–La digitalización da pie a oportunidades, pero también a ciberamenazas. ¿De qué manera los Estados deberían precautelar la seguridad de datos en internet?
–En un principio debe realizarse una acción de protección normativa, esto quiere decir dar los primeros pasos para que exista un encuadre jurídico para estar protegidos ante posibles amenazas cibernéticas, lo primordial es el Convenio de Budapest Sobre Ciberdelincuencia (2001) para cualquier país de ratificarla y formar parte de ella. Luego trabajar en una normativa propia del país y hasta localmente como sucede en Argentina; por ejemplo, el hostigamiento digital, la suplantación de identidad digital y la publicación de imágenes íntimas sin consentimiento son denominadas faltas o contravenciones locales, pero solamente en el ámbito de la Ciudad Autónoma de Buenos Aires. Pero no son delitos a nivel nacional, los que sí son delitos son aquellos que tienen la mayoría de los países como el acceso indebido a sistemas informáticos, el grooming que es cuando una persona se hace pasar por un menor para obtener cualquier acto o respuesta de índole sexual, también tenemos una protección en lo que hace a los datos personales es muy importante. Estas son cuestiones básicas que debería tener cualquier país en la región para poder comenzar a proteger a sus nacionales y locales.
–Hoy día los ciudadanos dependemos cada vez más de las tecnologías digitales para muchas de nuestras actividades esenciales. ¿Cómo evitar que los datos personales sean vulnerados y utilizados para fines delictuales?
–La mejor forma de evitar que nuestros datos sean vulnerados es realizando campañas de prevención sobre el uso de herramientas digitales, billeteras virtuales y demás, porque la principal forma en que los delincuentes obtienen los datos es a través de errores humanos, pero que son provocados por ellos. A su vez, tener un lugar donde se puedan denunciar los hechos y se les explique a las personas cómo hacerlo, qué es lo que deben presentar, que el lugar pueda tomar capturas, que se indique dónde debe comunicarse inmediatamente, por ejemplo, a su banco, y pedir la suspensión de las cuentas, los bloqueos de las aplicaciones, hacer la denuncia policial correspondiente, pero previamente tiene que haber un marco normativo que contemple todo esto. Sin embargo, la mayor y principal herramienta para evitar que los datos personales sean vulnerados es en principio que las empresas y el Estado, ya sea en los sectores público y privado cumplan con las normativas internacionales estándares de lo que es a la ciberseguridad de los productos y servicios, sumados a una gran tarea de prevención y capacitación al ciudadano.
En lo que hace a redes sociales no se deben poner todas nuestras vidas, como publicar fotos de nuestros hijos con el uniforme que permita ver el logo del colegio. Tratar de no exponerlos en lugares y fotos que puedan hacer que mediante inteligencia social pueda determinarse sus actividades y sus lugares frecuentes. Lo mismo con nosotros, si publicamos fotos que puedan mostrar nuestros lugares de actividades concurrentes y familiares, corremos el riesgo de que si son de acceso público esas imágenes, y no ponemos un sistema de privacidad a nuestra cuenta, pueden hacer mediante inteligencia social un rastreo de cómo nos movemos y pueden llegar a estafarnos, hacernos creer que nos conocen. O mismo sucede con nuestros niños pueden saber sus movimientos y pueden llegar a ser víctimas de diferentes tipos de acciones como el grooming.
–Si un gobierno, en la actualidad, buscara proteger sus sistemas de información, ¿qué acciones urgentes debería contemplar?
–Crear un sistema de protección de sistemas de información en todos sus organismos, estableciendo protocolos de acción ante vulnerabilidades. Tener gente especializada, como órganos especializados en la central gubernamental, que se ocupe de los datos, la ciberseguridad y al ciberdelito. Se debe buscar personal adecuado y a la altura, con las herramientas necesarias para poder trabajar. Esto es equipos informáticos modernos, sistemas con las licencias pagas, comodidad de trabajo y, sobre todo, asegurar mantenerlos dentro del ámbito estatal, porque muchas veces, por una cuestión de salario, se van al sector privado porque les ofrecen 3 o 5 veces lo que el sector estatal puede ofrecerles. Hay que tratar de competir con los sueldos del privado para que ese talento no se vaya, sumado a la capacitación de todos los agentes estatales, desde las más altas cabezas hasta los agentes más rasos y creando políticas de protección y cuidado más terrenales. Como el uso de herramientas básicas informáticas, los dispositivos que se conectan a las computadoras, cosas que parecen simples, pero que también pueden traer diferentes problemas, lo que tiene que ver a la seguridad de la información de datos y tener un protocolo de contingencia ante una vulneración o filtración de datos.
–¿Es la ciberseguridad una preocupación central hoy en los países de la región o aún no es un tema clave de la agenda?
–En la región la ciberseguridad como el ciberdelito son de preocupación central, pero todavía no son temas claves en agenda. Es entendible que algunos sistemas como normativa se encuentran sumamente desactualizados y no es fácil compatibilizar esta nueva forma de realizar delitos. El primer paso es adherirse al Convenio de Budapest sobre la Ciberdelincuencia, ya que abre la puerta a la colaboración internacional sobre el tema, como el intercambio de información, datos, etc. Con la velocidad necesaria que conlleva este tipo de delitos, igual es inevitable que avanzado el tiempo, el ciberdelito, como la ciberseguridad por su trazabilidad en todos los delitos y acciones diarias, sea el eje en las normativas.
–¿En qué podría ayudar una ley de protección de datos personales?
–El beneficio de contar con una ley de protección de datos personales para cualquier país es que hace a la obligatoriedad de aquellos que manejen bases de datos con información sensible de personas que deban tener determinados cuidados, como obligaciones para que las mismas no se utilicen de manera inadecuada, como no autorizada por los titulares de esos datos. También permite modificar información incorrecta, suprimir aquella que sea falsa. Como castigar a quien utilice la misma para un beneficio personal, venderla a un tercero o procesarla con fines espurios.
Lo importante aquí es la forma en que se implementa y se exige a los poseedores de bases de datos el cumplimiento de la ley. Los organismos estatales deberían tener un delegado de protección de datos personales que se ocupe del tema y crear una Agencia de Protección de Datos Personales que englobe a todos los delegados, y arbitre a aquellos que tienen la responsabilidad del cuidado de las bases en el sector privado, ya sea para consultas, como agente aplicador de sanciones.
–¿Deberían los países de la región adoptar un sistema unificado de certificación, que contemplen reglas, requisitos técnicos y procedimientos de las TIC en Latinoamérica y el Caribe?
–El trabajo en conjunto en toda la región, bajo un sistema unificado como convenios de intercambio de información sobre materia de delitos informáticos, sería un camino eficiente para lograr una mayor eficiencia, en la persecución de delitos transfronterizos, o aquellos que traten sobre trata de personas, evadidos, narcotráfico, todos estos poseen elementos tecnológicos e informáticos. Es decir, comunicaciones, correos, etc. Teniendo un sistema unificado se lograrían mejores resultados y en menor tiempo.
