Gustavo Sain: “La ciberseguridad no es una ciencia exacta, pero estamos elevando los estándares de seguridad en el Sector Público”

"Gustavo Sain: “La ciberseguridad no es una ciencia exacta, pero estamos elevando los estándares de seguridad en el Sector Público” "

Mg. Jesica Niz

El conflicto bélico entre Rusia y Ucrania demostró que la guerra en el Siglo XXI tiene diversas extensiones y una de ellas son los ciberataques a las infraestructuras críticas de una nación. A través de sistemas informáticos se pueden afectar las funciones de servicios esenciales para la población de un país y generar caos a nivel social, económico, medioambiental y político.

En este marco, el terreno de la ciberseguridad y la ciberdefensa se tornan fundamentales. Para indagar en ellos, Innova Salud Digital dialogó con el Director Nacional de Ciberseguridad, Gustavo Sain, quien delimitó los alcances de cada uno de estos terrenos e indicó que en la Argentina se trabaja en conjunto con el Ministerio de Defensa para definir políticas de protección.

Asimismo, dijo que durante la pandemia se incrementaron los ciberataques y se sofisticaron las técnicas delictivas; por este motivo, en nuestro país se reforzó el área de ciberseguridad y el Estado actúa ante incidentes de organizaciones ya sean del ámbito público y privado.

¿Cuáles son las funciones de la Dirección Nacional de Ciberseguridad?

La Dirección Nacional de Ciberseguridad de la Secretaría de Innovación Tecnológica del Sector Público se encuentra dentro de la órbita de Jefatura de Gabinete y tiene como objetivo principal elevar los estándares de ciberseguridad de la Administración Pública Nacional y, considerando que somos un país federal, asistir a las provincias que lo requieran en la materia, además de producir insumos vinculados a proteger los activos informáticos del Estado.

En este sentido ¿Incluyen acciones en temas de ciberseguridad a nivel de seguridad nacional?

Desde el año 2011, existe el Programa Nacional de Infraestructuras Críticas de Información y Ciberseguridad, en la actualidad está en vías de actualización acorde con las tendencia global y las necesidades locales.

En líneas generales, las infraestructuras críticas de información son sistemas informáticos que hacen al funcionamiento servicios esenciales del ciudadano, por ejemplo, redes técnicas de luz, gas, entre otros. En este sentido, colaboramos con la Subsecretaría de Ciberdefensa del Ministerio de Defensa en generar comités de crisis para proteger no sólo al ámbito público sino también al privado, así como a los entes reguladores.

¿Cuáles son los desafíos a nivel de ciberseguridad que enfrenta un estado en la actualidad en el marco del conflicto bélico entre Rusia-Ucrania?

Primero hay que establecer una diferenciación entre ciberseguridad y ciberdefensa, si bien los dos implican ciberataques el primero tiene que ver con la seguridad interior de un país, incluye a la ciberdelincuencia y el cibercrimen; en cambio el segundo nace desde un país que de forma expresa y deliberada intenta afectar a otro en el marco de lo que se llama ciberguerra.

Lo que diferencia uno del otro es quien se encuentra detrás del ataque, si es un Estado con voluntad de dañar a otro o un hacker malicioso que lo hace a título individual. En la Argentina ambos ámbitos están bien diferenciados, aunque trabajamos en conjunto como comenté anteriormente con la Subsecretaría de Ciberdefensa del Ministerio de Defensa en proteger las infraestructuras Críticas de Información y definir políticas al respecto.

En el marco del conflicto bélico de Ucrania y Rusia, tenemos que decir que nuestro país no ha reportado ataques en términos de ciberguerra. También consideramos que hay que ser muy cuidadosos porque se puede hacer una mala atribución de una embestida, por eso hay que tener pruebas suficientes para determinar quién está detrás de un ataque.

Por otra parte, desde su perspectiva ¿puede existir una sinergia entre el sector público y privado en el diseño de las condiciones de seguridad informática de los entornos virtuales?

Sin dudas que sí, trabajamos con empresas en el marco de un programa que llamamos “Servicios Digitales Seguros” y tratamos temas vinculados a la seguridad de los sitios web y publicaciones y cada vez que nos llega información sobre un incidente que fue víctima una organización privada brindamos asistencia. Las responsabilidades sobre la seguridad de la información son de las organizaciones, sean públicas o privadas, pero cuando detectamos una vulnerabilidad en algún sistema informático, nos comunicamos, asistimos y tenemos acuerdos de intercambio de información.

¿En la actualidad se encuentran trabajando en un modelo de estandarización en el Estado sobre aspectos de ciberseguridad?

Sí, tenemos desde junio del año pasado la Decisión Administrativa 641/2021 que establece una serie de requisitos mínimos de seguridad de la información para todo el Sector Público Nacional y son directrices de cumplimiento obligatorios para organismos centralizados y descentralizados de la administración pública.

La norma invita a otras jurisdicciones y organizaciones, ya sean públicas o privadas a adherir a dichos requisitos, por ejemplo, el Consejo Interuniversitario Nacional (CIN) adhirió y recomendó su utilización a las universidades nacionales y la Junta Federal de Cortes y Superiores Tribunales de Justicia de la provincias hizo lo suyo con los poderes judiciales provinciales mediante acuerdos con la dirección a mi cargo. Es una norma nacional que se encuentra inspirada en normas internacionales, como son las normas ISO, las cuales establecen un piso mínimo de seguridad de la información, siendo la Dirección Nacional de Ciberseguridad el órgano de aplicación y la Sindicatura General de la Nación (SIGEN) la que se encarga de auditar estos procesos.

Existe asimismo una política de seguridad de la información modelo, un insumo producido por la Dirección a modo referencial para que los organismos centralizados y descentralizados tomen como base para que elaboren sus políticas de seguridad de la información.

¿Prevén la existencia de un informe de buenas prácticas que se pueda llevar a otros ámbitos?

Una norma posterior es la creación de Puntos Focales de Ciberseguridad para el cumplimiento de los Requisitos Mínimos de la Seguridad de la Información mediante la Disposición 7/2021. Esto implica que los organismos tienen un enlace con la Dirección Nacional de Ciberseguridad y somos el único país de la región que tiene un registro de puntos focales.

La ciberseguridad no es una ciencia exacta, no existe un estado de ciberseguridad total, pero se han elevado los estándares por lo menos en la protección de servicios y de datos personales de los ciudadanos que se almacenan en los sistemas informáticos de los organismos de gobierno.

En 2021, los incidentes de inseguridad informática se duplicaron con respecto al año anterior en Argentina, según los datos registrados por el equipo de respuesta a emergencias informáticas (Cert.ar) dependiente de la Dirección Nacional de Ciberseguridad que usted está a cargo ¿cuál es su evaluación al respecto?

El CERT.ar trabaja asistiendo tanto al sector público como el privado cuando son víctimas de un incidente y en cuestiones preventivas. Nosotros publicamos el informe anual y quiero aclarar algo porque muchos medios han confundido algo fundamental: la diferencia entre un incidente informático con un delito informático. El primero es un evento que afecta el funcionamiento de un sistema informático, lo que necesariamente puede constituir un delito, por ejemplo, que se desconecte un servidor y esto afecta a la tecnología puntualmente; en cambio el ciberdelito afecta a las personas ya que es un hecho ilícito cometido desde un dispositivo informático o hacia un sistema informático. Puede haber un incidente informático que afecte a los individuos y se encuentra en el Código Penal, entonces se convierte en ciberdelito y existen otros que no implican un incidente informático, por ejemplo, el “grooming” (acoso digital a menores).

De este modo, lo que hace el CERT.ar es gestionar incidentes de seguridad informáticos, algunos constituyen delitos y otros no. En 2021 se creó un nuevo CERT.ar, por eso capacitamos a nuevo personal y generamos procedimientos de actuación y protocolos, también para aspectos preventivos. Asimismo, en 2021 se duplicaron los casos porque hay una presencia más activa y a su vez se incrementó por la pandemia, el teletrabajo y la educación a distancia.

Es importante destacar aspectos surgen del informe y es que se dieron incrementos en cibercrimen de dos modalidades, en términos de particulares fueron los fraudes en línea y a nivel de instituciones el “ransomware”.

Sobre el ransomware, que se considera la forma delictiva más utilizada en el momento, ¿cómo se encuentra preparado el estado argentino ante los hackeos de bases de datos sensibles?

Este es un software malicioso que ingresa a un sistema informático de una organización y luego los delincuentes solicitan un rescate, de allí el nombre. Existe hace 25 años aproximadamente, los primeros impedían el acceso a las computadoras. Luego surgieron nuevas técnicas que cifran la información o las bases de datos y exigen liberaciones tras el pago en criptomonedas.

Durante la pandemia se han incrementado y el accionar ahora consiste en primero hacer una copia de los archivos de las organizaciones en forma remota, después se encripta y bajo la amenaza de hacer pública la información, se solicita el rescate; es decir, hacen una doble extorsión. En la Deep web aparecieron incluso servicios de “ransomware” ya que se incrementaron en pandemia y se sofisticaron las técnicas.

En Argentina algunos organismos públicos fueron víctimas, pero no hemos tenido ataques a servicios esenciales a diferencia de otros países. Hay que destacar que la mayoría de los ataques están dirigidos al sector privado porque tiene la capacidad de pagar el rescate, en cambio, el Estado no negocia con delincuentes en estos casos.

Especialistas del Banco Interamericano de Desarrollo (BID) afirman que el ciberdelito ya sobrepasó los US $500 mil millones y está por ser más significativo que el delito del narcotráfico ¿qué opinión le merece este dato?

Es muy difícil medir el impacto del ciberdelito. Por eso hay que tener políticas de ciberseguridad y un órgano que establezca directrices. Estamos avanzando en esa línea, elevando el estándar y garantizando que se cumplan las políticas de seguridad en la información para velar por la protección de los datos personales de los ciudadanos.

Al ser mediante entornos virtuales la asignación de los turnos de vacunación se realizaron estafas a través del Phishing, ahora comenzó el censo digital y existen dudas por parte de la población ¿cuáles son las acciones para lograr seguridad en la sociedad en el uso de estas herramientas digitales?

La mayoría de los fraudes particulares se hacen a través del robo de identidad para acceder a datos de las personas y así cometer una estafa o fraude. En nuestro país la mayoría son cuentos del tío. Hay que trabajar en la concientización, pero no toda la responsabilidad es del usuario por eso las empresas tiene que dar entornos digitales seguros, hay algo que en criminología se llama prevención situacional, es decir, hay que reducir al máximo la posibilidad de que los delincuentes puedan explotar las vulnerabilidades dentro de los sitios web, programas o aplicaciones.