En las últimas semanas se han filtrado al público una buena cantidad de mensajes de correo electrónico y documentos privados del distintos funcionarios del Poder Ejecutivo, incluyendo al anterior y a la actual Primer Ministro. En una de sus últimas entregas, LulzSecPeru incluso ha demostrado tener acceso a las cuentas de correo de las propias personas encargadas de investigar las vulnerabilidades.[1] Con independencia de las responsabilidades y particularidades de estos casos, una trama se distingue: que la información estatal resulte expuesta o comprometida a este nivel no sorprende a nadie. ¿Es responsabilidad de algunos funcionarios o del sistema en general?
Ningún sistema está protegido al 100% de vulnerabilidades. A menudo, para traspasar la mayoría de sistemas solo hacen falta el tiempo y los recursos suficientes.[2] Muchos sistemas informáticos ofrecen niveles comfortables de seguridad no porque sean perfectos sino porque vulnerarlos tomaría un tiempo demasiado largo como para no despertar sospechas. Los sistemas informáticos del Estado son un objetivo de primera clase para ataques de todo tipo. Quizás los sistemas del Estado están más protegidos que los de la mayoría de empresas de nuestro mercado, pero dado que se invierte más tiempo y esfuerzo en atacarlos resultan más vulnerables. Desafortunadamente, la evidencia demuestra que este razonamiento sencillo se olvida o no se escucha lo suficientemente alto en el Estado.
Pero existen razones que van más allá de la impericia de un par de ingenieros y que hacen vulnerables los sistemas del Estado. Como cualquier especialista en seguridad reconoce, un sistema es tan seguro como lo es su parte más débil. En casi todos los casos, la parte más débil es la parte humana. Nuestros políticos y altos directivos, como muchos de nosotros o de nuestros jefes, no solamente no están entrenados en el uso responsable de la tecnología sino que tampoco les interesa estarlo. Esta ignorancia por vocación, que escuchamos a diario en frases como “la tecnología no es para mí”, podría ser aceptable en el caso de muchos profesionales pero no en el del funcionario público. Resulta tan inaceptable como si no tuviesen noción de la Ley del Procedimiento Administrativo General. Sin embargo, como nos enseñó otro caso reciente, son muchas las ocasiones en las que los funcionarios hacen caso omiso de las recomendaciones más elementales como cambiar la contraseña.
Pero creo que otro gran culpable es nuestro sistema político. En términos de resultados políticos, invertir una cantidad de dinero aceptable en seguridad informática es una de las peores decisiones que se pueden tomar. Incluso en el caso de jefes de entidades que no están sujetos a designación por voto popular, cualquier inversión siempre parece orientada a la obtención de resultados que puedan aparecer, al menos, en una nota de prensa en Andina. El reconocimiento mediático esta irremediablemente asociado a una gestión exitosa y, en esos términos, cualquier cabeza de entidad sabe que invertir en mejores empleados y mayores recursos para las áreas informáticas no va a despertar el interés de nadie. A la inversa de cómo está diseñado nuestro sistema de recompensas políticas, una inversión inteligente en tecnología y seguridad de la información está orientada a no producir ninguna noticia. Ningún periódico va a cubrir el hecho de que tal o cual sistema del estado no fue vulnerado el año pasado. Por ello, a nadie debería sorprender que la inversión en tecnología sea infrecuente e insuficiente.
El cóctel de factores que lleva a la vulnerabilidad del Estado no solo es un problema para los políticos. Es un problema para todos nosotros. Reconozco la importancia que filtraciones de este tipo han tenido y pueden tener en términos de facilitar la fiscalización pública. Pero si supiéramos que un servicio que usamos y en el que confiamos a diario está tan expuesto, ¿nos quedaríamos tranquilos? El Estado es ese servicio del cual todos somos usuarios así no nos guste. Su vulnerabilidad es también la nuestra. Ojalá que no tenga que pasar nada más para que el Ejecutivo se de cuenta de que, en lugar de más leyes que amplían innecesariamente las penas, hay que invertir más en prevenir la enfermedad y no tanto en las medicinas.[3]
- Uno de esos correos revela que un funcionario de la Presidencia del Consejo de Ministros, intentó infructuosamente hacer que una operadora de telecomunicaciones bloquee en forma privada el acceso a una de las páginas web que almacenaba los enlaces a las filtraciones. ↩
- Reconozco que estoy muy lejos de ser un especialista en seguridad de la información. Sin embargo, particularidades aparte, podemos tomar esta afirmación al menos como una hipótesis de trabajo plausible. ↩
- La modificación del año pasado de la Ley de Delitos Informáticos amplió las penas para la interceptación de comunicaciones e información cuando compromete información estatal. El efecto de ese cambio ha sido demostradamente nulo de cara a proteger al Estado en estos últimos casos. ↩
Webmenciones
Notice: Trying to get property 'comment_date' of non-object in /var/www/blawyer.org/wp-includes/comment-template.php on line 606
[…] Continuar Leyendo. […]