¿Qué es el Conpes de seguridad digital y por qué está mal?

2016-06-03 Leer en voz alta

seguridad_intimidadA cualquier persona sana las noticias sobre “la nueva política de seguridad digital”  -qué hoy se llama CONPES- le deberían provocar un bostezo con lágrimas y todo, que raye en lo indecente. Sin embargo, por el hecho de que esta política no protege adecuadamente nuestros derechos, en Karisma creemos que es importante hablar del tema, explicar qué hizo el gobierno y por qué lo está haciendo mal.

La política de seguridad digital de Colombia nació en el 2011 cuando los ‘chicos malos’ de Anonymous hacían de las suyas en el barrio y las noticias hablaban de ellos, como hablan los conferencistas itinerantes en los colegios sobre la estrecha relación entre satanismo y la música rock. “Cuidado”, “peligro”, “que alguien piense en los niños”. Sus padres, que son como ese familiar que sueña con que todos sus sobrinos y sus hijos se vayan a la milicia, pusieron toda su energía en que la nueva criatura llegara a combatir tanta amenaza y, a lo mejor, que estuviera preparado para la guerra.

Por cinco años vivió la política de seguridad digital en un ambiente militar. Mientras tanto, se crearon más oficinas donde las empresas y el mismo Estado van a quejarse cuando están bombardeando –en sentido figurado– los servidores de alguna página con millones de peticiones (ataques DDoS) o, cuando al entrar a la página de la Procuraduría, no vemos en toda su gloria las fotos de la última intervención del Procurador en un asunto que no es de su incumbencia, sino, digamos, un amenaza en árabe de un grupo extremista o, como no, la promesa de Anonymous de poner al Estado patas arriba (‘defacement’). Para responder a esos y otros problemas se creó la trinidad institucional de la seguridad digital en Colombia que es hoy el Centro Cibernético Policial, el ColCERT y el Comando Conjunto Cibernético.

Durante esa era también se metieron con el español. Como el gobierno quiere acaballarse en la onda de lo digital y cómo lo digital siempre quiere hacerse notar, obligaron a ponerle el prefijo ‘ciber’ a las palabras viejas y desactualizadas que usamos. Por eso empezaron a hablar de “ciberseguridad y ciberdefensa”. La primera relacionada con lo que pasa dentro del país y la segunda relacionada con las intenciones maléficas de oscuros enemigos que habitan fuera del país pero que solo viven para verlo arder algún día. Es decir, la idea de la primera fase de la política era proteger el orden y la soberanía en lo digital tal y como se hace en lo tradicional.

Sin embargo, la jefe de los padres del menor en cuestión –la OCDE–, una tipa seriamente rica, que además lee “la culpa es de la vaca” o “quién se llevó mi queso”, cuestionó duramente a la familia porque esta pequeña promesa militar no iba a tener un buen futuro económico. Así que amenazó con no presentar a los padres al club si no se daban seriamente a la tarea de ponerlo a hacer dinero. También le enseñaron a no decir palabrotas. Por eso decimos ahora “seguridad digital” y no “ciber” esto o aquello. Además, esta es una política “bien”, nada que ver con lo militar y eso de “ciberseguridad y ciberdefensa” que suena tan feo.

Las directrices de la OCDE, que el gobierno ha seguido al pie de la letra para ser parte de ese club, son claramente económicas: “el riesgo digital debe ser formulado en términos económicos y sociales: pérdidas financieras, disminución de la competitividad, reducción de oportunidades, daños a la reputación, imagen o confianza, etc”. Por eso entramos en una nueva etapa en la vida de la política de seguridad digital: el CONPES 3854, que se propuso preparar a todo el mundo para asumir los riesgos de su actividad digital con el propósito “de contribuir al crecimiento de la economía digital nacional, lo que a su vez impulsará una mayor prosperidad económica y social en el país”. Mejor dicho, se trata de buscar cómo hacer de Internet una plataforma segura –de ahí lo de “seguridad digital”– para hacer dinero, para hacernos ciber-ricos.

Como los traumas de la infancia son difíciles de superar, hoy la política tiene una fuerte crisis de identidad. Por un lado, le dice a todo el mundo que quiere hacer billete, pero se gasta lo que tiene en prepararse para la pelea. No sabe si ser un ‘buen muchacho’, un ‘hábil negociante’ o un militar en toda regla.

Miremos el presupuesto del CONPES: MinDefensa se lleva casi 15 mil millones de pesos en 2016. En los siguientes tres años se lleva 7 mil millones de pesos para un total de 37 mil millones. MinTIC recibe 8 mil millones el primer año y en los siguientes un promedio de 12 mil millones de pesos, para un total de 45 mil millones. La Dirección Nacional de Inteligencia se lleva 1.500 millones de pesos. Mientras tanto, el Ministerio de Justicia, el de Educación y el Departamento Nacional de Planeación reciben cada uno en total menos de 500 millones de pesos.

Hay varios problemas con este híbrido que tenemos hoy

Primero, mientras el gobierno estaba ansioso por saber qué tiene que hacer para entrar a la OCDE, en su casa los militares estaban chuzando las líneas de teléfono y hackeando los correos de las personas que están llevando el proceso de paz –Andrómeda–; sus contendientes políticos estaban contratando hackers para hacer toda clase de fechorías en redes sociales, extrayendo información importante para afectar el desarrollo de las elecciones –el caso de Andrés Sepúlveda–; y la Policía azotaba la vida de los periodistas que investigaban la corrupción que parece estar desbaratando a esa institución.  Al tiempo, se organizó en una ley lo que los organismos de inteligencia pueden hacer y se creó una comisión integrada por congresistas para vigilar las actividades de inteligencia. Hasta hoy esa comisión no ha podido hacer nada por culpa de muchas trabas burocráticas. En ningún momento el gobierno ha querido reconocer que él mismo ha sido un factor de inseguridad digital y que, además, no está haciendo nada para solucionar ese problema.

Pasaron por alto también los ataques que reciben sectores sensibles de la sociedad como periodistas, jueces o activistas y cómo se cuentan esos ataques para las estadísticas. Por ejemplo, cuando a un periodista le roban el computador o su celular la Fiscalía usualmente considera que se trata de un robo simple, y no toma en cuenta la pérdida de la información que tenían esos aparatos o el hecho de que se trate de un acto de intimidación. Eso es como si cuando matan a una persona persiguieran al atacante por haberle hecho un hueco en la camisa a la víctima con la bala que la mató. Estos hechos no llegan a formar estadísticas que lea el gobierno y que quiera integrar en su idea de seguridad digital.

Además, el nuevo CONPES, que al final de este artículo ya será viejo, repite como Rihanna tantas veces la idea de la gestión compartida del riesgo que cualquiera podría sentir que al final no significa nada. Sin embargo, si tratamos de darle un sentido a esa expresión, pareciera que a la ciudadanía le asignan la misma carga de responder por su seguridad cuando es mucho más débil que el gobierno o las empresas. Esta miopía es producto también de la poca consideración que se tuvo de los aspectos no económicos de la seguridad digital.

Hace unos párrafos dijimos que la seguridad digital en Colombia es tarea de tres organismos. Ahora, si usted fuera la persona que estaba haciendo la investigación periodística sobre Andrómeda o la corrupción en la Policía, ¿a cuál de ellos acude si sospecha que le intervinieron el computador?:

  1. a) Centro Cibernético Policial
  2. b) ColCERT
  3. c) Comando Conjunto Cibernético de las Fuerzas Militares

¿Más pistas? (¿en serio?) ¿Al ColCERT? Mejor no. Aunque en abstracto es lo más parecido al cuerpo de bomberos en cuestiones digitales, hace parte del Ministerio de Defensa, por lo que, en últimas, en casos como cuando funcionarios públicos abusan de sus facultades y hackean computadores de la ciudadanía, no parece que esta sea la instancia más neutral para investigar y resolver el problema. Con todo y que en el CONPES se propuso la creación de más organismos de respuesta a incidentes de seguridad informática, estos grupos están pensados para los riesgos de cada infraestructura crítica, es decir, de los sistemas de agua, de transporte, de energía u hospitalarios.

En resumen, el gobierno ha ignorado un reclamo fundamental que venimos haciendo desde hace tiempo: la política de seguridad digital estará desbalanceada siempre que quiera aumentar capacidades defensivas, ofensivas, de investigación criminal e inteligencia sin reconocer que el abuso de esas capacidades ha hecho del entorno digital un lugar más inseguro para personas periodistas y opositoras, organizaciones de la sociedad civil y la ciudadanía en general. Mientras el gobierno siga olvidando campantemente el escándalo de las Chuzadas, Andrómeda, el caso del hacker Sepúlveda, la vigilancia ilegal a Vicky Dávila y su equipo de trabajo, etc., los derechos humanos saldrán perdiendo.  Adicionalmente, en el contexto colombiano actual no es despreciable el riesgo para la seguridad digital de estas personas en relación con otros actores como crimen organizado, narcotráfico, paramilitares, etc.

Si se reconociera que esas capacidades son impensables sin controles igualmente fuertes, el CONPES de seguridad digital hablaría también de meter en cintura las herramientas de interceptación de comunicaciones o de crear instituciones no militares o policiales que puedan recibir reportes de ataques digitales a los sectores sensibles de la sociedad. Es decir, se tomaría en serio para todos los sectores de la sociedad la garantía del ejercicio de derechos humanos como la libertad de expresión o la intimidad en el entorno digital.

El CONPES no es una ley y por eso tiene que materializarse en reformas legales o nuevas leyes, en decretos, resoluciones y demás instrumentos. Por eso esperamos que en la implementación se tomen en cuenta nuestras observaciones para así poder acercarnos a un entorno digital más seguro, es decir, que permita a las personas el ejercicio libre de sus derechos.

Para conocer en detalle todo lo que dijimos antes de que saliera el CONPES y que el gobierno no tuvo en cuenta, vea el documento: Comentarios al CONPES sobre seguridad digital desde Sociedad Civil.

3 comentarios

  • Uriel Ramírez Márquez says:

    Excelente la manifestación que debe ser tenida en cuenta, más aún si reconocemos las tendencias de nuestro contexto social.

  • Camilo Suárez. says:

    ¿Qué ocurre cuando un funcionario de la policía se extralimita a sus funciones? ¿A quien se acude? Puede acudir a la misma policía, a la procuraduría, a un sín número de ONGs. Lo mismo pasa en este caso. Los organismos de los que habla el CONPES hacen exactamente lo mismo que el estado hace con otros casos; y no hay pruebas que indiquen que esto reduzca las tasas de efectividad en las investigaciones o en las sentencias. Además, el enfoque que busca darle el CONPES no es tanto a la seguridad de los usuarios frente a las instituciones públicas, es más un tema orientado al Comercio Electrónico.

    • karisma says:

      Hola Camilo ¡Tienes toda la razón!

      El enfoque del gobierno con los distintos CONPES de ciberseguridad/seguridad digital no ha sido el de proteger a las personas. Han priorizado
      la ciberdefensa y el desarrollo económico.

      Gracias por tu comentario.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.