:format(jpeg)/www.elespectador.comhttp://thumbor-prod-us-east-1.photo.aws.arc.pub/c5qj9x6iBQOX2vaZ7OJna15FDLI=/arc-anglerfish-arc2-prod-elespectador/public/RHC6U4TFMFCTBBYJ4UX6UDQUXA.jpg)
Esta semana será clave para la definición de la política de seguridad digital del país, pues hoy se cierra la etapa de comentarios públicos al documento Conpes que se encargará de trazar la estrategia y las acciones de ciberseguridad y ciberdefensa en Colombia. Es probable que estas recomendaciones, provenientes de sectores como la academia, sociedad civil y empresa privada, sean los últimos aportes a un texto que sienta el tono para el desarrollo de actividades y el ejercicio de derechos en el entorno digital.
El nuevo Conpes llega cinco años después de su antecesor (3701 de 2011), que impulsó la Ley de Inteligencia, así como la creación de instituciones para la ciberseguridad, principalmente en el sector defensa. El documento actual, en parte, continúa por esta línea y propone el establecimiento de varias entidades o cargos relacionados con el tema: consejero presidencial para la Seguridad Digital, Centro Criptológico Nacional, Centro de Excelencia Nacional de Seguridad Digital, Centro Nacional de Protección y Defensa de Infraestructura Critica Nacional, y la instalación de un enlace en cada Ministerio y Departamento Administrativo para entenderse con el Gobierno Nacional en materia de seguridad digital. El texto también propone actualizar la Ley de Inteligencia y Contrainteligencia “con el fin de enmarcar las actividades relacionadas con la seguridad digital, haciendo énfasis en la Ciberseguridad y la Ciberdefensa”.
Jorge Bejarano, director de estándares y arquitectura del Ministerio TIC, cuenta que “los comentarios que hemos recibido en términos del contenido han sido en su mayoría positivos. Hay preocupaciones de ciertos sectores que no se resuelven desde un documento de política como el Conpes. A veces se generan unas expectativas sobre qué tipo de problemática puede resolver un documento de estos, que da lineamientos de carácter estratégico y no resuelve ciertos detalles o aspectos muy puntuales, que son preocupaciones, pero que no es tema para este instrumento”. El funcionario también tiene claro que “este no es un tema sencillo: tiene muchísimos actores interesados y hay que tener un esquema ordenado para tratar de cumplir al máximo las expectativas de todos. Que el 100 % de ellos vaya a quedar plenamente satisfecho sobre el 100 % de los comentarios que hagan, es una utopía”.
En general, varios expertos aseguran que el documento actual es una mejoría significativa en calidad respecto al borrador anterior (el proceso va en el segundo). “Tiene una estructura más lógica que el Conpes anterior, porque propone unos principios fundamentales, objetivos y una estrategia”, opina Juan Diego Castañeda, de la Fundación Karisma, una de las organizaciones que más han participado en la formulación de comentarios y sugerencias en el proceso.
Dentro de los principios que establece el Conpes se encuentra “salvaguardar los derechos humanos y los valores fundamentales de los individuos, incluyendo la libertad de expresión, el libre flujo de información, la confidencialidad de la información y las comunicaciones, la protección de los datos personales y la privacidad (…)”. Este es un paso que celebra Miguel Osorio, de la Comisión Colombiana de Juristas (CCJ), pues es “un avance que el documento sobre seguridad digital abordara dos grandes enfoques: prosperidad social y económica y otro de la defensa nacional y la persecución al crimen. Es positivo que no sea sólo un texto pensado para la criminalidad en entornos digitales”.
A pesar de su declaración de principios, algunos observadores consideran que el Conpes podría ir más allá a la hora de proteger ciertas áreas. “Se debería incluir un enfoque de derechos humanos. Hay poblaciones que son más propensas a recibir ataques cibernéticos por su labor: periodistas, defensores de derechos humanos. Esto no está incluido en este borrador”, dice Emmanuel Vargas, de la Fundación para la Libertad de Prensa (Flip).
Este es un punto particularmente delicado, pues, para todos los riesgos y amenazas que hay en seguridad digital, el Conpes pareciera centrarse en los aspectos económicos y, bajo este enfoque, quizá olvida otros aspectos. “El documento incorpora recomendaciones de la OCDE y tiene un tono comercial en la redacción. Cuando cita incidentes contra la seguridad digital, cita fraudes bancarios, por ejemplo. Echamos de menos que algunos de los principales incidentes de seguridad digital en Colombia han tenido que ver con injerencias arbitrarias ilegales por parte de organismos de seguridad del Estado. Extrañamos que esto no hiciera parte de los casos que figuran como antecedentes de la política”.
En un país con hechos como las chuzadas del DAS, Andrómeda, las supuestas compras que la Policía hizo a la empresa Hacking Team y los seguimientos a las periodistas Vicky Dávila y Claudia Morales (en los que ha sido señalada la misma Policía), lo que estos expertos recomiendan es que un documento Conpes de seguridad digital debería incluir una mención a estos hechos y medidas para limitar estas acciones de instituciones que, por otra parte, tienen una tarea legítima en el tema de ciberseguridad.
Castañeda, de Karisma, lo pone así: “Nos preocupa que el Conpes se olvidó de que en Colombia el Estado también tiene que ser tenido en cuenta como un actor de la seguridad y la inseguridad digital. El documento olvida por completo el tema de las chuzadas o de Hacking Team. Las facultades de vigilancia del Estado no tienen los controles adecuados. Hay menciones de temas como phisiging, robos de identidad y esto es importante, pero lo otro también lo es”.
Otra de las recomendaciones de los observadores tiene que ver con que el documento “no se hace pensando en una clave de posconflicto. No se va a hacer ciberdefensa y ciberseguridad en clave de combatir a un enemigo en un conflicto armado, sino a bandas criminales en una instancia”, dice Vargas, de la Flip.
¿Qué significa la seguridad digital en clave de posconflicto? Para Osorio, de la CCJ, esto se refiere a que, por ejemplo, “no sabemos qué garantías tienen las bases de datos del conflicto: registro de víctimas y de tierras, principalmente. No sabemos qué garantías va a tener esta información. Dados los antecedentes de Colombia, sería importante que existiera un énfasis en los temas de posconflicto y justicia transicional en la política de seguridad digital”.
Además de la socialización en 2015, el proceso de redacción del Conpes incluyó una serie de mesas de trabajo en enero de este año, a las que asistieron al menos 158 personas de varios sectores. “Estamos haciendo todo el esfuerzo para tener el Conpes ya aprobado hacia finales de marzo”, asegura Bejarano, del Ministerio TIC.
La elaboración del documento contó con la asesoría de expertos facilitados por la Organización de Estados Americanos, peritos consultados por varios ministerios (Defensa, Justicia y TIC), así como puntos a tratar que salieron de mesas de trabajo del Gobierno y también con universidades, organizaciones de la sociedad civil y empresas del sector TIC. Todo esto además de las recomendaciones que la Organización para la Cooperación y el Desarrollo Económicos (OCDE) hizo en un documento publicado en septiembre del año pasado y que, en líneas generales, advierte que los temas de ciberseguridad y ciberdefensa no se deben limitar a los aspectos técnicos, sino que también deben incorporar las implicaciones de la seguridad digital para los objetivos económicos y sociales de un país.