Un posible caso de espionaje liderado por Estados Unidos dejó en jaque la capacidad de respuesta tecnológica del sistema de seguridad costarricense.
A pesar de que la acción no se confirmó por parte del Gobierno de Costa Rica, el espionaje fue denunciado por el periódico brasileño O Globo , precisamente cuando salía a la luz el caso de Edward Snowden, exagente de la Agencia Nacional de Seguridad (NSA, por su sigla en inglés), perseguido por revelar información sobre los métodos de espionaje utilizados.
Revisión de correos electrónicos, de llamadas telefónicas y de redes sociales se mencionan en la lista de acciones implementadas por la agencia estadounidense.
Costa Rica reaccionó con indignación, pero sin una estrategia puntual en el tema tecnológico.
La necesidad de integrar los esfuerzos en tecnologías de la información y comunicación con políticas de seguridad en el Estado continúa sobre la mesa, sin embargo, las soluciones puntuales no pasan del papel.
Director en informática estatal
Una propuesta de elegir un director informático estatal en el Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt) no se concretó.
Los avances en este tema se reducen a la conformación de una comisión que integraría todos los esfuerzos realizados por separado por las instituciones del Estado, explicó Santiago Núñez, director de Tecnologías Digitales del Micitt.
El objetivo es armonizar la normativa existente y diseñar nuevas directrices que se ajusten a los temas de tecnología de la información y comunicación.
Respuesta estatal limitada
Ante eventos de seguridad cibernética, la respuesta del Micitt es limitada y se relaciona con un tema de escasos recursos económicos, asegura Núñez.
“Contamos con un presupuesto de unos ¢ 20 millones al año, esperamos que se abran 6 plazas para evitar el recargo de labores”, alega el director del Micitt.
Aunque no especificó el número de incidentes reportados por año, Núñez afirma que existe una cifra considerable relacionada con la denegación de servicios, malware y virus.
“Eso significa que hay un grado de madurez muy variable en las diferentes instituciones y que se necesita refuerzo en personal y recursos”, aseguró.
Con respecto al espionaje estadounidense, Nuñez dijo que hasta el momento no han tenido un reporte de ese tipo de eventos.
Garantizar seguridad
Aunque existen medidas a nivel normativo y tecnológico para proteger la información de ataques cibernéticos, es imposible obtener protección absoluta, dice German Rojas Mora, abogado asociado del Bufete Arias & Muñoz y asesor legal de la Cámara de Tecnologías de Información y Comunicación (Camtic).
Las empresas costarricenses que quieran contratar intermediarios tecnológicos fuera de las fronteras, están obligadas a suscribir contratos que cumplan con los protocolos de seguridad y de actuación a los que están supeditadas las bases de datos en Costa Rica, según el artículo 30 de la Ley de Protección de Datos Personales.
“Es importante recordar que el ciberespionaje en una actividad en constante evolución, por lo que las medidas que hoy son efectivas, mañana pueden no serlo”, explica el abogado.
Al consultarle si las medidas antiespionaje se contemplan en los tratados comerciales, Rojas dijo que los tratados de libre comercio incluyen acuerdos en materia de servicios relativos al trasiego de información financiera y de otra naturaleza.
Sin embargo, los programas de espionaje que tengan acceso a ese tipo de información por otras vías, ponen en entredicho los compromisos adquiridos en acuerdos comerciales y lo establecido por el Parlamento Europeo, cuya preocupación se centra en la violación de los acuerdos de intercambio de información financiera trasatlántica y registros de pasajeros aéreos.
Factura económica
Los crímenes cibernéticos pasan una factura a la economía global de entre $100.000 millones y $500.000 millones por año, según un reciente estudio publicado por McAfee y el Centro de Estudios Estratégicos e Internacionales.
Apple, Google, Facebook y Microsoft se sumaron a decenas de empresas de tecnología y grupos que recientemente reclamaron más “transparencia” en las actividades de vigilancia del Gobierno de Estados Unidos.
La lista incluye inversionistas, organizaciones sin fines de lucro, compañías y profesionales.
Los firmantes solicitan que las empresas y proveedores de Internet y telefonía den cuenta con mayor detalle de los pedidos del Gobierno estadounidense para la recolección de datos, según detalló EFE.
Más que indignación, el supuesto ciberespionaje estadounidense dejó en evidencia la fragilidad de un limitado sistema tecnológico costarricense, cuyos mayores avances se presentan en el área bancaria, no así en las instituciones del Estado.
Avance legislativo
Hay dos leyes recientes para salir al paso a espionaje cibernético:
Ley de la Protección de la Persona Frente al Tratamiento de sus Datos Personales (2011): Establece obligaciones para todas las personas físicas o jurídicas que almacenen información de terceras personas. Se menciona la obligación de respetar el fin determinado por el titular de la información ( limitar el uso), la obligación de brindar acceso a la información y el derecho al olvido (que se elimine información de base de datos).
Ley de Delitos Informáticos (2012): Establece tipos penales que buscan proteger bienes tales como la privacidad de la información personal, la integridad de los sistemas informáticos. Establece penalidad para estafas cometidas por medios informáticos.
En tema de ciberseguridad, esta ley es especialmente relevante, ya que penaliza el acceso no autorizado a información privada, tanto personal como empresarial.
Fuente German Rojas Mora.