—A partir del conocimiento del área y de cómo trabaja Uruguay, ¿cómo está ubicado en relación con los países de la región?
—Uruguay está en términos de digitalización muy bien ubicado, no solamente a nivel del Cono Sur, sino en la región completa de las Américas. Agesic, con el Certuy, es uno de los más avanzados de la región, más maduros, y es un modelo que muchos de los países siguen. Además de eso, un punto muy a favor es que son el único país de América que es miembro del Convenio 108 del Consejo de Europa sobre protección de datos en los tratamientos automatizados, y eso en términos futbolísticos es un golazo magnífico, porque da un nivel de protección de los derechos humanos en línea que muy pocos países tienen.
—Pero todavía falta tipificar los ciberdelitos.
—La gran carencia está en que Uruguay no tiene todavía una legislación contra la ciberdelincuencia. De parte de nosotros, hemos estado apoyando y queremos apoyar a que exista y también al fortalecimiento de las capacidades del Estado en general.
—¿Cómo puede perjudicar eso en la cuestión de la ciberseguridad?
—Es muy sencillo. Es como que digas que tienes un problema de trata de personas y no tienes una legislación para la trata de personas. Si hoy en día soy víctima, me roban el dinero del banco, ¿tengo algún recurso judicial para recurrir? Probablemente no.
—Ese problema a nivel del Estado es mayor…
—Es muchísimo mayor. Ahora mismo lo que existe es una real desprotección de los ciudadanos en materia de ciberdelincuencia.
—Pensando en los gobiernos y en las instituciones del Estado, es una vulnerabilidad.
—Es una vulnerabilidad grande, porque todos los países vecinos ya tienen legislación de ciberdelincuencia, incluso tienen legislación alineada con el Convenio de Budapest, todos. Brasil era el único más resistente, pero ya tiene.
—¿Qué puede provocar que no haya una legislación que lleve a los delincuentes a la Justicia?
—Te hace un paraíso de criminales. Si sé que aquí no me pueden perseguir, me quedo. No voy a Paraguay, no voy a Argentina.
—Puede haber en este momento delincuentes que estén decidiendo quedarse acá.
—Claro.
—Que Uruguay no se haya adherido aún al Convenio de Budapest, que plantea cooperación, entre otras cosas, por más que haya recibido la invitación, ¿en qué perjudica al país?
—La adhesión a Budapest es un proceso que no es automático. En República Dominicana recibimos la invitación en 2008 y la formalizamos en 2013. Ustedes recibieron la invitación el año pasado. Para poder formar parte de la membresía primero tienen que tener una legislación, que tiene que cumplir con tres requerimientos básicos: primero, derecho penal sustantivo (que tenga las infracciones que se tienen que sancionar de acuerdo al convenio), segundo, medidas de derecho procesal penal que permitan a los fiscales investigar y asegurar la prueba electrónica y presentarla en un juicio y, tercero, las medidas de cooperación internacional. Una vez que existe la legislación que cumpla con las medidas, se puede pasar el proceso de ratificación, ser miembro total de la convención y beneficiarse de lo que eso representa. Sin menoscabo a eso, sé que el Consejo de Europa ha estado muy interesado en que Uruguay forme parte, por eso se han hecho varias misiones.
—¿Pero qué pierde Uruguay en concreto por no formar parte del Convenio de Budapest?
—Pierde primero en que el Convenio de Budapest es el único tratado legal que existe en materia de ciberdelincuencia, donde hay más de 60 países que forman parte. Eso significa que si hoy hay un caso de ciberdelincuencia, si tienen ley pero no son parte de Budapest, pueden por algún acuerdo con los vecinos solicitar una asistencia legal mutua y posiblemente la den. Sin embargo, si le piden cooperación a un proveedor en Estados Unidos, fácilmente (puede ser que) diga “ahora no” o responda en dos años.
—Entonces, ¿es posible que empresas en Estados Unidos no brinden datos a Uruguay si los solicita?
—Claro, como puede ser un gigante de Internet como Google o Facebook. Cuando se les solicita información, de las primeras cosas que evalúan es si ese país forma parte de Budapest, porque se han dado cuenta de que son Estados que tienen un Estado de derecho sólido y saben que pueden cooperar, darle información. Ese es uno de los principales puntos que facilita Budapest, que no solamente da la posibilidad de tener mejor cooperación con otros Estados, sino también con organizaciones del sector privado. Eso es importantísimo. Además, uno de los mejores puntos también permite a los países entrar en proyectos de capacitación en temas de ciberdelincuencia, en lo que tiene que ver con las pruebas electrónicas y la investigación de ciberdelincuencia. Eso permite a la policía o fiscales tener entrenamientos especializados en temas de criptomonedas, lavado de activos, trata de personas o cómo obtener la evidencia digital.
—Y eso aplica para todos los delitos.
—Si yo fuera un policía en la calle, tendría una gran dificultad. Esto empezó pensando en la ciberdelincuencia, pero hoy en día no hay una infracción, por más mínima o grande que sea, que no tenga un elemento de prueba electrónica. Si hay un caso de una persona secuestrada, fácilmente vas a tratar de acceder a la localización del celular, o si en un asesinato aparece un celular, es tener conocimiento de cómo vas a tratar el teléfono o sacar la información para buscar algún indicio.
—Que Facebook, por ejemplo, no envíe información solicitada por Uruguay, ¿puede perjudicar la persecución penal de otros delitos?
—Exactamente.
—Que el país no tenga aún una estrategia actualizada a largo plazo frente a la cibercriminalidad, ¿qué tan vulnerable lo hace a grandes ataques de organizaciones vinculados al cibercrimen?
—Del lado político, no hay una estrategia, pero se está trabajando en una que venga a dar ese salto que aquí se amerita de una mejor organización del sistema y obviamente que tenga esa visión a largo plazo que permita el desarrollo de la ciberseguridad de una manera constante y clara. Me preguntas qué tan vulnerable es, y el problema es que todos somos vulnerables, a mayor o menor grado. Puede que un país no tenga una estrategia, pero sí tenga medidas por ejemplo en su organización del Estado o del sector privado que permitan tener cierta tranquilidad. Pero, lamentablemente, la realidad en la que vivimos hoy es que a mayor nivel de transformación digital, de digitalización, mayor incidencia de la ciberseguridad en los problemas que se pueden causar en la sociedad.
—Y Uruguay tiene una digitalización muy grande.
—Exactamente. Ustedes son pioneros en la digitalización de América Latina y el Caribe y eso se debería corresponder con mayor ciberseguridad. Ahora es como que tengas una mesa con una pata coja, estamos muy bien pero entonces se puede tambalear un poco. Se debería corresponder con mayor ciberseguridad.
—¿Hay riesgo de que puedan suceder ataques grandes como el de Chile al Poder Judicial o el de Costa Rica?
—Exactamente.
—¿Con base en qué los delincuentes eligen los objetivos de los ataques?
—Hay ataques que tienen una intención que puede ser geopolítica y hay ataques que solo tienen una intención lucrativa. La mayoría de los incidentes tienen alguna connotación económica, y el mejor ejemplo es el ransomware. Pasó de ser puntual a ser el modus operandi más exitoso de la ciberdelincuencia, porque ese rescate es doble: por un lado, te chantajeo para decir “tengo tu sistema cifrado y si no me pagas no recuperas tus datos”, y si no también te publico en las redes que te robé la información y difundo la información privada para que sufras otro daño más. Entonces, o me pagas para recuperarla o me pagas para que no la divulgue.
—¿Es muy importante el monto de dinero que obtienen los ciberdelincuentes?
—Sí. El costo económico supera los cientos de miles de millones de dólares.
—¿Es más barato prevenir?
—Siempre es más barato prevenir. Hay muchas estimaciones que dicen que lo que tienes que invertir en seguridad versus recuperaciones es como de un 10 a uno.
—¿Qué tan importante es la interacción entre lo privado y lo público en estas cuestiones?
—No es importante, es esencial. El Estado tiene acceso a información y está viendo lo que está pasando en diferentes sectores y operadores. Si yo soy un banco del sector privado, estoy viendo lo que me pasa a mí, pero no necesariamente tengo esa visión más amplia. Entonces la cooperación entre el público y el privado es esencial. El Certuy puede ayudar a prevenir otros incidentes, al transmitir riesgos a otros bancos a nivel nacional e internacional, porque en general los mismos ataques los lanzan en varios países.
—En Uruguay, se registraron 4.169 ataques cibernéticos en 2022 y 3.948 en 2021. De un año a otro aumentaron los calificados de severidad “alta” o “muy alta”, que pasaron de ser el 1,3% al 3%. ¿Qué reflejan estas cifras?
—Esa tendencia es acertada. Se viene viendo desde hace muchos años y tiene parte de la razón de ser en la pandemia del Covid, porque todos nos vimos obligados a sufrir un mayor nivel de digitalización y los criminales lo sabían.
Información Nacional
2023-08-09T22:09:00
2023-08-09T22:09:00