La semana pasada estuvo signada por tres noticias acerca de vulnerabilidades de seguridad de la información en entidades centrales del Estado provincial como la Policía, el Ciudadano Digital (Cidi) y el Poder Judicial.
En un contexto en el que todos los meses se conocen filtraciones o violaciones a sistemas de información críticos de organismos públicos y privados, es oportuno reflexionar respecto de la falta de políticas sostenidas en ciberseguridad. Ya no es un asunto menor, de nicho, sino una falta grave que puede poner en peligro la continuidad de los poderes del Estado.
Si el escenario fuera el de las comunicaciones de crisis no sería posible detenerse en los problemas de fondo y, afortunadamente, esta semana las noticias fueron falsas alarmas. No causa mayores inconvenientes que se acceda a un aula virtual de la Policía provincial y es tranquilizadora la aclaración por parte de las autoridades.
Tampoco estamos frente a un problema sistémico si un ‘hacker’ adolescente alardea con detentar credenciales del Ciudadano Digital. Lo que se ha vulnerado, en ese caso, no es la seguridad de los servidores provinciales, sino activos individuales de personas que tienen la obligación de cuidar sus contraseñas.
La tramposa relación entre gobierno y tecnología. Los activos del Estado y de las empresas, aun en las industrias tradicionales, se componen cada vez más por información. La transformación digital es una buena noticia y esos datos alojados en servidores, procesados en tiempo real y con intervención coordinada de decenas, cientos o miles de actores al mismo tiempo, son piezas claves de nuestras instituciones.
En el caso del Estado, es una excelente noticia que las personas, edificios, reglas y procesos que brindan servicios a sus ciudadanos incorporen cada vez más la informatización. Salvo excepciones muy puntuales, como el voto electrónico, este proceso de transformación digital es inexorable.
¿Quién puede estar en contra de que una inteligencia artificial analice los precedentes judiciales (mientras sean humanos los que sigan decidiendo) y ayude a los tribunales a reducir la duración de los juicios? Cuando otros países ya están regulando la ola de riesgos de la IA –que parece más bien un tsunami–, esta columna pretende detenerse un paso antes en los aspectos básicos que aún no están satisfechos.
La cornisa del Ciudadano Digital. Con políticas de seguridad adecuadas e ‘invicta’, hasta ahora, en materia de vulnerabilidades, la plataforma CiDi no deja de ser una política pública ambiciosa que centraliza en un servidor provincial un sinnúmero de funciones administrativas y de gobierno electrónico: impuestos, acceso a registros, autenticaciones de identidad, creación de empresas y hasta asiento (en original) de los libros comerciales de esas empresas. Ningún recaudo parece demasiado para un sitio que tiene todos los datos de las personas y detalles de todas las empresas, con o sin fines de lucro, de la Provincia. Si se persiste con esta maniobra osada de ‘un único punto de falla’ habrá que redoblar esfuerzos para retener al personal tecnológico calificado, invertir en infraestructura y profundizar la colaboración público y privada.
Por otra parte, obligar a los ciudadanos a usar máquinas para interactuar con el Estado no tiene un efecto neutro. Si 7.000 cordobeses, dentro de los millones que usan el Ciudadano Digital, pierden su clave y corren riesgo también es un problema de los gobernantes. Lo mismo aplica para 31 mil ciudadanos argentinos en el incidente de Renaper.
¿Se puede confiar en los tribunales? El caso del Poder Judicial merece otra clase de preocupación. Luego del episodio de ransomware de 2022 que tuvo sin servicio a la Justicia provincial por tres semanas, con peligro de continuidad institucional, toda noticia de una posible vulnerabilidad es sensible. Especialmente porque la entidad aún no ha podido ofrecer una versión consistente respecto de los acontecimientos de aquel ciberataque y las circunstancias en las cuales el servicio de justicia fue restablecido.
Más allá de los detalles sobre los recaudos que han tomado empleados y operadores judiciales en esta última semana, las preocupaciones se acrecientan cuando las versiones periodísticas de este episodio evidencian como aprendizaje un cambio de política básico: “Desde el ciberataque de agosto del 2022, cada usuario (empleado, funcionario, magistrado) sólo tiene permitidos los accesos a ciertos registros”. Sostener esto públicamente es evidenciar la precariedad de las medidas básicas en la materia.
La tentación que existe para implementar Inteligencia Artificial es lógica, aunque falta un largo trecho para contar con un adecuado marco normativo, que no solamente requiere normas específicas sino que precisa llenar los vacíos en aspectos esenciales de los derechos digitales que están en ‘el debe’ hace más de 20 años. Protección de datos, seguridad, ciberdelito, gobernanza de datos, sus leyes (algunas las tenemos vigentes, otras están desactualizadas y otras, en ‘el debe’), las políticas y especialmente las buenas prácticas para cuidar a la información ya no son el futuro, sino un requisito esencial.
Los ministros, magistrados o legisladores tendrán que estar a la altura de cumplir con las exigencias de esta época y no pueden continuar confesando en público sus incumplimientos o incapacidades de manera gratuita cuando la Constitución Provincial define al mal desempeño con absoluta claridad.
*Abogado. Miembro del Directorio de CSIRT Córdoba.