Por Marcos Mansueti
El Gobierno que termina el 10 de diciembre deja a Argentina en un descontrol en materia de datos personales, información de los ciudadanos, contratos con empresas multinacionales, sistemas de control, gestión y seguridad informática en el Estado.
02/11/2019
Con total impunidad. Así se manejaron desde que asumieron el 10 de diciembre de 2015 los funcionarios relacionados con modernización, sistemas, ciberseguridad y tecnología de la gestión macrista. Mostrando en sus cuentas personales de las redes sociales como con dinero de los contribuyentes comenzaban a viajar a Google, Facebook, Twitter y otras empresas por el mundo para cerrar acuerdos insólitos que son por lo menos cuestionables y no fueron nunca necesarios para los ciudadanos más que para ellos recorrer el mundo y sumar fotos para sus perfiles de redes sociales.
Apenas fue el comienzo. Lo siguen haciendo hasta incluso luego de haber perdido las elecciones. Pensaron que serían eternos, que nadie los estaría observando, que ellos eran los únicos que sabían y entendían lo que estaban haciendo. El resto no podría objetar algo. Así actuaban.
Desde entonces la Argentina pasó ser un descontrol en materia de datos personales, información de los ciudadanos, contratos con empresas multinacionales, sistemas de control, gestión y seguridad informática en el estado. También hubo casos peores donde la justicia deberá investigar aquellos que de empresas privadas saltaron del mostrador renunciando a ellas para luego asumir cargos clave y contratar las empresas donde pertenecían, como por ejemplo en el famoso Ministerio de Modernización.
Si bien la cabeza visible de esta área es Andrés Ibarra, su segundo Daniel Abadie, subsecretario de gobierno digital ha sido uno de estos personajes, que dice que el ministerio es una startup estatal. Pero sirvió solamente para recolectar información de manera indiscriminada como aparato de inteligencia de big data dentro del estado y además para crear cientos de cargos para la nada misma porque aplicaciones importantes las terminaron concursando por licitación para realizaciones externas.
Gobierno Digital AR
@GobDigitalAR
📲La aplicación #MiArgentina centraliza los trámites del estado y permite a los ciudadanos tener en su celular documentos y credenciales en formato digital y con plena validez legal.
Conocé sus orígenes y desarrollo en el segundo capítulo de esta serie con @Dan_Abadie
Embedded video
24
7:07 AM - Oct 25, 2019
Twitter Ads info and privacy
16 people are talking about this
Organismos como la Dirección Nacional de Datos personales, hoy Agencia de Acceso a la Información Pública, miraron durante todo el tiempo hacia otro lado, sus funcionarios estaban para tapar lo evidente. Su función, era ser algo similar a la oficina anticorrupción, pero resguardando la información de los ciudadanos y actuar en consecuencia ante incumplimientos de las leyes. No sucedió. A los meses de haber asumido me presenté personalmente ante su titular, Eduardo Bertoni y cuestioné: "¿Cómo es posible que para registrar un dominio de Internet en Argentina haya que registrarse e ingresar con los datos a la AFIP y que pasen por el Ministerio de Modernización?" la respuesta fue: "no estábamos enterados de esto". Y así fue.
En ningún país del mundo se relaciona un registro de dominio con un organismo fiscal ni menos pasando la información por un ministerio. Ni hablar de cómo se comenzó a ceder la soberanía de datos de los ciudadanos, información de correos estatales y sistemas cloud (servicios de almacenamiento) extranjeros. Algo que es técnicamente irreversible porque por más que algún día se quite de las nubes y se vuelva a alojar esa información en nuestro país, nada ni nadie garantiza que las nubes fehacientemente eliminen esa información. A esto debemos sumarle el festival de intercambio de datos en tiempo real que hoy entre los organismos estatales.
Según el titular de la AAIP dice que es legal porque la ley de Datos Personales lo contempla, pero no es así, dado que cuando un ciudadano entrega sus datos los hace con una finalidad, y si luego recibe por ejemplo propaganda política, no es la finalidad ni el consentimiento prestado al consentir ceder sus datos.
Ni hablar de la autorización de esa cesión de datos al extranjero que jamás fue informada a los titulares de los datos o las ventas de esas bases de datos que luego serían para fines de propaganda política y análisis de big data. Por eso cuando aquellos representantes de las nubes en Argentina hablan de compliance, vendiendo que la ley es totalmente compatible con lo que ofrecen están faltando a la verdad.
Datos de organismos pululando por agencias de big data sin control de nadie. No hay ni existe registro ni control de uso de webservices ni de traspaso de base de datos entre organismos estatales, por una simple razón: no hay interés en el control amparándose en la falta de conocimiento y la falta de respeto hacia las leyes en quienes están "arriba". Saben que los datos y la información hoy equivalen a una mina de oro.
Es así que entonces nacen TAD (Trámites a Distancia) y GDE (Gestión Documental Electrónica). Los tanques de recolección de datos de Modernización con la excusa de eliminar el papel para agilizar los trámites intra y extramuros del estado. Alojado en servidores que se encuentran en situaciones precarias (como se pudo ver en denuncias de El Destape en una nota de Ari Lijalad) y que el día del blackout algunos se apagaron (cuando no debía ser así) y casi no arrancaban nuevamente.
Ni hablar de que no hay estructuras de backup y resguardo de información para todo lo existente. Gran parte del código fuente se desarrolló por empresas externas al estado, lo cual sorprende habiendo sido el ministerio que más creció desde sus comienzos, con un presupuesto enorme teniendo en cuenta que el desarrollador tiene posibilidades de acceder a un sistema en producción.
Pero lo peor aún del Ministerio de Modernización es que hay muchos webservices que sin explicación alguna, entre un organismo y otro pasan en el medio por Modernización, pudiendo este guardar una copia de esos datos sin control alguno. Modernización habrá tenido en estos cuatro años una bola de información incalculable hasta incluso muy superior a la de la AFI. ¿Quién controló a Modernización? Recién en septiembre de 2019 un extenso e importante informe de la Auditoría General de la Nación alerta sobre el desastre técnico que es GDE y los riesgos del caos que podría llegar a generar cualquier falla. Otro divague de este ministerio fue algo que nos costó caro es Chat Crecer un (ro)bot sobre Facebook (https://www.argentina.gob.ar/chat-crecer) que no lo utiliza nadie y además nos costó otros miles en un viaje para recibir un premio intrascendente en plena crisis por la utilización y austeridad de los recursos estatales. Pero no, la jugaron a cyber rockstars con dinero del pueblo.
The Webby Awards
✔
@TheWebbyAwards
Today Webby Winners from around the world gather at @PublicHotels to record their #5WordSpeech! #Webbys
View image on Twitter
16
5:49 PM - May 12, 2019
Twitter Ads info and privacy
See The Webby Awards's other Tweets
Modernización en teoría se creó para reducir gastos y optimizar recursos estatales. Por ello en el 2016 nombran a un tuitstar macrista llamado "supersifón" como Director Nacional de Políticas y Desarrollo de Internet. Cobrando más de $ 80 mil mensuales. Al día de hoy no se conoce al menos una política de desarrollo de Internet realizada por esta persona. Lo último en presentar este organismo fue la aplicación Mi Argentina que promete reemplazar el documento nacional de identidad y la licencia de conducir con algunas reservas.
Ha tenido diferentes fallas desde su lanzamiento. Todo bajo el lema de Gobierno Abierto, Transformación Digital, etc. Cuestión que se desarrolló también por afuera del organismo, y una vez más nos preguntamos ¿para que contrataron tantas personas si los desarrollos son externos?
En diversos organismos estatales, quienes están a cargo de los mismos no han logrado ponerse de acuerdo con los directivos de las áreas de sistemas y tecnologías. Resultado de esto, se terminan contratando conexiones residenciales personales para dentro de sus despachos. En muchos de estos han realizado pedidos de auditoría de ciberseguridad (a Modernización, por ejemplo) sin tener respuesta satisfactoria, pero con la reiteración de la imposibilidad de contratar auditorías externas.
Funcionarios estatales han estado y/o están en peligro en materia de ciberseguridad sin responsables visibles y si alguna vez estuvo comprometida su privacidad seguramente nunca nos enteraremos. Tampoco en organismos estatales ha existido capacitación de prevención y concientización en el uso de herramientas tecnológicas de manera masiva. ¿Qué ha hecho estos años el comité de ciberseguridad creado y liderado por Marcos Peña con Andrés Ibarra? No hay respuesta a eso. Cuando se intenta consultar la respuesta es que "en realidad la seguridad dependía en la práctica de la ENACOM".
Las principales problemáticas que podemos encontrar hoy en cualquier organismo son: a) falta de control del tráfico de datos, b) redes inseguras, c) utilización de emails personales y/o gratuitos, d) cero controles en credenciales y accesos para personas que ya no trabajan más o usuarios duplicados y falta de control de registro de accesos. d) códigos inseguros y servidores desactualizados, e) falta de documentación de desarrollos e infraestructura, f) falta de backups y políticas de disaster recovery, g) comunicación de funcionarios a través de Whatsapp como lo hace cualquier hijo de vecino h) no hay nada ni nadie que ante un evento de ciberdelito actúe brindando una solución en tiempo y forma, tanto para un civil, organismo o una fuerza de seguridad.
La ENACOM tiene que controlar entre otras cosas a los operadores de cable e Internet. No lo ha hecho, uno de los ISP residenciales mas grandes del país ha repartido recientemente módems con un virus dentro (hijack), y nunca movió un dedo para investigar la situación. La competencia directa de este ISP no se quedó atrás, habilitó que los módems residenciales entregados a clientes sean además fuente de acceso a la red de Wi-Fi público, y tampoco hizo nada al respecto. Ni hablar de que algunas señales de la TDA por las noches emiten películas descargadas de Internet sin poseer los derechos que están en ese momento en el cine en calidad HD con total impunidad y sin control, violando la ley 11.723.
También ENACOM hizo fanfarrias de anunciar y relanzar varias veces la campaña contra el robo de celulares y el bloqueo a través del IMEI (como si siempre fuera un logro, una novedad). Los robos no cesaron, al contrario, están en aumento. O acaso el registro no llame, ¿se cumplió alguna vez? No, solo se recolectaron datos que matcheaban nombres de líneas de teléfono con números de teléfono.
En el Ministerio del Interior en el año 2018 se encontró una vulnerabilidad grave que permitió a través del sitio de Procrear realizar consultas sin control en tiempo real a la base de datos de RENAPER. Es importante destacar que varios organismos realizan consultas este último organismo, pero no se lleva control de quién, cuánto y para qué se consultan estos datos. Sólo en esta web de Procrear el servidor presentaba más de 50 fallas de seguridad.
Nunca entenderé porque no se utilizó ARSAT para el alojamiento de toda la información estatal y porque este organismo creado para tal no fue el responsable de alojar todos los sistemas de todo el ámbito estatal como también sus correos.
El Sistema Federal de Medios y Contenidos Públicos descartó lo realizado por la gestión anterior ODEON y lo reemplazó vendiéndolo como un Netflix Argentino a la plataforma Cont.ar gastando millones por una plataforma de VOD (Video on Demand) que ni por casualidad se asemeja a Netflix en su desarrollo y calidad.
Además dejó de impulsar el BACUA (Banco de Contenidos Audiovisuales Argentino) fuente de contenido indispensable para la TDA como el desarrollo y crecimiento de la misma, a favor de los cableoperadoras para que la gente vuelva a contratar el cable. Cuando mínimamente al respecto podrían haber impulsado en épocas de crisis la instalación obligatorias de estas antenas receptoras y cableado en los edificios.
En ANSES también hubo descontrol: se implementó el registro biométrico de huella dactilar para los jubilados, rara solución si se tiene contacto constante con los abuelos, basta con agarrarle la mano a cualquiera para saber que las huellas digitales en los adultos se deforman y no sirve siempre en la tercera edad como elemento de identificación biométrica. El organismo informa que si la huella no sirve, no hay que preocuparse, se emite un certificado.
Entonces ¿quién?, ¿cómo y por qué se sugirió esta solución que no es tal gastando millones? Sin perjuicio de otros millones que se gastaron para la contratación de un Web Application Firewall por casi tres millones de dólares, un precio superior al del mercado. Pero los datos con ANSES también tuvieron situaciones por lo menos raras: En el año 2016 el organismo hace un "Convenio Marco de Cooperación" en conjunto con la Jefatura de Gabinete de Ministros, basta leer ese convenio para darse cuenta que: el convenio se hace posteriormente a la implementación del intercambio de información. Es decir, primero implementaron el webservice y luego un día se acordaron de documentarlo e informarlo.
Espiar y sacar conclusiones de lo que se espía fue algo que comenzó a suceder desde el comienzo de esta gestión, en el 2016 el primer papelón nace del asesor digital de comunicación de Presidencia de la Nación que publicó fotos privadas de una periodista de Telefé en el powerpoint que utilizó en su conferencia en el Digital Media Latam, haciendo público algo privado de su vida en Instagram y opinando sobre ella con comentarios que lejos estaban de la realidad.
Sin importar justamente eso: la privacidad, abusando de la impunidad de sus cargos. Con esta misma obsesión, Jefatura de Gabinete este año licita y contrata una empresa de Social Media Listening (control de publicaciones en redes sociales) con la particularidad de que la empresa contratada debía ser partner de Twitter. Cuando se revisa quién gana esa licitación: no es partner de Twitter.
Nación Servicios es el área de sistemas e informática del Banco de la Nación Argentina desarrolló gastando más de $ 700 millones: PIM. Una billetera virtual que serviría para el cobro de la Asignación Universal por Hijo. La aplicación resultó inviable con fallas por todas partes a tal punto que tuvo que el gobierno tuvo que contratar la solución de dinero virtual de MercadoPago de la privada MercadoLibre.
Esto fue informado en su momento por La Politica Online pero lo más curioso de todo, es que el pueblo se entera de esta situación por una denuncia de Juan Grabois en medio de una pelea con Marcos Galerín. Como frutilla de la torta, Nación Servicios también es quien desarrolla la tarjeta SUBE. En el último encuentro de hackers en Argentina llamado EkoParty, un ingeniero de software mostró como se puede vulnerar la carga de esta tarjeta. Nación Servicios no emitió opinión al respecto.
La Administración Federal de Ingresos Públicos ha tenido varios temas cuestionables que nadie ha prestado atención: sus sistemas no tienen una disponibilidad del 100%, ejemplo de esto cada primero de cada mes donde muchos tienen como única herramienta de facturación el facturador web no funciona. Todavía muchos sistemas como el SIAP jamás se reemplazaron y si bien algunos módulos migraron a web, esos módulos son sólo compatibles con navegadores viejos y obsoletos. Luego la recolección masiva de datos biométricos como por ejemplo nuestro rostro como elemento de identificaciones me preocupa. Una contraseña se puede cambiar. Pero nuestra cara no.
El acceso por parte del estado a un elemento de identificación biométrica por mi seguirá siendo por lo menos cuestionable. No nos olvidemos que detrás de los organismos hay empleados que muchas veces son infieles y no tienen control. Como por ejemplo quienes durante más de seis años vendieron información privada de la AFIP sobre sus contribuyentes a través de empresas de consulta financiera externas. Esos ex empleados hoy están presos por ese delito. Pero nadie informó ni pudo tomar real dimensión de cuanta información se filtró ni quienes fueron los perjudicados.
En la justicia crecieron las unidades especializadas en cibercrimen y delitos informáticos. Los fiscales "especializados" son reactivos a investigaciones que provienen del exterior, pero no han demostrado proactividad. Proactividad debe ser generar un verdadero ciberpatrullaje de investigaciones con objetivos y logros locales reales.
Lo que el Ministerio de Seguridad llamó reiteradas veces "ciberpatrullaje", solo sirvió para perseguir personas que piensen distinto al gobierno. Ni hablar de la cantidad de denuncias que quedan en la nada de los ciberdelitos que piden que se denuncien y se denuncian. Se quejan de que las principales empresas como Google, Facebook, Twitter y similares no responden los pedidos de la justicia o tardan bastante en hacerlo.
Pero también estas empresas no tributan muchas veces impuestos en nuestro país, y nadie les dice nada. Muchos en el ámbito judicial han tenido primero el cargo de algo relacionado con la tecnología y luego la capacitación. Cuando deberían llegar con conocimientos, capacitados y luego tener el cargo que corresponda.
Parece un juego de palabras, pero esta situación es parte del problema porque las capacitaciones no siempre llegan a ser lo necesariamente suficientes para los cargos y responsabilidades que se tienen. Peritos terminan haciendo desastres en causas por falta de capacitación o conocimiento sin importar el fuero, dado que hoy las pericias informáticas en muchos casos son la evidencia que define el resultado de una causa judicial. En el mundo de la tecnología y seguridad informática la capacitación debe ser constante.
Si hoy se hiciere una evaluación sobre el personal estatal en cargos importantes donde combinemos trucos de ingeniería social, o bien analicemos las fuentes de datos de OSINT, pocos pasarían la prueba. Si revisamos los tachos de basura o impresoras del estado, encontraremos información que también nunca debió haber quedado disponible al acceso de cualquiera que pase. En muchas áreas de los estratos judiciales no hay dinero para comprar toners, menos hay aún para comprar discos rígidos para resguardar evidencias digitales.
En educación se eliminaron las políticas de educación tecnológica como entrega de notebooks a alumnos y desarrollo de software educativo desde el estado. Han intentado volver a hacerles creer a la comunidad educativa que las computadoras son útiles solamente con sistemas operativos propietarios dejando de lado el software libre.
Estoy convencido de que tiene que existir contenido educativo de tecnología y ciberseguridad desde primer grado cuando hoy los niños menores de seis años utilizan e ingresan contraseñas a dispositivos antes que aprender a leer y escribir. Modernización se encargó de mostrar constantemente la conectividad en escuelas de todo el país. ¿Pero qué hacemos si no hay computadoras para conectar que funcionen bien? ¿Qué hacemos si no hay capacitación a los docentes para poder enseñarles a los alumnos? y sobre todo ¿qué hacemos si no hay contenido didáctico estatal en Internet?. Eso que aún no llegué al punto de la seguridad y control de esas conexiones.
Las fuerzas de seguridad han sufrido diferentes ataques en estos cuatro años: desde el deface (cambio en las portadas de sus sitios web) a organismos como Gendarmería, Ejército Argentino y Policía Federal hasta filtración de datos de agentes poniendo en riesgo la vida de ellos con la causa denominada GorraLeaks. Y es muy importante diferenciar las palabras filtración de hackeo. No es lo mismo. Pasando hasta por diversos casos de phishing que permitió el acceso a cuentas de correo del Ministerio de Seguridad o bien la cuenta de Twitter de la Ministra.
Recientemente más del 50% de los equipos de las fiscalías de estado bonaerense han quedado bloqueados por un ataque de ransomware. Pero según las fuerzas están listos para operar con software de reconocimiento facial con cámaras de seguridad, muchas de ellas conectadas a DVR chinos (que no garantizan para nada la privacidad de las imágenes). Software que falló reiteradas veces con falsos positivos haciendo pasar pésimos momentos a quienes fueron víctimas de estas fallas.
En el ámbito miltar, justo un día antes de las elecciones presidenciales se publica en el Boletín Oficial la creación de un CyberLab, un CSIRT y iSOC para CIBERDEFENSA https://www.boletinoficial.gob.ar/detalleAviso/primera/219968/20191029). Firmado por Aguad. Es un buen comienzo, pero tiene pocas definiciones y llega muy tarde. Posiblemente no sea ejecutado.
Esta gestión de migraciones se despedirá con una polémica causa de espionaje a jueces también a través de la recolección de datos y descontrol en el uso de los mismos. No sorprende si recordamos que el mismo presidente llegó procesado por espionaje, aunque fue sobreseído automáticamente apenas asumió sin mayores explicaciones.
Aunque el espionaje siguió también siendo durante el gobierno en lo que respecta a los propios. En junio de 2019 Juntos por el Cambio lanza la aplicación Defensores del Cambio que pide permisos para utilizar la cámara de fotos, micrófono, acceder a la lista de contactos, ver conexiones de red, e evitar que el equipo entre en un estado de inactividad para quienes la instalen. Peligroso, si estamos hablando de que se trata de una aplicación para informar sobre cuestiones de un partido político.
La Ciudad Autónoma de Buenos Aires, en el área de ciberseguridad denominada BA-CSIRT tiene denuncias de que quienes están a cargo han almorzado de manera constante sushi pasando las facturas como gastos durante su gestión. También han cedido información de los ciudadanos a CRM extranjeros fácil de corroborar cuando llegan las encuestas o avisos de que tal funcionario dará una charla en una comuna. O de diversas contrataciones de monitoreo de redes sociales, sin ningún tipo de utilidad para los contribuyentes.
Lo peor fue el "Tinder de Mascotas" por el que se pagó millones y hoy ya no existe. Durante los Juegos Olímpicos de la Juventud en 2018 han surgido denuncias en la contratación de un software de seguridad. En las provincias también existe el mismo descontrol. A comienzos de octubre de este año una investigación del diario La Voz del Interior en la provincia de Córdoba dejó al descubierto como la APP Movypark desarrollada para manejar los espacios de estacionamiento público a través de una falla dejó publicados los números de tarjeta de crédito, débito y datos personales de sus usuarios.
Si se busca en repositorios de GitHub (código fuente de aplicaciones) hay decenas de usuarios y contraseñas de servicios del estado publicados a merced de cualquier hacker que tenga tiempo libre, sólo por descuido y falta de control. Si alguna vez eso se utiliza para robar información, posiblemente nos enteremos, porque son credenciales válidas, que fueron expuestas por inexpertos. ¿Nadie va a hablar de la responsabilidad de éstos y de quienes deben controlarlo?
Google Street View es otra gran pregunta. ¿Quién, cómo y por qué habilita a una empresa extranjera a hacer un relevamiento fotográfico de imágenes fotográficas y satelitales por las calles del país al detalle publicándolo al mundo entero? Aunque muchos no lo vean como tal, esta aplicación es una herramienta de inteligencia. Y si nadie lo autorizó: ¿cómo puede ser que nadie diga nada?
Nobleza obliga, el mundo bancario ha sido siempre otra historia -positiva- y las normativas de seguridad informática las cuales se implementan desde hace décadas en algunos casos son de avanzadas y se controla su cumplimiento efectivo por parte del BCRA. Aunque hay un gris. La cesión de datos de clientes del banco a empresas de marketing no es controlada. Por ejemplo hay bancos que envían un email a clientes segundos después de que extraen dinero de un cajero "consultándole por la experiencia de uso". No han tenido observaciones de nadie por este tipo de situaciones. Al cierre de este artículo hubo un incendio en el área de sistemas del Banco de la Nación Argentina, que si bien fue controlado no se informaron los daños causados ni mucho menos cómo fue posible que se haya originado.
Para los recientes procesos electorales el descontrol no podía ser ajeno e incongruente. Se contrató a Smartmatic para el escrutinio provisorio, empresa que fue cuestionada por sus fallas en otros países y que jamás acató una orden de la justicia local en tiempo y forma. Teniendo fallas de seguridad por todas partes a lo largo del proceso y sin presentar nunca la totalidad del código fuente. También tuvo fallas en las transmisiones de datos. El gobierno avaló todo el tiempo esta contratación escandalosa. A días de las elecciones allanaron con una acusación a uno de los principales informáticos e impulsores de la boleta única de papel que denunció esta contratación (acusándolo de la filtración de GorraLeaks). Similar a lo que sucedió con las elecciones de 2015 donde sucedió lo mismo con otro informático que también denunció fallas en MSA (la empresa contratada en aquel momento). Seguramente quede sin explicación alguna ni responsables la demora de 100 minutos en la entrega de resultados la noche de las PASO, donde primero el oficialismo tuvo acceso a los datos antes que el resto de los ciudadanos.
En otra investigación de Ari Lijalad junto con otros investigadores de seguridad informática encontraron que en los sitios de Jefatura de Gabinete y los ministerios de Defensa, Seguridad, Relaciones Exteriores y Justicia hay 258 vulnerabilidades muy conocidas. Es decir como mínimo 258 formas conocidas de hackear esos organismos. Si existiesen personas capacitadas trabajando ese número podría reducirse hasta un 90%. En la misma investigación uno de los sitios más desprotegidos es el de Presidencia de la Nación en casarosada.gob.ar. Le siguen el Centro de Información Judicial y el Poder Judicial. En el sitio web de la Agencia Federal de Información (AFI) falta lo más básico: un certificado de seguridad SSL cuando su lema es "Inteligencia al servicio de la Nación".
El nuevo gobierno si desea hacer las cosas bien tiene el desafío de seleccionar personas que estén comprometidas con el mundo de la seguridad de la información, ciberseguridad, análisis de riesgos e impacto en organismos gubernamentales, normativas e infraestructuras críticas, con amplios conocimientos en telecomunicaciones evitando todo tipo de cargo por amistad. Es difícil pero no imposible. Argentina posee excelentes profesionales de primer nivel mundial, pero el estado deberá convencerlas para gestionar la herencia de estos temas que se encuentran en una situación bastante comprometida con salarios y presupuestos que ni por casualidad se asoman a los que existen en otros países y/o en el ámbito privado, quizá no por una cuestión de dinero, si no porque muchas veces quienes están arriba tomando decisiones piensan que todo esto solo sucede en las películas o que a la Argentina nada malo le puede suceder.
Recién el 18 de septiembre de 2019 salió publicado en el Boletín Oficial el detalle y desglose de lo que son Infraestructuras Críticas para Argentina. Entonces me pregunto ¿qué hicieron hasta entonces los responsables que cobraron sueldos durante estos cuatro años? ¿Cuatro años para escribir un documento de dos páginas? No contentos con esto, el día siguiente se realizó en Buenos Aires, un evento privado llamado "ISACA 50 Buenos Aires Chapter" en donde un titular de la ciberseguridad del Ministerio de Defensa en un powerpoint muestra delante de un auditorio lleno "El esquema de composición, defensa, conectividad y ciberseguridad de ARSAT". Dejó expuesta la manera de como atacar al gobierno. Nadie dijo nada. No tiene remate.
Mientras tanto durante los 4 años algo que funcionó perfectamente fue el troll center generando fake news, contenidos falsos, ataques a quienes pensaran distinto y generaciones de informes reservados para luego distribuir en grupos de whtasapp privados donde también se orquestaban los ataques. El último ejemplo desopilante luego de las últimas elecciones fue una especie de supuesta "lista negra de adherentes macristas en Twitter" creada por el mundo K. Lástima que fueron tan obvios de hacerla en Excel. Aplicación preferida de los que #sevan.
Los temas más urgentes que a mi parecer se deberían abordar desde el comienzo: control de accesos de personas que ya no están en funciones, revocar accesos duplicados y revisión de absolutamente todo lo hecho por el Ministerio de Modernización (incluso revisar códigos fuente, conexiones remotas, acceso a servidores, webservices en uso y acceso a la información de quienes se van), crear un verdadero centro de ciberseguridad (que además incluya blue y red teams) independiente de toda agrupación política, periodística, financiera y/o empresarial en Argentina que implemente y verifique en el ámbito del estado normas cercanas a las ISO y/o IRAM en materias de seguridad de la información y ciberseguridad tanto civil como militar (separados). Controlando que cualquier tipo de información con datos de los ciudadanos no esté más en nubes extranjeras ni vendiéndose por parte de empleados infieles (como también denunció Alconada Mon en una nota de La Nación).
Teniendo control unificado y total de la información estatal. En el ámbito judicial crear un protocolo y normativas de cómo generar, custodiar, preservar y presentar evidencia digital (principalmente para que estas no puedan ser impugnadas, que hoy por hoy es el gran flagelo de las causas judiciales) y descartar por completo la idea del allanamiento remoto digital. De igual manera que la justicia debería invitar por voluntad propia a quienes hayan estado en el gobierno ejecutando estas acciones no santas y denunciarlas.
En el ámbito legislativo ayudar a las comisiones pertinentes a destrabar las modificaciones a la Ley de Datos Personales, para tratar de que Argentina pueda tener su propia GPDR, y de esa manera no solo regular el descontrol que tenemos sino también ante los ojos extranjeros ser un país más creíble y competitivos en el uso de información de las personas y empresas. Regular el mercado de seguros en materia de ciberseguridad.
Fortalecer los organismos de control para quienes manejen datos de los ciudadanos en organismos estatales y empresas privadas, haciendo cumplir la ley existente. Tener un control urgente de cuales son las infraestructuras críticas de nuestro país y en qué situación se encuentran, no nos olvidemos del papelón del corte de luz masivo del pasado día del padre. Blackout por el cual seguimos esperando las explicaciones y sanciones. Parece mucho por hacer, pero ahora es el momento de empezar. Ya es tarde y en ciberseguridad cada segundo que pasa sin prestar atención es peor.
Considero importante destacar que lo más importante de este artículo es que es en su totalidad información pública. Nadie ha tomado en serio esta temática, como dije al principio todo sucedió con total impunidad y descontrol. Enumerando sobre lo que se conoce hasta el momento. Seguramente habrá otros temas que aún ni nos enteramos.
No hay comentarios:
Publicar un comentario