- Home
- Quiénes escriben
- Democracia y ciberseguridad - Marcela Pallero
Democracia y ciberseguridad
Marcela Pallero
A finales de la última dictadura, la digitalización era mera futurología. En 1973, hace 50 años, se realizó la primera llamada por teléfono móvil, sin que nadie imaginara los cambios que esa tecnología traería. En los inicios de la década de 1980 nacía Internet y comenzaba su despliegue global.
En estos 40 años hemos vivido una verdadera transformación de herramientas y usos de las tecnologías de la información y la comunicación, las TIC, como se las ha denominado durante años. La enorme cantidad de beneficios y posibilidades que brindan muchas veces hacen olvidar el análisis de sus riesgos.
A la inserción de las TIC dada en estos años se suma una ingente cantidad de datos que se han creado y se crean a cada minuto, derivada del uso de los servicios. Esta combinación está llamando la atención no solo sobre el riesgo en el uso de las tecnologías sino también acerca de los datos que pueden ser procesados.
Es necesario reflexionar sobre estos temas y apelar otra vez a la memoria. No olvidar las persecuciones de la dictadura y no olvidar su atropello a los derechos fundamentales y las consecuencias que tuvo en nuestro país. Entender dónde se juegan algunos de esos derechos hoy, cuando muchos servicios están mediados por tecnologías, resulta una obligación más que una necesidad.
Desde el principio de los tiempos, las tecnologías nos brindaron el medio para construir, sobrevivir y también para destruir. Las revoluciones y los cambios en las sociedades en cada época se dieron de la mano de nuevas tecnologías, al tiempo que se producían caídas y surgimientos de instituciones sociales para adaptarse a tales cambios. Las innovaciones generadas por Internet desde la década de 1980, las grandes plataformas y el uso masivo de datos, años después integran, entre otros, un conjunto de cambios que transformaron la manera de llevar a cabo muchas actividades. Cambios a los que aún nuestra sociedad no se terminó de adaptar en todas sus dimensiones.
En términos históricos, estos cambios son recientes. El origen de Internet fue el resultado de buscar la solución a un problema concreto: mantener las comunicaciones aún en condiciones extremas de hostilidad de un enemigo. Su nacimiento fue posible por conocimientos adquiridos previamente y por diversos descubrimientos científicos y tecnológicos anteriores.
Así, estas nuevas tecnologías mejoran nuestra vida cotidiana, se expanden y se desarrollan de manera diversa, dispersa, atravesando casi todos los aspectos críticos de la vida moderna, habilitando desde servicios digitales simples y domésticos hasta comunicaciones internacionales comerciales y militares, por mencionar solo algunos ejemplos.
Problemas como ocultar información de un adversario o mantener una comunicación en momentos críticos se han resuelto de muchas maneras a lo largo de la historia. Hoy las nuevas tecnologías permiten la implementación de criptografía para establecer esquemas seguros para la autenticación y el resguardo de secretos en casi cualquier servicio digital.
La autenticación1 es uno de los puntos centrales para la seguridad de las personas al utilizar servicios digitales, y merece una reflexión inicial. Disponer de una solución para un problema desde la teoría y el conocimiento es una cosa, y otra muy distinta es que esa solución sea factible en la práctica. En efecto, los recursos técnicos utilizados para saber que alguien es quien dice ser deben mantener un equilibrio entre la privacidad de esa persona y el recurso o bien al que habilita a acceder, así como considerar los riesgos de seguridad de los datos personales utilizados y el impacto en los derechos fundamentales, sobre todo en el contexto actual en que se desarrollan los servicios digitales.
Al profundizar en este concepto vemos que los servicios digitales en la actualidad permiten que personas sin demasiados conocimientos técnicos diseñen sitios web, utilicen redes sociales para comprar y vender desde un dispositivo móvil, accedan a información de salud de manera remota, se eduquen y trabajen desde cualquier lugar del mundo. Estas tecnologías facilitan la gestión y operación de empresas de cualquier rubro, también la de los servicios esenciales como la generación y provisión de energía, los sistemas de transporte público o los servicios financieros, entre otros.
Estos enormes avances se han dado de manera rápida y arrolladora, y si bien ciertos adelantos tecnológicos se despliegan en todo el mundo, el ritmo con que los Estados se adaptan a ese desarrollo es disímil y la capacidad de dar respuesta se manifiesta en las regulaciones que se dictan, en las instituciones designadas para analizar en profundidad estos temas y en los cambios en los sistemas educativos.
En este sentido, es importante considerar que las innovaciones tecnológicas posibilitan que muchas actividades tradicionales puedan hacerse de manera más rápida, eficiente y escalable. Sin embargo, eso que se suele denominar transformación digital, es decir pasar de servicios personales y manuales a remotos y mediados por tecnologías, en la perspectiva de impacto en los usuarios supone nuevas dependencias, interacciones y riesgos.
Es importante destacar que la finalidad de estas acciones y su naturaleza no han cambiado; por ejemplo, la compra y venta de productos. Lo que cambia es el medio y los intermediarios que lo hacen posible. De esta manera, pasan a formar parte de la transacción la infraestructura de telecomunicaciones y sus operadores, los dispositivos y sus sistemas operativos, las aplicaciones y las plataformas de ventas, entre otros componentes.
La mayoría de estos actores intermediarios lo hace de manera invisible para el consumidor, es decir, este no los percibe interviniendo o mediando en el proceso que se desencadena para concretar la transacción. A veces, inclusive lo son para el productor. No obstante, estos intermediarios son necesarios en tanto son parte del entorno desempeñando nuevos roles.
Esa cadena invisible de intermediarios más o menos larga y compleja, de acuerdo al servicio, siempre está. Siguiendo esta idea, en algunos documentos se denomina ciberespacio al conjunto de esas cadenas invisibles y sus extremos, que no solo implica hardware y software, sino también sistemas de información, personas y organizaciones que hacen posible que existan.
En ese sentido, es posible entender la complejidad que representa dar seguridad al ciberespacio, es decir, a los productos y servicios digitales. Es necesario destacar que existen disciplinas como la seguridad informática2 y la seguridad de la información,3 que definen los principios y buenas prácticas4 para dotar de seguridad a esta cadena, en la teoría.
Pero en concreto, y a nivel de toda la sociedad, hay desconocimiento y pocos incentivos para implementar estas prácticas que resultarían beneficiosas para las personas, organizaciones y Estados. Los incentivos son necesarios porque cualquier implementación que incluya aspectos de seguridad es más costosa. Por ejemplo, implementar seguridad desde el diseño y por defecto5 (que constituye una buena práctica) requiere el uso de recursos no solo económicos, sino de tiempo, así como diseñadores y programadores capacitados y herramientas específicas.
Además, la formación en estas especialidades aún no está consolidada en los planes de estudio de las carreras de informática y computación en muchos lugares del mundo –incluyendo nuestro país– y tanto la seguridad informática como la seguridad de la información no están reconocidas como disciplinas ni es considerado el valor social de su aporte. Más aún, como agravante, de nada sirven las mejores y más caras herramientas si no hay personas capacitadas para su implementación y si no existe una dirección consciente de la relevancia de estos temas para la supervivencia de las organizaciones y el bienestar de las personas.
Esta situación repercute en una gran cantidad de problemas concretos en personas de a pie, que los sufren cuando, por ejemplo, no pueden acceder a un servicio de justicia cuando sufren estafas o ven sus datos personales difundidos sin su autorización como consecuencia de filtraciones masivas, solo por nombrar tres incidentes graves de ciberseguridad, que han sido frecuentes en la Argentina.
En un entorno amistoso en el que no existen amenazas, los servicios, los sistemas y las aplicaciones pueden funcionar bien, aunque tengan fallas. Sin embargo, en la actualidad los entornos son hostiles, y cuando no se han considerado e incorporado los principios de seguridad desde el diseño los sistemas pueden ser muy vulnerables y volver vulnerables a las personas y organizaciones que los usan.
En cuanto al Estado de derecho, y como aporte de valor, medidas de seguridad como el cifrado o los sistemas de autenticación fuerte son útiles también para resguardar tanto el derecho a la propiedad como otros derechos fundamentales como la privacidad o la libertad de expresión. Esto es válido tanto si un periodista investiga abusos de un Estado autoritario, si las personas quieren resguardar su privacidad o para proteger a un investigador que descubre y reporta una vulnerabilidad del accionar de las fuerzas policiales o judiciales –instituciones que en muchas oportunidades no comprenden las particularidades de este tipo de acción–.
El artículo 19 de nuestra Constitución merece un recordatorio especial sobre la cuestión de la privacidad:
Las acciones privadas de los hombres que de ningún modo ofendan al orden y a la moral pública, ni perjudiquen a un tercero, están solo reservadas a Dios, y exentas de la autoridad de los magistrados. Ningún habitante de la Nación será obligado a hacer lo que no manda la ley, ni privado de lo que ella no prohíbe.
Las acciones no son privadas si las personas que usan servicios digitales pueden ser espiadas sin su conocimiento. Las personas no son libres si pueden ser manipuladas mediante mensajes engañosos porque su información más íntima se compra y se vende. Las plataformas globales recolectan información de los usuarios para ofrecerles servicios que se ajusten a sus consumos, por lo que los espacios de publicidad en buscadores y plataformas se subastan en tiempo real. Los extraordinarios beneficios de las nuevas tecnologías conllevan riesgos a distinta escala, en distintos órdenes de la vida, que es necesario atender.
El fortalecimiento de la seguridad debe estar dirigida a proteger a las personas en resguardo del ejercicio de derechos como su libertad, su privacidad, y también, la protección de su patrimonio, que en el mundo digital, también llamado ciberespacio, son sus datos, registros, representaciones, comunicaciones, etcétera. Además, y por su carácter de relevante, las medidas de protección deben orientarse al aseguramiento de los servicios esenciales, como el transporte, la provisión de energía y los servicios financieros, que finalmente son parte vital del bienestar general de la sociedad. Estas cuestiones suelen englobarse bajo el término ciberseguridad, para la cual las personas son el fin último de las medidas de protección que se adopten, de cualquier naturaleza.
A 40 años de democracia en nuestro país, no debemos olvidar que el ejercicio de todos los derechos mencionados antes son posibles solo porque existe el Estado de derecho, que la seguridad pública y las garantías democráticas son valores recuperados con los cuales debemos estar comprometidos a diario y que no deben darse por sentados. Mejorar la calidad de las instituciones es una tarea en la que muchos podemos colaborar desde nuestras tareas diarias y la ciberseguridad tiene mucho para aportar a esas mejoras.
Es necesario reflexionar sobre las acciones que se pueden realizar hacia el futuro con el objetivo de hacer que las personas nos podamos sentir más seguras al utilizar servicios digitales, aprovechando sus beneficios pero conociendo también los riesgos.
1. Autenticación es el proceso de probar que una entidad o individuo es quien dice ser.
2. La seguridad informática brinda seguridad sobre las tecnologías, programación, redes informáticas y de telecomunicaciones, sus infraestructuras, las interconexiones, etcétera.
3. La seguridad de la información brinda las buenas prácticas en términos de procesos para las organizaciones, las estrategias, los planes, procedimientos, considera la gestión del riesgo, en todos sus niveles jerárquicos y la inserción de la seguridad informática en las organizaciones. Es independiente del formato y del soporte en que se encuentren los datos (papel, disco rígido, USB, etcétera).
4. Buenas prácticas es el conjunto de actividades estandarizadas en una materia, que han sido utilizadas por especialistas y que han dado resultado; suelen ser emitidas por entidades que se especializan. Los conjuntos de buenas prácticas suelen tener un ciclo de actualización de algunos años.
5. Seguridad desde el diseño y por defecto es la práctica de considerar los requerimientos de seguridad desde las etapas más tempranas de desarrollo y que las configuraciones de fábrica o desde su provisión a un usuario sean las de mayor seguridad.