«Ciberseguridad no es vigilar Twitter y hacer inteligencia en Facebook»

El pasado martes 10 de septiembre, en el salón de conferencias de la Universidad Católica Argentina, el agente secreto retirado Robert Villanueva disertó sobre las herramientas más eficaces de lucha contra el ciberdelito en el marco de un taller organizado por el Ministerio de Seguridad de la Nación. Así, pagándole un cachet en dólares a un exespía estadounidense, el gobierno se ocupa de proteger a la ciudadanía de los cada vez más frecuentes ataques informáticos. O eso pretende aparentar. En rigor, la parafernalia tecnológica y los tips antihackers que varios funcionarios nacionales, incluida la ministra Patricia Bullrich, describieron en ese encuentro, no parecen rendir frutos en el complejo entramado de la prevención contra el delito informático. Hasta aquí, la política de Cambiemos en el rubro exhibe como único logro la sistemática persecución a ciudadanos que tuitean temerariamente contra el presidente o su familia.

«Esta gestión nunca definió ni tuvo un plan concreto para la ciberseguridad. Se dedicaron a viajar por el mundo y a dar charlas. Nada más. Se suponía que este gobierno era más propenso a la innovación y al desarrollo tecnológico, pero desde el punto de vista de la ciberseguridad hace agua por todos lados», sentencia Iván Arce, exdirector del Programa de Seguridad en TIC de la Fundación Sadosky y para muchos el mayor especialista en seguridad informática del país.

A poco de asumir Mauricio Macri como presidente, y a través de un decreto, el área de ciberseguridad pasó de la Jefatura de Gabinete a depender del Ministerio de Modernización, y de ser una Subsecretaría (la de Tecnología y Ciberseguridad) a una Dirección (de Infraestructuras Críticas de Información y Ciberseguridad). Es decir, una «doble degradación», describe Arce. «Después de cuatro años, el gobierno todavía no sabe qué es lo que quiere hacer con la ciberseguridad. Se creó un comité en el que participan las carteras de Seguridad, Defensa y  Modernización. Eso ya da la pauta de una concepción de las cosas: es muy difícil que un comité genere definiciones de largo plazo, además de la capacidad de implementarlas. En segundo lugar, la presencia del Ministerio de Seguridad refrenda la idea de una concepción punitiva, cuando la ciberseguridad es más amplia e implica investigación, desarrollo, relación con las universidades, generación de una industria para exportar, entre otras cosas. Tanto los organismos de Seguridad como los de Defensa piensan en términos de espionaje y en cómo controlar a las personas en redes sociales o de imponer penas y tipificar delitos relacionados con la tecnología, y en paralelo adquirir equipamiento. El modo en que siempre se refirió al tema el ministro Oscar Aguad revela la concepción de que la ciberseguridad se resuelve comprando aparatitos».

En efecto, en octubre de 2018, el gobierno argentino compró a Israel un paquete de software de ciberdefensa y ciberseguridad con la capacidad de recolectar y analizar información de las redes sociales y acceder a bases de datos públicas y privadas. Según informó en aquel momento #SomosTélam, la operación se formalizó por un monto de 5.245.000 dólares para la compra de equipos, software y entrenamiento del personal, datos sobre los cuales se dispuso el secreto militar. El acuerdo de implementación fue firmado por el ministro Aguad y su par de Defensa israelí, Udi Adam, luego de que las Fuerzas Armadas argentinas analizaran la oferta presentada en octubre de 2017 por las firmas MerGroup y Rafael Advanced Defense Systems, el mismo consorcio israelí que provee de servicios informáticos al sistema de defensa de la base inglesa en las Islas Malvinas.

El convenio prevé la instalación de un núcleo de Equipo de Respuesta ante Emergencias Informáticas con sede en Villa Martelli, y centros operativos en dependencias del Ministerio de Defensa y las Fuerzas Armadas para «el monitoreo de fuentes abiertas Web y Dark Web, toda vez que permite la captura de información y análisis de foros, blogs, redes sociales, sitios no estructurados, y comprender las acciones que grupos delictivos y hackers pudieren planear contra el Ministerio de Defensa o el país».

Medidas invasivas

En 1999, a través de la Resolución N° 81/99, se creó la Coordinación de Emergencia en Redes Teleinformáticas de la Administración Pública Argentina (ArCeRT), configurando la primera área de ciberseguridad a nivel Estado en el país y de las primeras en la región. «En 2011, eso se decapitó –recuerda Arce– y se transformó en el Programa de Infraestructuras Críticas de Información y Ciberseguridad, es decir, menos que una dirección en el organigrama del Estado. Si con el anterior gobierno el panorama era desolador, con el actual es todavía peor, porque antes había un embrión, había expectativas de que algo podía suceder, pero ese algo se transformó en un sinsentido. Ponen los esfuerzos en el lado incorrecto».

«No hay liderazgo político que pueda poner el tema en agenda y, más difícil aun, lograr que la ciberseguridad tenga una mirada holística, es decir, que ponga a la persona en el centro de las políticas», agrega Leandro Ucciferri, abogado y analista de políticas públicas de la Asociación por los Derechos Civiles (ADC). Pensar la ciberseguridad exclusivamente como un tema de Defensa o Seguridad Nacional es un error. Al fin y al cabo, cuando se habla de proteger infraestructuras críticas, como pueden ser plantas nucleares, la red eléctrica, de gas, o cualquier otro servicio básico, eso tiene un impacto social. Se trata de abrir más el espectro».

Sin un plan de ciberseguridad con objetivos claros y estrategias a largo plazo, lo que hay, en cambio, es una constante «ciberpatrulla» del gobierno en las redes sociales.

«Como activistas por la privacidad y los derechos fundamentales –dice Ucciferri–, somos bastantes críticos de cómo las fuerzas de seguridad aprovechan el uso de la tecnología. La gente en redes sociales no sabe qué información está dando, cuánta, en qué contexto puede ser utilizada. Esa información disponible es fácilmente abusable. Al mismo tiempo nos preguntamos: ¿cuál es el interés público que tiene perseguir usuarios?, ¿cómo afecta o no que se configure un delito de amenaza? Si te ponés a ver los tuits o posteos que fundaron las denuncias por amenazas, algunos tenían muy poca exposición. Vos como Estado no podés empezar por las medidas más invasivas. Las políticas públicas tienen que hacer un análisis de impacto en Derechos Humanos, privacidad, datos privados, y hasta ahora no hemos visto que eso se haya hecho».

«Mirar cuentas de Twitter –cierra Arce– o hacer inteligencia en Facebook no va a hacer que tu sistema sea más seguro y no te ataquen. ¿Hay algún requerimiento para el software que se utiliza en sectores críticos, como el energético? ¿Hay algún organismo que verifique esas cosas? No, el foco está puesto en perseguir a potenciales delincuentes en las redes sociales, si es que eso puede considerarse un delito». «

Espías invitados y una tecnicatura

nal de Lucha contra el Ciberdelito, organizado por el Ministerio de Seguridad en la UCA, Patricia Bullrich y los suyos vieron más o menos de cerca las amenazas reales que hay en la web y en la dark web, más allá de los mensajes de opositores pasados de rosca que espían y combaten en las redes sociales. Los expertos (espías invitados de Estados Unidos y Europa y altos mandos de las fuerzas de seguridad locales, además de emprendedores de firmas de seguridad privadas) disertaron, por ejemplo, sobre los peligros del ciberdelito financiero, que produce desfalcos de 600 mil millones de dólares al año.

El diagnóstico final fue preocupante. La mitad de las pymes argentinas ya han sufrido algún tipo de ataque cibernético, y una firma de hackers rusos –este dato lo dio el exespía estadounidense Robert Villanueva, ahora vicepresidente ejecutivo de Cytric Solutions– ofrece acceso a más de 10 mil tarjetas de crédito y cuentas de argentinos. Del millar de casos investigados por la Dirección de Investigación de Ciberdelitos en 2018, apenas 5,5% correspondieron a estafas. El 12% fueron casos de narcotráfico. Y el 7,8%, amenazas. Bullrich aprovechó para anunciar la creación de la primera Tecnicatura Superior en Ciberdelito, que se dictará en la Universidad Nacional Raúl Scalabrini Ortiz (UNSO), en San Isidro.

No amenacen al presidente

Federal de Inteligencia (AFI), Gustavo Arribas, y su segunda, Silvia Majadalani, presentaron a principios de septiembre una denuncia contra el abogado y dirigente peronista Osvaldo Pugliese, por una supuesta amenaza a Mauricio Macri, en la que en realidad simulaba un pensamiento del intendente de Pilar, Nicolás Ducoté, para intentar despegarse de la mala imagen del primer mandatario. «Sería ‘y que querés, que nos quedemos sin laburo, vamos a hacer lo posible por seguir sin trabajar y si tenemos que matarlo a Macri lo hacemos'», fue el tuit de Pugliese que, con ironía, hacía alusión a la idea de Ducoté de esconder a Macri para ganar las elecciones.

«Los funcionarios de la AFI, además de carecer de la más mínima capacidad de interpretar un texto, desconocen por completo los más rudimentarios conceptos respecto a cuál es la función que cumple –o que debe cumplir– la AFI», opinó la abogada Graciana Peñafort, en una de las tantas muestras de solidaridad que recibió Pugliese.

Algo similar le ocurrió a Hernán Delgado. El 3 de septiembre, una citación de la AFI llegó a su casa de Virrey del Pino instándolo a declarar como imputado del delito de amenazas contra el presidente. El 14 de octubre de 2018, Delgado había escrito en su muro de Facebook «Macri te queda poco», en referencia a las elecciones de este año. La AFI entendió que se trataba de una amenaza, argumentando que Delgado, que trabaja de recolector de residuos hace 14 años, incluyó una foto de él practicando tiro en una de las tantas excursiones con sus amigos.