debido a revelaciones sobre incidentes de ciberseguridad. Una encuesta de la nyse de 2016 indicó que más del 50% de los encuestados consideraban que las vulnerabilidades de ciberseguridad eran suficiente razón para cancelar una fusión o adquisición empresarial.

CONCLUSIONES Considerando

que

los

usuarios

finales

son

amenaza que buscan entrar en la red o escalar sus

generalmente considerados como los puntos más

privilegios para acceder a información confidencial.

débiles en las defensas cibernéticas, la lógica dicta que

De hecho, tanto los ejecutivos como los empleados

la ciberseguridad debe comenzar con el individuo. Cada

representan vectores con el mismo objetivo final: el

empleado debe estar comprometido e involucrado

compromiso de los sistemas internos y el acceso a los

en la defensa de la organización contra amenazas

datos críticos.

en línea. Son ellos quienes más a menudo acceden a las aplicaciones empresariales, redes y dispositivos,

Por lo tanto, el desarrollo de una estrategia eficaz

y sin duda servirán como la primera línea de protección

de seguridad cibernética debe implicar el estrecho

contra los hackers.

acoplamiento de las prácticas de seguridad con las operaciones comerciales para reforzar la postura

Los ejecutivos y los miembros de la junta directiva

general de seguridad de una organización. El error

pueden convertirse en blancos de ataques debido a

más común de toda organización, el paso en falso

su nivel de acceso a activos digitales clave. Debido a

más común —no sólo de las empresas— es relegar

la fortificación tradicional del perímetro de la red, los

la función de ciberseguridad a un departamento

trabajadores de línea son el foco de los agentes de

de ti con escasos recursos y con pocos fondos.

Imagen de uso libre: pixabay

Hacia una política de ciberseguridad que ponga a la privacidad, la soberanía tecnológica y la dignidad al centro Una crítica del manejo de la ciberseguridad en Centroamérica propone la creación y promoción de un marco general de ciberseguridad que respete los derechos humanos colocando a la privacidad al centro, que incremente la confianza de quienes se conectan por primera vez, y que transforme verdaderamente el acceso y el uso de la Internet en una herramienta de desarrollo y empoderamiento. renata ávila

Los gigantes tecnológicos aprovechan la complejidad de los ataques informáticos para expandir su negocio y su poder ante la pasividad de los gobiernos. —Evgeny Morozov

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 35

CIBERSEGURIDAD, PRIVACIDAD Y PRIVILEGIOS

de sus usuarios permaneciera disponible en línea, en su totalidad, por meses enteros. Los usuarios afectados, algunos con acceso limitado a electricidad,

Llevar la Internet a los pobres es también, de forma

otros sin saber leer o escribir, ignoraban que los

directa o indirecta, contarlos, computarlos, monitorearlos

datos que les fueron requeridos para optar al servicio

y controlarlos; la seguridad o privacidad de sus

—documentos

conexiones es un tema del que poco se discute y nada

digitales y coordenadas exactas de sus hogares—

se hace. Las políticas públicas encaminadas a conectar

no habían sido protegidos. Su información personal

a los pobres, privilegian la conectividad y la adopción

permaneció disponible para quien quisiera utilizarlos,

de tecnologías, sin invertir recursos en capacitación

incluyendo el potencial abuso para crear identidades

y sin adecuar el marco normativo a los nuevos

falsas. Lamentablemente, éste no es un incidente

retos que la Internet y las nuevas tecnologías para la

aislado en la región; el número de filtraciones de bases

comunicación, información y comercio representan

de datos casi se ha duplicado en el último año. Muchos

para las poblaciones marginales.

centroamericanos son particularmente vulnerables y no

de

identidad,

fotografías,

huellas

cuentan con la capacidad y la educación para un control Desde lectores biométricos para determinar la edad migrantes,1

adecuado de sus datos personales, estando muchos

hasta transferencias sociales

de ellos en desconocimiento de las consecuencias y el

condicionadas, monitoreadas por medio de tarjetas

impacto que la colección de los mismos puede tener en

electrónicas que vigilan los hábitos de consumo, existe

el ejercicio de sus derechos.

de niños

una tendencia global a experimentar con herramientas y nuevas tecnologías en comunidades marginales

Incidentes como éstos son el resultado de acciones de

y vulnerables, supuestamente para su propio bien.

corto plazo sin adecuado examen de las consecuencias

En la región centroamericana esto ocurre en un vacío: las

que la adopción de tecnologías tiene en aquellos más

buenas prácticas de privacidad y seguridad, así como

vulnerables. Es además una negligencia compartida

los escuálidos marcos jurídicos de protección regionales,

entre

en la práctica, se concentran en el sector financiero,

gobiernos y el sector privado. Todos los sectores deben

mientras que el sector público y social se quedan atrás

formular soluciones a estos problemas, dentro de un

en adopción de estándares mínimos de protección.

marco general de ciberseguridad que:

Un ejemplo de esto se reportó a finales de 2016,2 cuando Kingo, una empresa guatemalteca que ofrece servicios prepago de energía eléctrica en comunidades pobres y remotas, permitió que una base de datos 1 Peirano, Marta. “Vigilando a los refugiados con sus datos biométricos”; en http://www.eldiario.es/cultura/privacidad/ Vigilando-refugiados-datos-biometricos_0_576043056.html 2 Whittakker, Zack. “‘Startup’ en Guatemala dejó expuesta por meses la información de miles de clientes”; en https:// www.cnet.com/es/noticias/guatemala-kingo-base-de-datos/

las

organizaciones

no

gubernamentales,

1. Respete los derechos humanos colocando a la privacidad al centro; 2. Incremente la confianza de aquellos que se conectan por primera vez; 3. Transforme verdaderamente el acceso y el uso de la Internet y de las aplicaciones en una herramienta de desarrollo y empoderamiento.

36 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017

Si las personas no confían en la tecnología, y no tienen expectativas de disfrutar un nivel razonable de privacidad, estarán menos dispuestas a adoptar las nuevas tecnologías para actividades cotidianas como pagos, comunicaciones, coordinación política, manejo de sus finanzas y acceso a servicios públicos. Esto repercute en el crecimiento del comercio electrónico, la educación y la telesalud en línea, la banca y la provisión de otros servicios a los ciudadanos. Es más, los negocios y las organizaciones sociales que operan en países de riesgo —tanto por razones de seguridad ciudadana como de opresión política— tienen

http://www.geekgt.com/2016/08/30/datos-personalesde-miles-de-guatemaltecos-han-sido-expuestos-en-la-web/

la obligación ética de asegurar que sus plataformas y herramientas mantengan estándares altos de seguridad

respecto de la privacidad y ciberseguridad de sus

y que los datos personales que recolectan no estén

ciudadanos, pero es un tema generalmente ausente de

siendo utilizados por colusión, por omisión o para asistir

las agendas políticas. En algunos casos, esto se da en

a la perpetración de violaciones a los derechos humanos

gobiernos desbordados con otros retos y prioridades,

autoritarios.3

en otros países simplemente no existe el marco legal

Una política de ciberseguridad integral no puede estar

que permita proteger a los ciudadanos, o dichas leyes

alejada de las personas y los sectores más vulnerables

sufren de vacíos o están tan desactualizadas que ya no

y tampoco puede aislarse de la política, sino que debe

son efectivas.

o contribuir a la consolidación de estados

combinarse con una cultura robusta de transparencia, auditorías,

participación

y

educación

ciudadana

Existen también Estados represores que atacan

y respeto a la privacidad y a los datos personales

deliberadamente la privacidad y la ciberseguridad de

de todos.

los ciudadanos para espiarlos y controlarlos, infectando los ordenadores, produciendo una Internet insegura

EL ROL DE LOS GOBIERNOS Y EL DE LAS EMPRESAS

y vulnerable, ya que las llamadas “puertas traseras” (backdoors) y debilidades de los sistemas —aunque configuradas para espiar a un reducido grupo— afectan

El Estado, a través de cada uno de sus poderes, es el

a todos, como el reciente incidente de WannaCry.4

responsable por la seguridad dentro de su territorio. La

Esta infección cibernética afectó los sistemas que no

transición digital no transforma dicha obligación y cada

habían implementado las actualizaciones de seguridad

país tiene competencias y atribuciones específicas 3 Daniel Hernández. “Mexico Is Hacking Team’s Biggest

Paying Client–By Far” (México es, por mucho, el cliente más lucrativo de Hacking Team); en https://news.vice.com/ article/mexico-is-hacking-teams-biggest-paying-client-by-far

4 Una infección cibernética que afectó el 12 de mayo de

2017 a las empresas españolas Telefónica, Iberdrola y Gas Natural, entre otras, así como al servicio de salud británico; en https://es.wikipedia.org/wiki/WannaCry

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 37

los sistemas de gobierno, aun siendo custodios de información sensible, como bases de datos biométricas, información médica, información energética, e incluso los sistemas de seguridad del sistema judicial y penitenciario. El presidente de Estados Unidos de América, Donald Trump, ha firmado una orden ejecutiva7 que ordena que la privacidad de quienes no son ciudadanos americanos o residentes permanentes no se proteja de la misma forma como la de sus nacionales. Si se https://www.cnet.com/es/noticias/guatemala-kingo-basede-datos/

considera que la mayoría de tecnologías y servicios en la nube utilizados por países centroamericanos es precisamente tecnología de Estados Unidos, nos

del sistema operativo Microsoft

Windows,5

cifrando

encontramos en un escenario donde los Estados

los datos y pidiendo un rescate por los mismos a los

contratan productos y servicios que no brindan altos

usuarios afectados.

estándares de protección de privacidad y, por tanto, no cumplen con los niveles adecuados de ciberseguridad.

El ejemplo de WannaCry también nos muestra como

Por conveniencia, precio o falta de opciones, el sector

los Estados dependen cada vez más de monopolios de

público continúa empleando tecnologías y usando

software y hardware. La provisión de servicios de los

proveedores

que depende la infraestructura crítica de un país se ha

secreta que les obligue a instalar mecanismos de

delegado casi enteramente a un pequeño y poderoso

intercepción de comunicaciones o a facilitar el acceso

grupo de transnacionales con un récord probado de

a mecanismos y sistemas de gobiernos a la información

colusión con terceros Estados, que instalan puertas

de sus ciudadanos, sin poder ni siquiera revelarlo.8 Las

traseras o dejan vulnerabilidades deliberadas en sus

opciones son pocas y presentan problemas similares.

productos y

servicios.6

susceptibles

de

recibir

una

orden

La mayoría de los Estados

centroamericanos carecen de una política orientada

A este complejo problema de soberanía y autonomía,

hacia la soberanía tecnológica y la ciberseguridad de

se suma el de la austeridad. Muchos de los recortes

5 Microsoft es uno de los principales proveedores de software

7 The White House. Office of the Press Secretary. Executive

6 Véase El Software de Microsoft es Malware. Fundación

8 Estos documentos se conocen como “Cartas de Seguridad

a los gobiernos centroamericanos, y, como lo ha documentado extensamente la Fundación por el Software Libre (Free Software Foundation), sus productos y servicios presentan cualidades y fallos incompatibles con una política integral de ciberseguridad; en https://www.gnu.org/proprietary/ malware-microsoft.es.html por el Software Libre; en https://www.gnu.org/proprietary/ malware-microsoft.es.html

Order: Enhancing Public Safety in the Interior of the United States (Casa Blanca. Oficina del Secretario de Prensa. Orden Ejecutiva para fortalecer la seguridad pública dentro de los Estados Unidos); en https://www.whitehouse.gov/ the-press-office/2017/01/25/presidential-executive-orderenhancing-public-safety-interior-united

Nacional” (National Security Letters), su emisión se autorizó como parte de las reformas introducidas por el Acta Patriota; en https://www.eff.org/issues/national-security-letters

38 | Seguridad y Sociedad | año 7 | nº 15 | agosto 2017

una violación a sus derechos. La falta de una política de Estado y de un compromiso multisectorial que permita adquirir, auditar y supervisar los productos y servicios de los que depende la ciberseguridad, afecta a todos y repercute negativamente en todas las esferas. A esto se añade el precario control sobre los comercializadores de datos personales agregados (data brokers), que comercian con bases de datos sensibles en una región donde los secuestros económicos o la represión a periodistas y líderes políticos no es extraña. Además, siendo una de las regiones que menos comercia de forma electrónica, las compañías centroamericanas están en una situación de riesgo. Gráfica informativa sobre el ransomware, Estado de Tabasco, México; en http://www.fiscaliatabasco.gob.mx/

En el pasado la región centroamericana cometió el craso error de delegar la seguridad ciudadana al sector privado y perdió el control y la auditoría de la misma. Esto llevó,

a las partidas presupuestarias de los gobiernos

en varios de los países de la región, a una espiral de

nacionales y locales afectan a menudo la renovación

violencia, corrupción y debilitamiento estatal, así como

de licencias, provocando vulnerabilidades adicionales

a la precarización de la seguridad de las ciudadanas

cuando no existe presupuesto suficiente para renovarlas.

y ciudadanos que no podían acceder a contratar

Los sistemas críticos quedan a merced de ciberataques

servicios privados de seguridad. En el ciberespacio

globales, lo que debería ser un tema de debate centrado

no debemos de repetir dicho error; la región debe

en el diseño de políticas públicas que rompan con este

adoptar una política de ciberseguridad que sea pública

círculo de dependencia tecnológica y que abarque

y para todos, que ponga la seguridad y privacidad de las

no solo un examen de las bases de las licitaciones

y los ciudadanos al centro de este esfuerzo y que

estatales para la adquisición de dichos servicios

respete los mandatos constitucionales de cada país.

y productos, asegurándose que el código sea abierto y verificable, que carezca de puertas traseras y que las entidades públicas puedan aplicar las actualizaciones

PASOS HACIA UNA POLÍTICA DE CIBERSEGURIDAD INTEGRAL

de los sistemas operativos con recursos internos y con su propio personal técnico.

Primero —complementario al Convenio de Budapest sobre la Ciberdelincuencia,9 cuya adopción se

El escenario no es distinto en el sector privado, que

está promoviendo en la región— se debería adoptar

muchas veces ofrece servicios públicos y que, de la

la Convención sobre Privacidad del Consejo de

misma forma, carece de opciones locales y se ve afectado por normas menos favorables en temas de privacidad, seguridad y jurisdicción, en cuanto quiera hacer efectiva

9 Véase https://www.coe.int/en/web/cybercrime/the-

budapest-convention; y https://rm.coe.int/16802fa41c

Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 39

Propagación del ataque de Wannacry; en http://www.elmundo.es/economia/empresas/2017/05/14/591755c846163f954a8b45e9.html

Europa10 y su protocolo adicional. Este instrumento

técnicos y desarrolladores locales que puedan producir

puede ser adoptado por los países centroamericanos

soluciones tecnológicas críticas y locales, para garantía

para contar con un estándar mínimo regional. Los

de la soberanía tecnológica y la seguridad regional.

esfuerzos por la ciberseguridad serán inútiles si no

Especial atención y estricta regulación son necesarias

colocan a la privacidad en el centro de sus acciones.

para aquellos que implementan soluciones tecnológicas orientadas a los sectores más vulnerables de la región.

Segundo,

se

deberían

establecer

mecanismos

regionales de auditoría y estándares técnicos para los

La Internet ha conectado al mundo, borrando fronteras,

proveedores de servicios cibernéticos utilizados por

por lo que también la ciberseguridad no debería

entidades del Estado, con estrecha cooperación con el

tener fronteras. Hoy, la ciberseguridad es un privilegio

sector privado y la academia, y también para desarrollar

únicamente de aquellos que pueden pagarla o que

planes de prevención y de contingencia que se ajusten

tienen la suerte de vivir en jurisdicciones con fuertes

a las realidades de cada país.

salvaguardias a sus derechos. Debemos trabajar con la sociedad civil, la academia, las organizaciones de

Tercero, se debería proponer una reforma educativa

apoyo a consumidores, los centros de pensamiento,

con acciones orientadas a la educación de sectores

la comunidad técnica y los encargados en el gobierno

populares que se conectan por primera vez a la Internet,

para desarrollar y afinar las mejores prácticas y así

así como un programa de inversión en formación de

garantizar que todas las personas, independientemente de su ubicación y de sus circunstancias económicas,

10 Convenio nº 108 del Consejo de Europa para la protección

de las personas con respecto al tratamiento automático de datos de carácter personal, 1981.

gocen de las mismas condiciones de privacidad y ciberseguridad.

Ediciones anteriores

SyS 14

Sintetiza alguna de las realidades que los migrantes padecen en su tránsito o estadía en la búsqueda de mejores condiciones de vida • La peligrosa trayectoria de la niñez migrante • La impercentible realidad de refugiados y migrantes • La mujer en las migraciones y otros temas…

SyS 13

Analiza algunos de los procesos de globalización y la geopolítica y el nuevo escenario que se gesta en Latinoamérica • Las relaciones entre Centroamérica y Taiwán • Rusia en el nuevo escenario internacional • Desarrollo transfronterizo e integración en Centroamérica y otros temas…

SyS 12

Presenta el nuevo escenario de las movilizaciones y los movimientos sociales que se desarrollan en Centroamérica • Derechos humanos: migración y trata de personas • Nuevos ciclos de movilización social en C.A. • Situación de los movimientos indígenas en C.A. y otros temas…

observatoriodeviolencias.net El observatorio de violencias es una plataforma de incidencia y acción en la que convergen la generación de conocimientos, la incidencia, el fortalecimiento de capacidades y la promoción de una opinión pública crítica. Observatorio

Conflictos sociales

Actividades

Publicaciones

Explore nuestro mapa interactivo sobre violencia de género, por región, año, tipo de acción, tipología o tipo penal edades, etc.

Vea nuestro mapa sobre el nivel de intensidad y la ubicación de sitios de conflicto social en Nicaragua.

Lea sobre el Encuentro Nacional de Observatorios y sobre las campañas de prevención del delito de trata de personas, la explotación sexual infantil y la prevención de la violencia hacia las mujeres.

Descargue copias de nuestra revista Seguridad y Sociedad (desde diciembre de 2011), así como informes de gestión de la seguridad, encuestas de percepciones de seguridad y otros temas.

Seguridad y Sociedad Año 7, nº 15 Agosto 2017

Esta publicación del Instituto de Estudios Estratégicos y Políticas Públicas se realizó gracias al apoyo de