“El Estado tiene vulnerabilidades graves en lo digital”, directora de Karisma

El pasado 5 de agosto, El Espectador reveló la filtración masiva de correos electrónicos que realizó la organización Guacamayas a la Fiscalía de Francisco Barbosa. En entrevista, la directora de la organización para los derechos humanos en lo digital “Karisma”, Carolina Botero, le contó al espectador los antecedentes de esta filtración, el estado de la seguridad digital del país, y lo que puede suceder con la filtración de Guacamayas.

En contexto: Hackeo a la Fiscalía: detalles inéditos de una filtración sin precedentes

Cuéntenos un poco sobre las filtraciones de Guacamayas

El tema de las filtraciones tiene una doble cara. La primera, una cara de filtración de temas delicados del Estado basado en un ejercicio de libertad de expresión, que forma parte del control al Estado. Con este tipo de filtraciones nos enteramos de temas que fueron tratados como mínimo mal, cuando no son directamente problemas de ilegalidades. También desde hace años venimos hablando de la necesidad de proteger a los “whistle blowers”, quienes filtran información que nos permite conocer y hacer control del Estado. El Estado tiene vulnerabilidades que en lo digital son graves porque permiten acceso a terceros.

Hablemos del caso colombiano, con antecedentes como lo que pasó en el Dane y en el Invima ¿cuándo ha sucedido en Colombia algo así que se meta de frente con la seguridad nacional?

En esta última era digital de tener todo en datos el grave problema es que no sabemos cuáles son las filtraciones que ha habido. Porque, aunque existe una obligación en la Ley de Protección de Datos de informar como mínimo a la Superintendencia de Industria y Comercio cuando hay una filtración de datos personales, y como mínimo tendría que haber una obligación ética, esa no es tan clara en la ley, aunque sí en estándares internacionales, de informar a las personas que pueden ser afectadas. Eso no está reglamentado, no hay información pública sobre eso.

Lea aquí: Hackeo a la Fiscalía: el búnker ha estado negociando con exdirectivos de Odebrecht

Lo que hemos sabido del Dane y el Invima es han sido por ransomware: un secuestro de información con fines extorsivo. La diferencia con Guacamayas es que no solamente en Colombia sino a nivel regional tiene propósitos directamente políticos y tampoco es la primera, ya se sabía que ellos arrancaron sacando información del sector minero hace mas o menos un año. Esta es una diferencia frente a los otros, que tienen un propósito económico. Esto tampoco es nuevo para Colombia.

¿Ustedes tienen registros que en Colombia estén organizaciones armadas o grupos criminales detrás de esos hackeos, de cualquiera de los dos?

No, tampoco lo descartaría, pero que nosotros sepamos quién, no. Se cree que es gente de la región, pero tampoco tenemos pruebas. En el caso de filtraciones de grandes dimensiones, como las que en su momento hizo Wikileaks, uno de los principales problemas que tuvo es que ellos ponían toda la información a disposición del que quisiera y eso tuvo consecuencias graves, porque había información muy sensible.

A partir de ahí empiezan a crearse una especie de estándares éticos porque no son un full disclosure, sino que ahora se hace con protección. Eso es lo que estamos viendo en Guacamayas. Por eso es improbable que fueran simplemente unas bandas criminales o algo así. Esto tiene un contexto que al menosda la impresión de que es hacktivismo, activismo con fines políticos.

En el país existe un muy débil marco jurídico y legal de lo que deben hacer las entidades para reportar estos hackeos. Sabiendo que son datos delicados, en el caso de la Fiscalía, ¿ellos tienen la obligación de informarle a la SIC?

Yo creo que sí. La protección de datos se aplica a todo el mundo. El problema es que en el sector público la autoridad de protección de datos es la Procuraduría General de la Nación, que nunca ha actuado. Hace muy poco empezó a hacer cositas y está en pañales.

Nosotros tenemos un marco de seguridad digital que viene de 2011 y era supremamente militar, ha ido cambiando y ha evolucionado pero es insuficiente, es muy difícil, yo ni siquiera quiero echarle la culpa al Estado pero la realidad es que nuestra sociedad se está transformando digitalmente a un paso más rápido de lo que puede alcanzar la seguridad digital y mucho más la seguridad digital del Estado. La obligación de informar a la Superintendencia no solamente es para que quede un registro, sino que haya medidas preventivas, o sea que haya un diagnóstico de qué está pasando, a qué nivel esto afecta a las personas.

Cuando se trata de filtraciones que pueden afectar la seguridad nacional, ¿cuál sería el deber ético?

Lea: Por el asesinato de su esposa, el abogado José Gnecco fue acusado formalmente

Parte de lo que tenemos como problema es que hemos endiosado la seguridad nacional, pero hay otros problemas similares y tan grandes, o sea, si tú pones en el centro a las personas, la seguridad nacional es uno más de los problemas. Lo que pasa es que ese es el gran problema del Estado, porque lo hemos entendido como el problema de proteger al gobierno. Sin duda el caso de la Fiscalía puede ser tan grave como un problema de seguridad nacional.

El problema también es el historial de abusos y de temas que tienen este tipo de organizaciones. Hay un tema de confianza, también vinculado al funcionamiento de esas instituciones, entonces casi que la única forma que tenemos de saber, particularmente en temas de seguridad nacional, es con filtraciones.

Para conocer más sobre justicia, seguridad y derechos humanos, visite la sección Judicial de El Espectador.

El pasado 5 de agosto, El Espectador reveló la filtración masiva de correos electrónicos que realizó la organización Guacamayas a la Fiscalía de Francisco Barbosa. En entrevista, la directora de la organización para los derechos humanos en lo digital “Karisma”, Carolina Botero, le contó al espectador los antecedentes de esta filtración, el estado de la seguridad digital del país, y lo que puede suceder con la filtración de Guacamayas.

En contexto: Hackeo a la Fiscalía: detalles inéditos de una filtración sin precedentes

Cuéntenos un poco sobre las filtraciones de Guacamayas

El tema de las filtraciones tiene una doble cara. La primera, una cara de filtración de temas delicados del Estado basado en un ejercicio de libertad de expresión, que forma parte del control al Estado. Con este tipo de filtraciones nos enteramos de temas que fueron tratados como mínimo mal, cuando no son directamente problemas de ilegalidades. También desde hace años venimos hablando de la necesidad de proteger a los “whistle blowers”, quienes filtran información que nos permite conocer y hacer control del Estado. El Estado tiene vulnerabilidades que en lo digital son graves porque permiten acceso a terceros.

Hablemos del caso colombiano, con antecedentes como lo que pasó en el Dane y en el Invima ¿cuándo ha sucedido en Colombia algo así que se meta de frente con la seguridad nacional?

En esta última era digital de tener todo en datos el grave problema es que no sabemos cuáles son las filtraciones que ha habido. Porque, aunque existe una obligación en la Ley de Protección de Datos de informar como mínimo a la Superintendencia de Industria y Comercio cuando hay una filtración de datos personales, y como mínimo tendría que haber una obligación ética, esa no es tan clara en la ley, aunque sí en estándares internacionales, de informar a las personas que pueden ser afectadas. Eso no está reglamentado, no hay información pública sobre eso.

Lea aquí: Hackeo a la Fiscalía: el búnker ha estado negociando con exdirectivos de Odebrecht

Lo que hemos sabido del Dane y el Invima es han sido por ransomware: un secuestro de información con fines extorsivo. La diferencia con Guacamayas es que no solamente en Colombia sino a nivel regional tiene propósitos directamente políticos y tampoco es la primera, ya se sabía que ellos arrancaron sacando información del sector minero hace mas o menos un año. Esta es una diferencia frente a los otros, que tienen un propósito económico. Esto tampoco es nuevo para Colombia.

¿Ustedes tienen registros que en Colombia estén organizaciones armadas o grupos criminales detrás de esos hackeos, de cualquiera de los dos?

No, tampoco lo descartaría, pero que nosotros sepamos quién, no. Se cree que es gente de la región, pero tampoco tenemos pruebas. En el caso de filtraciones de grandes dimensiones, como las que en su momento hizo Wikileaks, uno de los principales problemas que tuvo es que ellos ponían toda la información a disposición del que quisiera y eso tuvo consecuencias graves, porque había información muy sensible.

A partir de ahí empiezan a crearse una especie de estándares éticos porque no son un full disclosure, sino que ahora se hace con protección. Eso es lo que estamos viendo en Guacamayas. Por eso es improbable que fueran simplemente unas bandas criminales o algo así. Esto tiene un contexto que al menosda la impresión de que es hacktivismo, activismo con fines políticos.

En el país existe un muy débil marco jurídico y legal de lo que deben hacer las entidades para reportar estos hackeos. Sabiendo que son datos delicados, en el caso de la Fiscalía, ¿ellos tienen la obligación de informarle a la SIC?

Yo creo que sí. La protección de datos se aplica a todo el mundo. El problema es que en el sector público la autoridad de protección de datos es la Procuraduría General de la Nación, que nunca ha actuado. Hace muy poco empezó a hacer cositas y está en pañales.

Nosotros tenemos un marco de seguridad digital que viene de 2011 y era supremamente militar, ha ido cambiando y ha evolucionado pero es insuficiente, es muy difícil, yo ni siquiera quiero echarle la culpa al Estado pero la realidad es que nuestra sociedad se está transformando digitalmente a un paso más rápido de lo que puede alcanzar la seguridad digital y mucho más la seguridad digital del Estado. La obligación de informar a la Superintendencia no solamente es para que quede un registro, sino que haya medidas preventivas, o sea que haya un diagnóstico de qué está pasando, a qué nivel esto afecta a las personas.

Cuando se trata de filtraciones que pueden afectar la seguridad nacional, ¿cuál sería el deber ético?

Lea: Por el asesinato de su esposa, el abogado José Gnecco fue acusado formalmente

Parte de lo que tenemos como problema es que hemos endiosado la seguridad nacional, pero hay otros problemas similares y tan grandes, o sea, si tú pones en el centro a las personas, la seguridad nacional es uno más de los problemas. Lo que pasa es que ese es el gran problema del Estado, porque lo hemos entendido como el problema de proteger al gobierno. Sin duda el caso de la Fiscalía puede ser tan grave como un problema de seguridad nacional.

El problema también es el historial de abusos y de temas que tienen este tipo de organizaciones. Hay un tema de confianza, también vinculado al funcionamiento de esas instituciones, entonces casi que la única forma que tenemos de saber, particularmente en temas de seguridad nacional, es con filtraciones.

Para conocer más sobre justicia, seguridad y derechos humanos, visite la sección Judicial de El Espectador.