Hacia una política pública de protección de activos digitales en Argentina
Hace pocos días circuló una noticia de esas que tienen muy bajo impacto en los medios de comunicación y que le interesa a un pequeño sector de 'nerds' de la seguridad y la privacidad. Una base de datos con el registro de más de 115.000 argentinos que aplicaron para permisos de circulación en el contexto del Aislamiento Social Preventivo y Obligatorio (ASPO) fue expuesta en la web sin ningún tipo de seguridad, clave o mecanismo de autenticación de acceso. Los datos filtrados incluían nombres, DNI, identificación tributaria así como las razones por la cual estaban solicitando el permiso de circulación. Como es lógico, los trabajadores esenciales fueron los más expuestos, aunque también quedaron a la vista los permisos excepcionales. La base de datos expuesta pertenece a la Provincia de San Juan y el Ministerio de Salud de la Nación.
La base desprotegida de esta forma fue detectada por el investigador de seguridad Bob Diachenko de Comparitech el 25 de Julio pasado. De inmediato, el investigador alertó al Ministerio de Salud de La Nación. La cronología de los sucesos sería desopilante si no fuera dramática. La base de datos fue indexada el 12 de Julio, el 25 fue hallada por Diachenko, quien inmediatamente dio la alerta a los responsables de la base. El 28 de Julio, la base de datos fue dada de baja, pero luego fue puesta en línea nuevamente sin explicación ni cuidados. El investigador envió otra alerta, esta vez a la autoridad de ciberseguridad de la nación, quienes inmediatamente respondieron con un reconocimiento del incidente y con una comunicación a los responsables. El 29 de Julio, la base de datos fue dada de baja nuevamente.
La base filtrada contenía registros de 115.271 argentinos con datos tales como género, DNI y CUIT, fecha de nacimiento, fotografía, dirección de correo electrónico, número telefónico, correo electrónico laboral y en más de 33000 casos la copia del permiso de circulación solicitado, incluyendo datos de empleador, lugar, teléfono, el tipo de negocio a los que el solicitante puede ir, si es personal médico o no, entre mucha otra información privada administrada en la base de datos del Gobierno de San Juan.
Este es uno de tantos casos de negligencia en la administración de bases de datos y activos digitales en poder del Estado. Es un caso más en el que queda de manifiesto la falta de una política integral de protección de activos digitales que el Estado debe custodiar de manera apropiada y con máximos niveles de responsabilidad.
La construcción de esa política de protección de activos digitales es una de las tareas más complejas y desafiantes de este presente. Requiere compromiso no sólo de la sociedad civil involucrada, la comunidad de seguridad de la información (Infosec) sino y muy especialmente un trabajo sostenido de la Administración Pública Nacional, que pueda construir una política de Estado que trascienda las gestiones de gobierno.
La definición de esas políticas debe ser liderada por el área de ciberseguridad que en el actual organigrama del Estado depende de la Secretaría de Innovación Pública, pero debe tener la capacidad de ejercer un mandato férreo sobre todas las oficinas del Estado que construyen y administran bases de datos con información que los y las ciudadanas debemos proporcionar a las diferentes oficinas públicas para el cumplimiento de su misión. Se trata no sólo de tener una política en los papeles, sino de tener la capacidad de que esa política sea apropiada y respetada por todas las instancias del Estado, incluyendo en un país federal como el nuestro, por los responsables de bases de datos en las administraciones provinciales y municipales de todo el país.
La filtración de datos que abre esta columna no es la primera ni será la última, pero la tomamos como ejemplo para dar cuenta de un fenómeno que pasa prácticamente inadvertido para la ciudadanía y del cual las administraciones públicas no se hacen cargo. Es más, lo más habitual en nuestro país es que las cuestiones vinculadas con la 'ciberseguridad' tengan una impronta más punitiva que preventiva, más policial que de seguridad informática, más orientada a reportar y denunciar culpables (con la consiguiente persecución penal asociada) que en generar cadenas de responsabilidades sobre los y las funcionarias a cargo de gestionar los datos de la ciudadanía.
Cada tanto se genera una noticia policial (como el sonado caso de La Gorra Leaks) en el cual la prensa experta en policiales da voz a la versión oficial que suele buscar culpables afuera para tapar así sus propias responsabilidades en la administración de un bien bajo su custodia, pero que no les pertenece: la información de la ciudadanía. El caso La Gorra es emblemático, porque reúne todos los condimentos del horror: Autoridades políticas de seguridad y fuerzas federales absolutamente negligentes con información sensible, una filtración de datos de policías en terreno, sus familias, datos de testigos, escuchas telefónicas, denuncias, etc filtradas por la desidia irresponsable de quienes no son capaces de resguardar su propia seguridad de la información, ataque a la comunidad de Infosec que dio cuenta del incidente y finalmente la apertura de causas penales armadas contra quienes de forma atinada explicaron lo sucedido y dejaron al descubierto la propia torpeza de los funcionarios involucrados.
Amenazar a los practicantes de la seguridad de la información con artilugios penales nunca puede ser una salida a los problemas de seguridad.
Desde hace muchos años en Fundación Vía Libre venimos trabajando con la comunidad de Infosec para alertar sobre la problemática de la seguridad de la información, sobre los riesgos y amenazas de construir una doctrina puramente penal y punitiva, sobre la pésima influencia de ciertos sectores proclives a firmar cualquier lineamiento de 'ciberseguridad' y 'cibercrimen' que baje de organismos internacionales sin escuchar ni atender debidamente la voz de la comunidad de Infosec local, que es sólida, variada y rica en talentos y experiencia.
Infinidad de veces dijimos que la seguridad de la información no depende de la creación de más tipos penales, y que en buena medida no tener un protocolo de acción es la causa fundamental de este tipo de filtraciones. Infinidad de veces tratamos de establecer el principio precautorio sobre los datos recopilados por las Administraciones Públicas de todo nivel, con magro éxito.
Esa manía de extraer datos para casi cualquier cosa, sin análisis de legalidad, necesidad y proporcionalidad y sin evaluación de amenazas y riesgos de las bases de datos nos ha dejado en una situación en la cual los ciudadanos podemos tomar todos los recaudos con nuestros datos, pero es el propio Estado el que toma a la ligera la seguridad de esa información que, insisto, no les pertenece y tiene obligación de custodiar.
El caso de San Juan nos sirve una vez más para advertir que sin una política de seguridad y protección de los activos digitales en poder del Estado Argentino, no hay reforma penal, inclusión de cibercrímenes de toda índole o firma de tratados internacionales como el convenio de Budapest que sirva para lidiar con una situación histórica de negligencia y desidia de quienes deben asegurar el respeto por la privacidad de la ciudadanía.
Es indispensable dotar a la oficina de Ciberseguridad de las capacidades técnicas, humanas, presupuestarias e institucionales que le permitan diseñar, promover y hacer cumplir un protocolo apropiado para la protección de los activos digitales en manos del Estado. A medida que el Estado avanza en la conformación de bases de datos de todo tipo y en todo nivel, esta necesidad se vuelve más urgente.
Desde Fundación Vía Libre estamos dispuestos a trabajar codo a codo con las autoridades a cargo del área y con la comunidad de Infosec para cumplir este objetivo que debería ser central para construir una política pública apropiada que proteja la seguridad de los activos del Estado y especialmente los datos de la ciudadanía que tiene pleno derecho a reivindicar una garantía mínima para su privacidad.
Beatriz Busaniche
Fundación Vía Libre
