Ransomware y datos judiciales: por qué debe importarnos el ataque a la JPM

En Colombia, los ataques cibernéticos a entidades públicas y privadas no son una rareza, pero seguimos actuando como si lo fueran. La reciente afectación a la Justicia Penal Militar (JPM) es solo el último episodio de una larga serie. Sin embargo, todo indica que no se trata de un caso más de filtración: estamos ante una grave brecha de seguridad digital subdimensionada, y que confirma que la ausencia de protocolos oficiales para gestionar y comunicar vulnerabilidades en sistemas estatales sigue siendo la regla.

Actualmente, la página de la JPM es un aviso informando que la entidad fue víctima de un ataque cibernético que interrumpió temporalmente sus servicios tecnológicos y de comunicaciones. Los medios esencialmente replican con un contexto básico el comunicado en el que la entidad asegura que la información comprometida era de carácter público, informa que suspendió temporalmente los términos procesales y que trabaja con los proveedores tecnológicos para recuperar la infraestructura. Nada dice el texto sobre si se notificará a las personas potencialmente afectadas. Nadie hace preguntas.

Por su parte Hiperconectado señala que la filtración alcanzaría los 45 terabytes de información, incluyendo datos sensibles de procesos judiciales que, por su naturaleza, deberían mantenerse en reserva. Para dimensionar la cifra, basta recordar que la filtración de Guacamayas de datos de la Fiscalía en 2022 fue de 5 terabytes. A más de tres años, los periodistas aún no terminan de analizar ese material. ¡Estamos hablando de una cantidad de datos inmensa! y solo por eso está difícil creer que esto es solo de información pública.

El comunicado oficial dice que las afectaciones son “consistentes con el secuestro de información…”. Estamos ante un ataque tipo ransomware, un programa malicioso diseñado para extorsionar que cifra los archivos y bloquea su acceso. Los atacantes después exigen un pago a cambio de las claves para recuperar esa información. Hiperconectado precisa que fue con la variante Gunra, o doble extorsión, porque no solo cifra los archivos, sino que además copia datos sensibles y amenaza con hacerlos públicos por aparte, cobran también por evitarlo. No deseo a nadie caer en una de estos esquemas criminales, no hay salida fácil.

En ese contexto parece inusual que la JPM diga que el ataque fue en la madrugada del 15 y ya hay una filtración de esa magnitud: ¿Cómo se hizo la extorsión tan rápido? ¿Cuál fue el plazo para el pago? El silencio institucional y mediático frente al impacto de una filtración de esta magnitud es sorprendente.

Este caso confirma un problema estructural de la política pública de ciberseguridad en Colombia: la ausencia de canales oficiales y confiables para informar sobre incidentes y la falta de una cultura de notificación a las personas afectadas.

Tengo que insistir en la necesidad de establecer rutas oficiales de reporte de vulnerabilidades e incidentes en los sistemas informáticos del Estado. Estas rutas no solo permitirían reaccionar con rapidez, sino también generar mecanismos confiables de comunicación con la ciudadanía y, sobre todo, con las personas cuyos datos han sido comprometidos.

Aunque se han hecho pilotos, lo único que se ha oficializado en años es que la entidad formalmente responsable es el ColCERT, Seguimos sin canales formales ni responsabilidades bien definidas. Una y otra vez se repite la misma escena: caída del sistema, silencio institucional -o información muy vaga- y ningún aviso a quienes pueden salir perjudicado. Entiendo que una entidad víctima pueda paralizarse ante un ataque, pero como sociedad necesitamos que alguien en el Estado responda las preguntas básicas, que explique. Este vacío no es por capacidad técnica, es por voluntad política.

Por otro lado, la Ley de Protección de Datos Personales en Colombia solo obliga a informar a la autoridad competente -la Superintendencia de Industria y Comercio (SIC)- cuando hay una filtración por fallas en la seguridad digital, pero no exige notificar a las personas afectadas, algo que sí se contempla en legislaciones como el Reglamento General de Protección de Datos en Europa. Aunque la SIC recomienda esta práctica, la realidad es que no se aplica de forma sistemática. ¿Estará considerando la JPM informar a las personas cuyos datos pudieron ser comprometidos?

Este caso representa una nueva oportunidad para repensar cómo el Estado debe comunicar, de manera clara, transparente y oportuna, los incidentes de seguridad digital. Informar permite que la sociedad entienda el alcance del daño y que las personas puedan tomar medidas preventivas: cambiar contraseñas, estar atentas frente a posibles fraudes, entre otras acciones.

Esto es importante si recordamos que, según estudios como el Índice de Inteligencia de Amenazas X-Force, Colombia ocupó en 2023 y 2024 el primer lugar en América Latina en amenazas cibernéticas, siendo las pequeñas empresas las más afectadas. El Estado tiene que dar ejemplo, estuve mirando una cuenta que alerta de filtraciones incluyendo las de Colombia, y -de nuevo- esto no es una rareza, sucede permanentemente.