ARGENTINA:
Las diferentes filtraciones demuestran que los sistema del Estado son vulnerables y que la información privada de las personas se encuentra expuesta a hackeos.
Durante los últimos años, Argentina ha sufrido graves incidentes de seguridad informática que afectaron tanto al sector público como al privado. Solo entre abril de 2020 y marzo de 2021, la Unidad Fiscal Especializada en Ciberdelincuencia registró 14.583 reportes de casos asociados a la cibercriminalidad, un 465% de aumento con respecto al año anterior.
Para alertar a la sociedad acerca de la necesidad de exigir la protección de datos personales y de apoyo a los usuarios que denuncian vulnerabilidades en los sistemas digitales del Estado, se creó el proyecto #DatosEnFuga.
#DatosEnFuga es una iniciativa de las organizaciones Democracia en Red, Fundación Vía Libre y el Observatorio de Derecho Informático Argentino, que busca que el Estado asegure estándares de ciberseguridad y deje de perseguir penalmente a quienes identifican, denuncian y reportan vulnerabilidades informáticas.
Agustín Frizzera, director de Democracia en Red, explicó: “El proyecto busca promover y establecer una política pública de protección de los activos digitales en poder del Estado y generar un entorno que ofrezca cobertura legal y técnica a las personas que realizan denuncias sobre las vulnerabilidades informáticas”.
Los organizadores del proyecto creen que existen tres motivos fundamentales para comenzar a abordar este importante tema:
Las filtraciones que sufrieron diversas reparticiones del Estado en el último tiempo hace suponer que sus sistemas son vulnerables.
La ciudadanía está cada vez más demandada de datos y a la vez se encuentra más expuesta al mal uso de esta información.
Se persigue penalmente a activistas de la comunidad de seguridad informática que reportan errores y espacios vulnerables en los sistemas del Estado.
Tomás Pomar, presidente del Observatorio de Derecho Informático Argentino, afirmó: “Muchas empresas y organismos públicos no cumplen con los mínimos estándares globales de seguridad informática. La seguridad informática es un derecho que tenemos que exigirles a todas las personas que tengan bajo su cuidado una base de datos, ya sea del ámbito público o privado”.
En cuanto a las características del proyecto, María Trevisani, responsable #DatosEnFuga, aclaró que se trata de una iniciativa multisectorial que involucra al ámbito judicial, a especialistas en informática y a la sociedad en general, dadas las implicancias personales: “Nadie toma real relevancia de lo que conlleva que nos roben los datos, que usurpen nuestra identidad, cuando se habla de seguridad siempre se piensa en la seguridad física y este otro aspecto parece perder importancia”.
El proyecto hace especial hincapié en los casos de personas que reportan irregularidades informáticas y automáticamente se convierten en sospechosos de un delito.
“Al que denuncia le va mal y todo esto atenta contra la solución del problema. La protección de datos personales es una parte esencial en el ejercicio de la privacidad, intimidad y a la autodeterminación informativa”, señaló Frizzera.
Los incidentes de seguridad de la información y la filtración de datos personales
El concepto específico para referirse a los problemas técnicos en seguridad de la información es “incidente”. Un incidente por definición es un evento o conjunto de eventos no deseados que pone en peligro la integridad, la confidencialidad o la disponibilidad de la información, e incluye las transgresiones a una política de seguridad de la información, o política de uso aceptable, sin tener en cuenta si el evento fue intencional o no, ni si su origen es interno u externo. Ejemplos de transgresiones son compartir claves, utilizar recursos de una organización para fines personales, entre otros.
Analizados desde la seguridad de la información, prevenir este tipo de incidentes requiere de todos los procesos, procedimientos y tecnología que requiere la protección de la información corporativa, aunque el análisis de riesgos en la protección e inversión viene generalmente derivado del cumplimiento legal en el marco de la legislación en Protección de datos personales, en Argentina, la Ley 25326 y sus normas reglamentarias y complementarias.
La respuesta ante este tipo de incidentes requiere de un componente técnico para conocer cuál fue la causa raíz que permitió la ocurrencia del incidente, identificar responsabilidades y verificar que la organización tomó las acciones para que no vuelva a ocurrir.
Por último, si existiera una exposición pública de claves y cuentas de correo, utilizadas para acceder a un servicio, la recomendación debería ser cambiar la clave de inmediato.