¡°Los hackeos en Colombia no van a parar y hay que prepararse para lo peor¡±

La f¨ªsica colombiana Pilar S¨¢enz (Bogot¨¢, 50 a?os), experta en ciberseguridad y derechos digitales, hace un balance de la gravedad del hackeo que la semana pasada afect¨® los sistemas de m¨¢s de 20 entidades del gobierno nacional. ¡°Los hackeos en Colombia no van a parar y hay que prepararse para lo peor¡±, dice en entrevista con EL PA?S. S¨¢enz es la coordinadora del laboratorio de seguridad digital y privacidad de la ...

La f¨ªsica colombiana Pilar S¨¢enz (Bogot¨¢, 50 a?os), experta en ciberseguridad y derechos digitales, hace un balance de la gravedad del hackeo que la semana pasada afect¨® los sistemas de m¨¢s de 20 entidades del gobierno nacional. ¡°Los hackeos en Colombia no van a parar y hay que prepararse para lo peor¡±, dice en entrevista con EL PA?S. S¨¢enz es la coordinadora del laboratorio de seguridad digital y privacidad de la Fundaci¨®n Karisma, una organizaci¨®n de la sociedad civil que busca la promoci¨®n de los derechos humanos en el mundo digital. Desde hace m¨¢s de una d¨¦cada, S¨¢enz estudia las consecuencias sociales de los ciberataques. ¡°Lo peor que puede pasar es que despu¨¦s del hackeo haya venta de informaci¨®n sensible de las entidades al mercado negro. Por ejemplo, que las bases de datos cr¨ªticos y sensibles de la salud de los pacientes queden en manos de criminales¡±.

Pregunta. ?Cu¨¢l es a su juicio la gravedad del hackeo que sufrieron la semana pasada m¨¢s de 20 instituciones p¨²blicas de Colombia?

Respuesta. El balance es muy complejo. Todav¨ªa no se han podido recuperar los sistemas que fueron atacados y, sobre todo, no se sabe con certeza cu¨¢l es la magnitud. Hay una falta de informaci¨®n preocupante por parte de la empresa IFX Networks. No sabemos con precisi¨®n cu¨¢l fue su alcance ni cu¨¢nto tiempo estimado se puedan demorar en resolverlo. Sin esa informaci¨®n es dif¨ªcil que las instituciones afectadas implementen medidas para resolver los problemas. Creo que con un ataque tan fuerte como el que sufrieron, va a ser muy dif¨ªcil que recuperen su operaci¨®n en un tiempo corto.

P. ?C¨®mo ve la situaci¨®n de ciberseguridad en Colombia?, ?estamos preparados para prevenir otro ataque similar?

R. Hay que partir de la certeza de que nunca habr¨¢ seguridad digital al 100%. Todos los sistemas son susceptibles a fallos. La pregunta, entonces, no es si los sistemas van a fallar, sino cu¨¢ndo van a fallar. Todas las instituciones deber¨ªan estar preparadas para un ataque de ransomware, porque van a seguir ocurriendo. Los sistemas son vulnerables, las personas cometen errores. El riesgo m¨¢s grande de ciberataque en este momento es el ransomware. Hace menos de un a?o hubo un ataque a la Fiscal¨ªa y otro a las fuerzas militares, y seguir¨¢n.

P. ?Qu¨¦ es y c¨®mo funciona el ransonware?

R. Esa expresi¨®n viene de la palabra ransom, que en ingl¨¦s significa rescate (en el sentido del dinero que se paga por una extorsi¨®n) y hace referencia a secuestro de datos. Lo que hacen los atacantes es encontrar una forma de meterse al sistema de la entidad. Una vez adentro, mapean toda la informaci¨®n y se expanden por el sistema. Cuando est¨¢n seguros de que tienen el control, cifran los datos con una contrase?a, de forma que sean inaccesibles para las personas de la instituci¨®n. Al final, ponen un aviso pidiendo dinero a cambio de devolver la informaci¨®n.

P. ?C¨®mo se debe responder a eso?

R. Ante un ataque de este tipo, lo normal es desconectar la m¨¢quina de internet, intentar acceder a los datos, restablecer el backup de la informaci¨®n y revisar que no haya m¨¢s vulnerabilidades. El problema se hace m¨¢s grave cuando no hay backup. En ese caso toca restablecer el sistema desde cero con informaci¨®n de distintas partes o pagar el rescate. Eso, sin embargo, es negociar con criminales.

P. ?Es ilegal?

R. Que yo sepa no es ilegal tranzar con criminales, pero no es ¨¦tico. En los estados financieros de una instituci¨®n, un pago de este tipo se ver¨ªa muy mal.

P. ?Es com¨²n que los gobiernos o las entidades hagan esos pagos?

R. No se sabe, muchos de estos ataques no salen a la luz p¨²blica. Pero si los criminales lo siguen haciendo es porque la gente a veces paga para rescatar su informaci¨®n. Sin embargo, creo que las instituciones est¨¢n aprendiendo a tener mejores sistemas de recuperaci¨®n y cada vez le ponen m¨¢s cuidado a los temas de seguridad digital. Es un cambio de mentalidad lento y todav¨ªa hace falta mucha conciencia, no solo en Colombia sino en todo el mundo.

P. ?En qu¨¦ fall¨® el Estado colombiano en el hackeo de IFX Newtorks? ?Qu¨¦ parte de la responsabilidad le corresponde?

R. Eso depende de los detalles del contrato que cada entidad tenga con IFX, que no conozco. En cualquier caso, el pa¨ªs no puede estar sin la rama judicial y sin sistema de salud, por poner solo dos ejemplos. El Estado es responsable de tener un plan de contingencia para garantizar los servicios y responder si algo sale mal durante el tiempo en que no est¨¢n activos. El Estado tiene que garantizar los derechos de los ciudadanos. No puedes frenar el derecho a la salud o a la justicia porque una plataforma est¨¢ inactiva. Las personas deber¨ªan poder pedir sus medicamentos y ser atendidos con normalidad. Para eso sirven los planes de contingencia, que cada entidad deber¨ªa tener.

P. En este caso no parece que hayan funcionado porque muchos sistemas siguen ca¨ªdos...

R. La ciudadan¨ªa no sabe con certeza cu¨¢les sistemas est¨¢n ca¨ªdos y cu¨¢les no. Por ejemplo, la Superintendencia de Industria y Comercio solo ten¨ªa contratado con IFX su infraestructura ya lograron solucionar, pero las bases de datos de la rama judicial y del sistema de salud parecen estar m¨¢s comprometidas. Los planes de contingencia no se ven. Adem¨¢s, hay una tarea previa que est¨¢ pendiente desde hace a?os, que consiste en identificar y establecer cu¨¢les son las infraestructuras cr¨ªticas de Colombia que deben protegerse a toda costa. El Conpes de seguridad digital de 2020, que es el vigente, lo establece. Sin embargo, no se ha firmado el decreto.

P. ?Cu¨¢les son a su juicio esas infraestructuras cr¨ªticas?

R. En t¨¦rminos generales, la infraestructura cr¨ªtica se suele entender como aquella sin la cual no puede funcionar un pa¨ªs. Incluye transporte, energ¨ªa, servicios b¨¢sicos como la salud o la educaci¨®n, la seguridad nacional y las telecomunicaciones. Es necesario el decreto que las formalice.

P. En la discusi¨®n del Plan Nacional de Desarrollo se cay¨® la propuesta de crear una agencia de seguridad digital, ?piensa que es necesaria?

R. Nosotros, desde Karisma, siempre dijimos que era una buena idea. Necesita una mejor discusi¨®n, pero se requiere. Son urgentes instituciones que tengan la capacidad de responder ante este tipo de ciberataques. Hubo mucha desinformaci¨®n en el Congreso y por eso se cay¨® la iniciativa. La agencia de seguridad digital nada tiene que ver con la de inteligencia, que adem¨¢s ya existe. Creo que se perdi¨® la oportunidad de crear una instituci¨®n muy necesaria. Esperamos que pronto se pueda llegar a un acuerdo concreto que le sirva al pa¨ªs.

P. ?Qu¨¦ otra cosa se necesita para fortalecer la seguridad digital de Colombia y prevenir ataques como estos?

R. Esos ciberataques no van a parar. Hay que tomar conciencia del tema. No van a dejar de suceder y, por lo tanto, hay que estar preparado para lo peor.

P. ?Qu¨¦ es lo peor?

R. El peor escenario es que pase lo que ya pas¨® y que, adem¨¢s, haya venta de informaci¨®n de las entidades al mercado negro. Por ejemplo, que las bases de datos cr¨ªticos y sensibles de la salud de los pacientes queden en manos de criminales. A¨²n se pueden imaginar consecuencias m¨¢s complejas, por ejemplo, que la informaci¨®n de procesos penales de un individuo se le venda a una red de delincuentes.

Suscr¨ªbase aqu¨ª a la newsletter de EL PA?S sobre Colombia y reciba todas las claves informativas de la actualidad del pa¨ªs.