22 Jan 2021 - 2:58 a. m.

La importancia de reportar fallos en sistemas informáticos del Estado

El 15 de enero pasado La Silla Vacía publicó un artículo en el que hablaba de una vulnerabilidad en el sitio web de Cancillería que exponía más de 500.000 visas de extranjeros que las han solicitado y obtenido en Colombia. La fuga permitía acceder a las visas de estas personas y por tanto a los datos personales en ellas. Este evento confirma la urgencia de que el Estado mejore la seguridad de sus plataformas e infraestructuras, además debe habilitar una ruta para la coordinación de vulnerabilidades en el país.

Desde hace algunos años Karisma, donde trabajo, hace auditorías ciudadanas no intrusivas para analizar cómo se protegen la privacidad y la seguridad digital en páginas web y aplicaciones del Estado —les conté lo que hicimos con CoronApp, por ejemplo—.

En 2019 publicamos el “Estudio sobre rutas de divulgación en seguridad digital” -consultado con personas de la comunidad técnica —que muestra lo que se necesita para crear rutas de coordinación de vulnerabilidades, amenazas, incidentes y violaciones de la seguridad de los datos en Colombia (en adelante ruta de coordinación de vulnerabilidades). Creemos que el Estado debe crear una ruta coordinada, responsable, disponible para todas las personas y apoyada en la confianza, para que cualquiera pueda reportar posibles fallas, que le respondan de forma adecuada y que los responsables la atiendan. El informe se presentó durante las discusiones del Conpes de seguridad digital que fue publicado en 2020 y donde la ruta quedó como una de las acciones a adelantar.

El caso de la vulnerabilidad de la Cancillería confirma elementos de nuestro diagnóstico y ratifica la urgencia que tiene la creación de esta ruta.

De un lado, quien encuentra una vulnerabilidad y desea reportarla para que sea arreglada no sabe a quién acudir; ni qué pasará después del reporte —no hay compromiso de respuesta, ni seguridad de que actúen en consecuencia—; tampoco sabe cómo puede contar eso que reportó sin generar otros perjuicios —considerando que los fallos pueden ser de interés público pero que también puede ser peligroso que cierta información caiga en malas manos—. Hoy informar una vulnerabilidad en una plataforma estatal está asociado con frustración e impotencia.

El Estado debe partir de que las personas no tienen por qué saber qué hacer en estos casos. La información sobre cómo hacerlo debe ser fácil de encontrar y estar disponible en todas las entidades públicas, incluso una vez se cree el coordinador designado. La información debe incluir tiempos de respuesta y ser didáctica, de modo que las personas sepan que lo más adecuado es esperar a que la vulnerabilidad quede arreglada para hablar públicamente de ello y puedan entender que aún así puede haber aspectos confidenciales.

Por otro lado, aunque es vox populi que no hay seguridad digital efectiva al cien por ciento y que incluso si se han tomado todas las precauciones podría persistir el riesgo, las entidades perciben estos reportes más como ataques que como información que apunta a mejorar la seguridad.

Muchas veces los reportes no son atendidos porque se pierden en la entidad —sin una ruta clara, los PQR se quedan en el limbo—. Si la entidad responde es frecuente que —seguramente por sentirse expuesta— la reacción sea amenazar con acciones jurídicas o atender el informe como un problema de relaciones públicas. En consecuencia, no se priorizan las obligaciones frente a las personas cuyos datos custodian —debe correr a cerrar el hueco—; no son conscientes de que una vez reportada la falla ya no podrá ser un secreto —habrá aspectos confidenciales pero las generalidades deberán contarse— y que deben reportar a las autoridades e incluso informar a las posibles víctimas —esta no es obligación legal en Colombia pero es una buena práctica internacional—.

En nuestra experiencia, las respuestas de las entidades también se derivan de la ausencia de capacidad interna para reaccionar con prontitud. Incluso si se trata de vulnerabilidades no muy sofisticadas, como en el caso de la Cancillería. En general hemos encontrado que las entidades tercerizan sus soluciones de tecnología y no cuentan con capacidad interna experta en temas de seguridad digital; por tanto, no pueden responder rápido. Tampoco parecen tener la costumbre de auditar sus soluciones tecnológicas, lo que no les permite actuar preventivamente, ni tener información sobre ellas. Además muchas veces las entidades trabajan con herramientas desactualizadas. De lo que hemos observado y del creciente número de incidentes, las entidades públicas deberán invertir en fortalecer su capacidad interna para entender la tecnología que adoptan y sus riesgos; no pueden confiar todo a la tercerización.

La ruta de coordinación para la divulgación de vulnerabilidades haría que, sin importar a quién le reporten una vulnerabilidad, se active un proceso en el que una entidad del Estado coordine la respuesta —apoya lo técnico y garantiza que quien hizo el reporte tenga la información necesaria y que las autoridades correspondientes sean informadas—. Es importante apuntar a que, como resultado de esto, haya datos públicos, generales y estadísticos —que no expongan a las entidades— sobre la seguridad digital del Estado; esto ayudaría a cerrar el ciclo informando y educando a la sociedad sobre seguridad digital.

Uno de los grandes retos de la creación de la ruta será definir a la entidad coordinadora, que en principio debería ser el ColCERT (El Grupo de respuesta a Emergencias Cibernéticas de Colombia); sin embargo, el ser parte del Ministerio de Defensa lo descalifica. Los estándares internacionales en esta materia me dan la razón. La Fuerza Pública tiene capacidades de vigilancia que comprometen la confianza que debe existir en el canal, ya que no es posible conciliar los dos propósitos.

El caso de la Cancillería muestra que la creación de esta ruta puede facilitar mecanismos responsables de divulgación de vulnerabilidades, ayudar a las organizaciones a responder considerando todos los ángulos —incluyendo los reportes que deben hacer a la autoridad de protección de datos, por ejemplo— y garantizaría mecanismos de transparencia sobre estas situaciones. Estaremos haciendo seguimiento a la nueva ruta y sería buenísimo ampliar el grupo de personas y organizaciones que sigan ese proceso. Si le interesa el tema o conoce algún caso de reportes sin respuesta, contacteme a @carobotero.

Comparte:

Regístrate al Newsletter de hoy

Despierta con las noticias más importantes del día.
Al registrarse, acepta nuestros T y C y nuestra Política de privacidad.
X