:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/TMAZOM2KAJAT3M65URRPV44ATI.jpg)
Los últimos acontecimientos que implican a la Reniec y al Minsa en un caso de muertes falsas hace preguntarse qué tan segura se conserva la información de todos los peruanos en poder de las organizaciones gubernamentales.
“Durante el 2022 se han emitido 14 comunicados a las entidades públicas con alertas y recomendaciones específicas de acción para proteger sus activos digitales”, comenta para Gestión Marushka Chocobar, secretaria de la Secretaria de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros.
Pero el problema de la ciberseguridad es más complejo de lo que parece. “Todo sistema informático, por más perfecto o tecnológicamente avanzado que sea, es susceptible de tener brechas humanas”, comenta Erick Iriarte, CEO de eBIZ Latin America.
Para el especialista, no importa cuánto se invierta en tecnología si es que a la vez esta inversión no va acompañada del desarrollo de las capacidades de los funcionarios públicos. “No están recibiendo una capacitación constante en materia de ciberseguridad”, agrega.
La información que ofrece la entidad de la PCM, sin embargo, habla de que, a la fecha, a través del Centro Nacional de Seguridad Digital, se ha logrado capacitar a más de 70 000 personas en seguridad digital. “Además, se han iniciado coordinaciones para la realización de un diagnóstico integral de brechas de ciberseguridad en las entidades públicas con el apoyo de la cooperación internacional”, dice Chocobar.
Antonio Ocampo, docente de Ingeniería Electrónica de la PUCP y gerente comercial de una empresa de ciberseguridad, coincide con Iriarte. “Lo que sucede en el Estado es que cada cierto tiempo se realizan auditorías para probar sus sistemas de seguridad, sí, pero el inconveniente es que luego no se efectúan las indicaciones que se han planteado por los especialistas. Y eso implica a muchas organizaciones estatales”, comenta para Gestión.
Entre los hallazgos más comunes encontrados en estas auditorías esta justamente el tema de los usuarios y contraseñas que utilizan los servidores públicos. En muchos casos estos son fáciles de predecir y en otros se usa el mismo. Para el docente, otra problema que se evidencia es el fácil acceso que tienen las bases de datos del Estado peruano. “Exponen información sin la debida seguridad. En muchos casos se trata de información sensible de identidad o facturación de empresas”, apunta.
El eslabón de la cadena
“No importa cuántas capas de seguridad tengas si el eslabón más débil de la cadena es el trabajador”, sostiene Andrea Fernández, gerente general para la región South of Latin America en Kaspersky.
Por eso, según la ejecutiva, es importante la concientización y capacitación en temas de ciberseguridad. “Si un médico tiene un usuario y contraseña que es el mismo es porque alguien no le informó del riesgo que eso conlleva”, dice Fernández.
De acuerdo con la directiva, nueve de cada 10 violaciones de datos se hacen contra los empleados, pues son el blanco preferido de los hackers. “Es mucho más fácil entrar a través de un trabajador que vulnerando un servidor”, indica Fernández. Según una investigación de Kaspersky, en 2021, el 26% de organizaciones peruanas tuvieron incidentes de phishing. Asimismo, durante la pandemia el crecimiento de ataques mediante ransomware creció en un 700%.
“Todos piensan que la ciberseguridad es un tema técnico o del área de TI. Sin embargo, la política de prevención tiene que abarcar el frente técnico así como el de educación a los usuarios finales. Y en realidad son muy pocas entidades del estado las que cumplen con las capacitaciones”, señala Ocampo.
El panorama completo
Para el Dr. Ernesto Cuadros Vargas, miembro del Directorio de Gobernadores de la Sociedad de Computación de la IEEE, la seguridad digital del Estado es como un rompecabezas cuyas piezas no encajan. “Esto se puede comprobar al analizar dos municipalidades. Las dos tienen tecnologías diferentes, usan bases de datos diferentes y protocolos diferentes porque el estado nunca ha puesto estándares tecnológicos”, argumenta.
Según Cuadros, el estado peruano requiere de una arquitectura digital y que todas las instituciones desarrollen software bajo ciertas normas estandarizadas y uniformes dictadas por la Secretaría de Gobierno Digital. “Te dicen que en el portal Gob.pe está todo integrado, pero eso es un tremendo engaño porque esa plataforma ha unido pantallas, nada más. Por debajo, todos los portales tienen bases de datos y tecnologías diferentes. Es como una torre de Babel con huecos de seguridad por todos lados”, detalla.
Cuadros sostiene que se requiere estándares, una arquitectura digital del estado peruano y que todas las instituciones que desarrollan software lo hagan bajo ciertas normativas estandarizadas y uniformizadas dictadas por el estado peruano, en este caso por la Secretaria de Gobierno Digital.
En ese sentido, los hackers aprovechan estos huecos para crear software que encuentre las vulnerabilidades de los portales gubernamentales. “No estamos en camino de construir un país digital. La Secretaría de Gobierno Digital no tiene mando. Los ministerios no están obligados a cumplir porque una no tiene mando sobre otra”, dice Cuadros.
Inversión en seguridad digital
De acuerdo con Marushka Chocobar, en promedio la inversión en proyectos de tecnología transversales en gobierno y transformación digital del Estado bordeó los S/151 millones al cierre de 2021.
Asimismo, afirma que la Presidencia del Consejo de Ministros ha fortalecido el presupuesto de la Secretaría de Gobierno y Transformación Digital para el 2023 con un aproximado de S/22 millones. “Adicionalmente, se está evaluando la posibilidad de un nuevo proyecto de inversión pública para fortalecer las acciones del Centro Nacional de Seguridad Digital de manera descentralizada”, indica la funcionaria.
Un caso para analizar
De acuerdo con Cuadros, no hay ningún caso de éxito entre los portales gubernamentales. Le preguntamos específicamente por la Sunat, portal en que se alojan los datos de miles de peruanos y sus empresas. “A la Sunat de repente no le han sacado la data hasta ahora, pero no significa que su arquitectura digital sea buena. De hecho, su arquitectura es muy antigua”, responde el experto.
El especialista señala que la Sunat ha permitido la creación de una serie de empresas satélites de facturación electrónica porque su servidor colapsaría si todos los contribuyentes intentaran hacer la emisión a través de su página. “Su arquitectura no soporta grandes volúmenes de información”, acota.
De otro lado, Palmer De La Cruz, intendente nacional de Estrategias y Riesgos de la SUNAT, dice para este medio que esta institución cuenta con altos estándares internacionales, habiendo sido evaluada recientemente por la Organización para la Cooperación y el Desarrollo Económicos (OCDE) y sobre el cual se obtuvo una alta calificación. “Nuestro sistema incluye la utilización de software de monitoreo de las actividades realizadas por los usuarios, mecanismos de encriptación y autenticación de múltiples factores, sistemas de auditoría interna y externa que evalúan permanentemente los riesgos, entre otros”, enumera.
Asimismo, De la Cruz asegura que la Sunat tiene un conjunto de profesionales especializados en seguridad de la información con capacidad de nivel internacional para la prevención, contención, respuesta y mitigación de riesgos vinculados con ataques cibernéticos.
Carencia de profesionales
Según Iriarte y Cuadros, hay una carencia de expertos en ciberseguridad en el ámbito público y privado. “Pero hay que formar profesionales en Ciencia de la Computación, no a ingenieros informáticos, ni de sistemas, ni de software. En el Perú la gente es acomplejada con la palabra ingeniería. El camino para mejorar en temas de ciberseguridad comienza por estudiar Ciencia de la Computación, que fue lo que estudió Bill Gates, Jeff Bezos o Mark Zuckerberg”, precisa Cuadros.