Hace casi un mes IFX Networks, una multinacional que ofrece soluciones informáticas en América Latina, sufrió un ciberataque. La empresa fue víctima de un ransomware que afectó en Colombia a decenas de entidades públicas y privadas. Como las crisis de seguridad digital serán cada vez más frecuentes, debemos ser cada vez mejores respondiendo y preparándonos para ellas.

Ciberatacantes secuestraron la información que custodiaba IFX Networks y cuando esto sucede suele ser para solicitar un rescate por retornarla (eso es lo que en resumen significa un ransomware). Los sistemas de entidades colombianas como el Consejo Superior de la Judicatura, el Ministerio de Salud, y las Superintendencia de Industria y Comercio y de Salud, están en la lista de afectados.

Como ya había contado, el Decreto 338 de 2022 que expidió Duque en 2020 no solo proponía una estructura muy compleja de gobernanza de la seguridad digital, sino que no se implementó y además parece que tampoco ese gobierno dejó los recursos para hacerlo. Pero han pasado dos años y entre el retraso inicial para cubrir la cartera del MinTIC, y la decisión de cambiar la estructura, no se sabe cuál es la política en el tema, ni siquiera qué parte del Decreto están usando.

La creación de una Agencia Nacional es una propuesta interesante del gobierno que cuenta con modelos exitosos. Sin embargo, como quedó claro cuando el gobierno Petro intentó empujarla de afán, no puede crearse sin debate, deberán escuchar los comentarios de múltiples partes interesadas. Ese debate será complejo, no hay uno, hay dos proyectos de ley en el Congreso. Uno es de iniciativa gubernamental y otro del senador David Luna, presentados uno en la Cámara y otro en el Senado, ambos en diferentes comisiones.

De la reciente situación creada por el ataque vemos que el gobierno tiene mecanismos alternativos. No hay una explicación pública integral de lo que hacen, pero en la respuesta hay claves. La reacción en emergencias graves no la tiene el MinTIC, está en la Presidencia. La tiene a cargo la Alta Consejería para la Transformación Digital y la coordina el PMU. Existe un plan de contingencia, sólo que no está sistematizado para el público en general.

Estamos acostumbrados al secreto y la opacidad de las reacciones a las crisis como regla. Sí, en medio de la crisis no se puede contar todo, muchas veces tampoco es que tengan mucho para decir, pues durante un tiempo es poco lo que quienes manejan la crisis logran saber a ciencia cierta y porque tienen sus manos llenas.

Sin embargo, en línea con las recomendaciones de la OCDE en ese momento deben tener al menos claridad sobre cuáles son las actividades críticas que el mecanismo de respuesta debe priorizar y dar información pública a las personas afectadas. Es decir, pueden hablar del plan, de quién hace qué y por qué, y dar información que genere confianza sobre el manejo de la crisis.

Algo de esto comenzó a cambiar en la respuesta del gobierno a este ataque. Durante la crisis se publicaron lineamientos públicos sobre cuándo las entidades (públicas y privadas) deben notificar al Colcert y eso parece que funcionó, pronto el gobierno estaba coordinando la respuesta. En general, es positivo que se han expedido varios comunicados por diferentes organismos estatales, aún así nos falta el mapa de infraestructura crítica -esa debe construirse en la ley pero algún criterio estarán usando por ahora-, no tenemos información pública sobre los planes de contingencia, tampoco sabemos cómo se incorporan otros sectores de la sociedad en la respuesta (por ejemplo sociedad civil, personas que resultan afectadas y autoridad de protección de datos, que esta vez además fue impactada directamente).

En este caso si bien no hay un mapa de infraestructuras críticas, el primer comunicado indica que el PMU pide a IFX Network que priorice al sector salud. Es decir, éste sector ya está siendo tratado como infraestructura crítica. Sin embargo, solo se habla de lo que le piden a los privados. No hay información sobre el plan de contingencia que despliegan, tampoco sobre cuál es la capacidad que tienen para ello.

Sobre la comunicación al público. Es positivo que el Alto Consejero, Saul Kattan, saliera a medios dos días después del ataque con un mensaje honesto. Ofreció información sobre lo que se sabía en ese momento de cuáles entidades estaban afectadas, reconoció que había fuga de datos (incluso personales y sensibles de la salud de millones de personas) e indicó que el Estado no pagaría rescate.

Lo más interesante y novedoso en información en medio de estas crisis es que durante varias semanas el PMU Ciber publicó comunicados periódicos (empezaron el 13 y cerraron la crisis el 26 de septiembre). Estos documentos merecen un mayor análisis para indagar qué estuvo bien y qué puede ser mejor la próxima vez. No sabemos ahora quién continuará dando información, pues queda pendiente lo que sigue para mitigar las afectaciones a las personas, sobre todo a las poblaciones más vulnerables.

En una nota más complicada el Ministro TIC, Mauricio Lizcano, dijo “El problema que hubo en Colombia del hackeo de todas estas entidades no es un problema de Gobierno. Muy importante que la gente lo tengo claro, es un problema una empresa, se llama Data IFX, que prestaba servicio al estado de nube y que tenía la seguridad, no la garantizaron y por eso estamos en este problema”.

Independientemente de la valoración que deberá hacerse sobre las responsabilidades de esa empresa, lo cierto es que la seguridad digital en las infraestructuras informáticas consiste en un entramado de relaciones entre entidades públicas, privadas y las personas en contacto con los sistemas. Sugerir que alguien puede garantizar completamente la seguridad de un sistema es un imposible, lo que es un hecho es su vulnerabilidad y que están bajo constantes amenazas. Hay que indicarle al ministro que en seguridad digital lo que se administra es el riesgo y es un riesgo compartido si se subcontrata.

Ahora, sobre la empresa. Se esperaría de organizaciones tan grandes e internacionales, como esta, que estuvieran más preparadas para este tipo de crisis, usualmente son ellas las que dan ejemplo. Esta vez no se puede decir nada, porque no se sabe nada.

Mientras en el Congreso se discute el diseño legal futuro del mecanismo de gobernanza de la seguridad digital se puede decir que estamos más preparados para las crisis, aún así todavía se puede hacer más en materia de información y de coordinación. Tenemos derecho a entender cómo es el proceso que tienen para ayudar a las entidades afectadas y las medidas que toman para que las personas tengan menor impacto. Esperamos que nos cuenten quiénes lo sintieron más, y hablen de cómo y cuáles son las medidas que tomaron y toman para mitigar ese impacto.