La salud de la seguridad digital en Colombia

El Invima sufrió varios ataques a su infraestructura tecnológica que afectó la prestación de sus servicios. A la Fiscalía y al Ejército les extrajeron grandes cantidades de correos electrónicos que representan incontable información sensible. Esta semana millones de personas afiliadas a la EPS Sanitas y a la prepagada Colsanitas no tienen acceso a los servicios de salud porque el grupo empresarial Keralty, sufrió un ataque de ransomware. Todos estos son casos de los últimos meses muestran nuestra dependencia de la tecnología digital y los problemas de nuestra política nacional en el tema.

Que el gobierno sea víctima de ataques no es una novedad, cualquier persona o entidad puede ser objeto de un incidente de seguridad digital y -según las capacidades del atacante- puede que los afectados no tengan siquiera posibilidades de defenderse. Lo que a estas alturas es inadmisible es que no sepan cómo responder cuando suceden.

No basta con contar con una infraestructura tecnológica en una organización para que ésta sirva. No es como comprar una silla. El software hay que actualizalo, hay que escalar la infraestructura y se requiere de técnicos que la entiendan, cuiden y protejan -incluida la información que contiene- para decir que se está trabajando en seguridad digital. Además, la dirección de la organización debe tener una comprensión mínima de lo que implica la seguridad digital, pues es quien puede destinar los recursos, dar el apoyo, pedirlo cuando lo necesita y saber responder cuando se materializan incidentes de seguridad digital. Son muchos los puntos que pueden fallar, esto hace que el sistema sea vulnerable y también dificulta responder a un incidente.

¿Qué puede hacer el Estado colombiano al respecto? Dentro de los desafíos está el reto cultural que supone dar una respuesta apropiada a un reporte de vulnerabilidad y, especialmente, a un incidente de seguridad digital. La entidad suele responder con incredulidad, con rabia al verse expuesta y decide ocultarse detrás del secreto. Buscando cambiar eso, en Karisma tenemos un proyecto que consiste en hacer investigaciones ciudadanas sobre vulnerabilidades en plataformas estatales que usan muchos datos personales a través de Internet. Usando metodologías no intrusivas hemos adelantado decenas de estas investigaciones que terminan con la entrega de un informe de los hallazgos a la entidad responsable para que tome las medidas necesarias.

La idea central era promover la colaboración y desmitificar los reportes de vulnerabilidades informados por terceros. Buscábamos que estos ejercicios mostraran a las entidades que ser vulnerables es un riesgo normal, que lo importante es estar preparados para responder.

Percibirse vulnerable no es algo bonito. Desde que hacemos estos ejercicios la respuesta más común nace del temor, nos amenazan con el código penal o minimizan el impacto del tema. Sin embargo, con el tiempo vemos que -con la ayuda e intermediación del MinTIC y Colcert- las reacciones van cambiando, algunos entienden el ejercicio por lo que es. El ejercicio termina con la publicación de los informes manteniendo reservada la información que pueda comprometer la seguridad de la entidad. Pero, buscamos también hablar públicamente de esto como una forma de cambiar la cultura del secreto, entender que podemos aprender colectivamente.

Me pregunto si esa reacción desde el temor se relaciona con la herencia de la ciberseguridad que nace atada a un manejo exclusivo -o al menos esencialmente dependiente-, del mundo militar cuya cultura es sobre todo el secreto. Cambiar esto no ha sido fácil en el mundo, pero ya se sabe que la respuesta incluye dar información.

Independientemente de la regulación que se tenga, el principal cambio cultural recae en las directivas. Cuando conocen un reporte de vulnerabilidad o se enteran que sucedió un incidente, y a pesar de eso, deben entender que su aliado es la transparencia. En general todas las entidades comprometidas en Colombia se rajan en esto, ignoran que frente a un incidente es más costoso no informar públicamente sobre él.

Sin duda hay muchas incertidumbres a la hora de enfrentarse al incidente y hay cosas que es mejor mantener confidenciales. Pero, para una entidad que sufre un ataque lo importante es evitar conjeturas e informar lo antes posible a las personas, sobre todo a las posiblemente afectadas, indicando las medidas de mitigación de daños que pueden adoptar. Se debe también contar públicamente que enfrentó un ataque, esto incluye informar que está en contacto con las autoridades, mencionar lo que sabe del alcance del mismo, hablar del plan que tiene para enfrentarlo y crear un canal de información para actualizar a las personas y al público sobre lo que sucede. Evitar hacer esto tiene consecuencias reales para las personas y puede significar un problema reputacional que hace que la gente pierda confianza. El sistema de respuesta estatal debe ayudar en ese proceso.

¿Cómo responde el Estado a incidentes de seguridad digital en la infraestructura crítica? El gobierno de Duque expidió el Plan Nacional de seguridad digital vigente a través del Conpes 3995 de 2020 y luego el Decreto 338 de 2022 -expedido a pocos meses del cambio de gobierno-. Según lo que hemos establecido el nuevo sistema no se ha desplegado, lo deberá hacer el gobierno de Petro.

En estas normas se describe la estructura que tendrá Colombia para proteger sus actividades críticas (infraestructura e información que todavía no hemos definido) y se definen las entidades que darán respuesta a incidentes cibernéticos. Desde la expedición del decreto, Karisma ha intentado indagar sobre su implementación, sin conseguir mucha información. La transición del gobierno ha dificultado el seguimiento con Mindefensa, MinTIC ( sobre todo con el Grupo de Respuesta a Emergencias Cibernéticas de Colombia - colCERT) y la Consejería TIC de la Presidencia.

Con el nombramiento de la viceministra TIC esta semana (¡por fin!) esto puede cambiar. En todo caso, resulta fácil anticipar que el sistema interesante pero sofisticado y complejo que del Decreto 338 no podrá desarrollarse a cabalidad. De lo que hemos establecido lastimosamente no están garantizados los recursos para desplegar esa estructura, así que tendrán que priorizar y escalonar. Además la estructura supone una capacidad instalada en el Estado que con el escenario descrito está claro que realmente no existe.

Los ajustes tomarán tiempo. Aunque hay personas valiosas detrás de los esfuerzos, también es evidente que lo hecho en el gobierno de Duque quedó en el papel. El plan no estaba enraizado en las instituciones, no superó el test de la transición, y por tanto, no tenemos una respuesta institucional que de la tranquilidad frente a uno de los desafíos más importantes de la digitalización de esta sociedad: la respuesta a incidentes.

En Colombia podríamos terminar en una situación de inmovilización como la que sufrió Costa Rica a principios de año -cuando un ataque al sistema de salud congeló todo el servicio de salud por días-. Esperamos que la nueva viceministra aborde con urgencia el tema y lo institucionalice. Lo peor que puede pasar es que su principal doliente sea la Consejería TIC así no desarrollará raíces.

El Invima sufrió varios ataques a su infraestructura tecnológica que afectó la prestación de sus servicios. A la Fiscalía y al Ejército les extrajeron grandes cantidades de correos electrónicos que representan incontable información sensible. Esta semana millones de personas afiliadas a la EPS Sanitas y a la prepagada Colsanitas no tienen acceso a los servicios de salud porque el grupo empresarial Keralty, sufrió un ataque de ransomware. Todos estos son casos de los últimos meses muestran nuestra dependencia de la tecnología digital y los problemas de nuestra política nacional en el tema.

Que el gobierno sea víctima de ataques no es una novedad, cualquier persona o entidad puede ser objeto de un incidente de seguridad digital y -según las capacidades del atacante- puede que los afectados no tengan siquiera posibilidades de defenderse. Lo que a estas alturas es inadmisible es que no sepan cómo responder cuando suceden.

No basta con contar con una infraestructura tecnológica en una organización para que ésta sirva. No es como comprar una silla. El software hay que actualizalo, hay que escalar la infraestructura y se requiere de técnicos que la entiendan, cuiden y protejan -incluida la información que contiene- para decir que se está trabajando en seguridad digital. Además, la dirección de la organización debe tener una comprensión mínima de lo que implica la seguridad digital, pues es quien puede destinar los recursos, dar el apoyo, pedirlo cuando lo necesita y saber responder cuando se materializan incidentes de seguridad digital. Son muchos los puntos que pueden fallar, esto hace que el sistema sea vulnerable y también dificulta responder a un incidente.

¿Qué puede hacer el Estado colombiano al respecto? Dentro de los desafíos está el reto cultural que supone dar una respuesta apropiada a un reporte de vulnerabilidad y, especialmente, a un incidente de seguridad digital. La entidad suele responder con incredulidad, con rabia al verse expuesta y decide ocultarse detrás del secreto. Buscando cambiar eso, en Karisma tenemos un proyecto que consiste en hacer investigaciones ciudadanas sobre vulnerabilidades en plataformas estatales que usan muchos datos personales a través de Internet. Usando metodologías no intrusivas hemos adelantado decenas de estas investigaciones que terminan con la entrega de un informe de los hallazgos a la entidad responsable para que tome las medidas necesarias.

La idea central era promover la colaboración y desmitificar los reportes de vulnerabilidades informados por terceros. Buscábamos que estos ejercicios mostraran a las entidades que ser vulnerables es un riesgo normal, que lo importante es estar preparados para responder.

Percibirse vulnerable no es algo bonito. Desde que hacemos estos ejercicios la respuesta más común nace del temor, nos amenazan con el código penal o minimizan el impacto del tema. Sin embargo, con el tiempo vemos que -con la ayuda e intermediación del MinTIC y Colcert- las reacciones van cambiando, algunos entienden el ejercicio por lo que es. El ejercicio termina con la publicación de los informes manteniendo reservada la información que pueda comprometer la seguridad de la entidad. Pero, buscamos también hablar públicamente de esto como una forma de cambiar la cultura del secreto, entender que podemos aprender colectivamente.

Me pregunto si esa reacción desde el temor se relaciona con la herencia de la ciberseguridad que nace atada a un manejo exclusivo -o al menos esencialmente dependiente-, del mundo militar cuya cultura es sobre todo el secreto. Cambiar esto no ha sido fácil en el mundo, pero ya se sabe que la respuesta incluye dar información.

Independientemente de la regulación que se tenga, el principal cambio cultural recae en las directivas. Cuando conocen un reporte de vulnerabilidad o se enteran que sucedió un incidente, y a pesar de eso, deben entender que su aliado es la transparencia. En general todas las entidades comprometidas en Colombia se rajan en esto, ignoran que frente a un incidente es más costoso no informar públicamente sobre él.

Sin duda hay muchas incertidumbres a la hora de enfrentarse al incidente y hay cosas que es mejor mantener confidenciales. Pero, para una entidad que sufre un ataque lo importante es evitar conjeturas e informar lo antes posible a las personas, sobre todo a las posiblemente afectadas, indicando las medidas de mitigación de daños que pueden adoptar. Se debe también contar públicamente que enfrentó un ataque, esto incluye informar que está en contacto con las autoridades, mencionar lo que sabe del alcance del mismo, hablar del plan que tiene para enfrentarlo y crear un canal de información para actualizar a las personas y al público sobre lo que sucede. Evitar hacer esto tiene consecuencias reales para las personas y puede significar un problema reputacional que hace que la gente pierda confianza. El sistema de respuesta estatal debe ayudar en ese proceso.

¿Cómo responde el Estado a incidentes de seguridad digital en la infraestructura crítica? El gobierno de Duque expidió el Plan Nacional de seguridad digital vigente a través del Conpes 3995 de 2020 y luego el Decreto 338 de 2022 -expedido a pocos meses del cambio de gobierno-. Según lo que hemos establecido el nuevo sistema no se ha desplegado, lo deberá hacer el gobierno de Petro.

En estas normas se describe la estructura que tendrá Colombia para proteger sus actividades críticas (infraestructura e información que todavía no hemos definido) y se definen las entidades que darán respuesta a incidentes cibernéticos. Desde la expedición del decreto, Karisma ha intentado indagar sobre su implementación, sin conseguir mucha información. La transición del gobierno ha dificultado el seguimiento con Mindefensa, MinTIC ( sobre todo con el Grupo de Respuesta a Emergencias Cibernéticas de Colombia - colCERT) y la Consejería TIC de la Presidencia.

Con el nombramiento de la viceministra TIC esta semana (¡por fin!) esto puede cambiar. En todo caso, resulta fácil anticipar que el sistema interesante pero sofisticado y complejo que del Decreto 338 no podrá desarrollarse a cabalidad. De lo que hemos establecido lastimosamente no están garantizados los recursos para desplegar esa estructura, así que tendrán que priorizar y escalonar. Además la estructura supone una capacidad instalada en el Estado que con el escenario descrito está claro que realmente no existe.

Los ajustes tomarán tiempo. Aunque hay personas valiosas detrás de los esfuerzos, también es evidente que lo hecho en el gobierno de Duque quedó en el papel. El plan no estaba enraizado en las instituciones, no superó el test de la transición, y por tanto, no tenemos una respuesta institucional que de la tranquilidad frente a uno de los desafíos más importantes de la digitalización de esta sociedad: la respuesta a incidentes.

En Colombia podríamos terminar en una situación de inmovilización como la que sufrió Costa Rica a principios de año -cuando un ataque al sistema de salud congeló todo el servicio de salud por días-. Esperamos que la nueva viceministra aborde con urgencia el tema y lo institucionalice. Lo peor que puede pasar es que su principal doliente sea la Consejería TIC así no desarrollará raíces.