¿Qué nos enseña el ciberataque sobre seguridad digital?

Completamos una semana de ciberataque a numerosas páginas del Estado, lo que ha limitado el acceso a servicios a los ciudadanos, no solo de entidades del Gobierno, sino particularmente de la Rama Judicial.

 

El Consejo Superior de la Judicatura informó en su momento que IFX Networks Colombia, empresa que provee infraestructura de nube para operar soluciones tecnológicas a la Rama Judicial, sufrió un ataque tipo ransomware, lo que generó, además de indisponibilidad en varias plataformas de servicios de justicia, la incertidumbre sobre los datos capturados.

 

Si bien se suspendieron términos hasta hoy miércoles 20 de septiembre, las decisiones tomadas en distintos niveles de la justicia muestran que no estábamos preparados para un evento de tal magnitud

 

Vale citar un ejemplo, a pesar de la suspensión de términos, se ordenó seguir adelante con las audiencias (el Consejo Superior dio pautas para realizar audiencias virtuales en esta contingencia). Para algunos abogados, como los servicios judiciales están en varias páginas, la mayoría interconectadas, se debería actuar como ocurrió en pandemia, entendiéndose por suspensión de términos también suspensión de procesos, tal como se interpretó desde el primer acuerdo expedido en aquella pandemia (PCSJA20-11517).

 

La reacción del Gobierno

El ministro de las TIC, Mauricio Lizcano, confirmó que tomará acciones legales contra la compañía IFX Networks, por los perjuicios causados a las entidades estatales.

 

 

«IFX Networks deberá responder por los perjuicios causados a todos los colombianos. No toleraremos compromisos incumplidos en seguridad cibernética»: @MauricioLizcano, #MinistroTIC.

— Ministerio TIC (@Ministerio_TIC) September 19, 2023

 

 

Adicionalmente, en una reciente entrevista, manifestó que “ayer la empresa dijo que los datos no se filtraron, en un principio esto era cierto, pero verificamos y ya hay alguna información que está en la dark web, incluso una vez IFX dio este anuncio a las dos horas en la dark web ya estaban ofreciendo una parte de información de los hospitales. La inteligencia del Gobierno identificó información en la dark web”.

 

Finalmente, anunció que expedirá reglamentaciones desde su cartera para evitar este tipo de casos, lo que insinúa inicialmente es que el Estado no contratará a la misma empresa para alojar su información.

 

En ÁMBITO JURÍDICO invitamos a diez expertos para que nos compartieran sus puntos de vista y nos amplíen el contexto de lo que sucedió y las consecuencias y soluciones a este ciberataque.

 

Juan Pablo Salazar, abogado y conferencista en temas tecnológicos y de ciberseguridad, explica qué es un ataque tipo ransomware, sus consecuencias y cómo se logra encriptar toda la infraestructura para que nadie puede tener acceso a ella. Resalta la importancia de la implementación y aplicación de una cultura de ciberseguridad en las organizaciones y la relevancia de la soberanía de los datos.

 

 

Andrés Felipe Ángel, Director de SL Legal + Tecnología, FIP de la IAPP, explica cómo presuntamente sucedió el ataque y dejó ver la vulnerabilidad de nuestra infraestructura digital. Adicionalmente, comparte varias lecciones importantes de esta situación.

 

 

Bayron Prieto, Director General de Ediligence SAS y perito informático, manifestó que no se debe satanizar el uso de las tecnologías de la información en la justicia, resaltó el aporte que le hace e hizo un llamado para que se invierta el capital necesario para lograr un control robusto y eficiente de la seguridad que permita la disponibilidad de la información y evitar su filtración.

 

 

Para Sol Beatriz Calle D’Aleman, socia de la firma Velasco & Calle D´Aleman, tanto las entidades públicas como privadas deben implementar un programa integral de gestión de datos personales, en donde uno de sus elementos importantes sea el manejo que se le debe dar a los encargados del tratamiento de los datos. Desde su punto de vista, estos terceros proveedores requieren auditoría que prevenga incidentes de seguridad. 

 

De acuerdo con Arean Velasco Melo, socio de la firma Velasco & Calle D´Aleman, solamente se va a saber lo que ocurrió con IFX cuando se tenga los resultados del análisis forense, en ese documento deberá estar la manera en la que ocurrió el ataque, la causa raíz, los indicadores de compromiso y de allí deberá surtirse un proceso orientado a fortalecer la gestión.  

 

 

¿Qué implicaciones en materia procesal se han generado a partir del ataque?

Jairo Parra cuadros, socio en Parra Quijano & Cuadros Abogados e integrante del ICDP, explica las diferentes decisiones que se han tomado, tanto por parte de la Rama Judicial, la SIC y la Corte Suprema de Justicia.

 

En relación con la directriz del presidente del Consejo Superior, deja presente que el juez en cada caso debe analizar si adelanta o no la audiencia. Puso de presente que la suspensión de términos realizada por el Consejo Superior no incluyó el 12 y 13 de septiembre, pese a que en esos dos días no se encontraban disponibles los servicios digitales de la Rama, lo que genera que las fijaciones y traslados que se hicieron de forma física en ese tiempo no sean válidas desde el punto de vista procesal.

 

 

¿El Estado colombiano tiene algún tipo de responsabilidad sobre el ataque?

De acuerdo con Daniel Peña Valenzuela, Socio de Peña Mancero Abogados, director de la Línea de Investigación en Comercio Electrónico y Tecnologías Emergentes del Externado, no se debe soslayar la posible y potencial responsabilidad del Estado Colombiano en el incidente digital en la etapa de prevención, mitigación, reacción y de reparación.

 

Recordó que IFX es un proveedor de servicios al Estado, por lo que la responsabilidad no solo sería del contratista. Sumado a ello, manifiesta que lo ocurrido demuestra una falta de preparación de Colombia en este tipo de temas y la necesidad de tener una agencia digital.

 

Recomendaciones de los expertos para disminuir los riesgos de tener un incidente de seguridad

Ana María Cárdenas Ostos, abogada asesora en temas de ciberseguridad, protección de datos personales y responsabilidad demostrada, expresó que los vectores de ataques de los ciberdelincuentes avanzan junto a la tecnología porque lo que sería imposible decir que alguien se encuentra exceptuado de sufrir un ataque por parte de ellos.

 

Por esta razón, hace cinco recomendaciones desde un componente de cumplimiento, para tener en cuenta en el momento en que se presente un ataque de ciberseguridad.

 

Ferney Andrés Alvarado, Fundador y Director de ABIT CO y Presidente ISACA Medellín, recomienda modificar las estrategias de ciberseguridad y fortalecer las resiliencias cibernéticas en las compañías creando una cultura de seguridad de la información, iniciativa que debería surgir de la junta directiva, principal responsable del riesgo cibernético, este ente social es quien debe garantizar que los recursos necesarios estén disponibles y vigilar cómo desde la administración se está gestionando el riesgo cibernético.

 

 

¿Qué viene después del ciberataque?

Oscar Salazar Rojas, abogado certificado en seguridad de la información, ciberseguridad y docente de la Universidad de Los Andes, expresó que algunas entidades públicas afectadas pueden estarse planteando la idea de decretar urgencia manifiesta, pues esta figura jurídica en caso de un ciberataque se basa en la necesidad inmediata de responder a una situación que amenaza la continuidad de un servicio esencial o la seguridad de la información, información que en muchos casos compromete derechos fundamentales de los ciudadanos como el derecho a la salud.

 

Finalmente, considera que un ciberataque puede ser considerado una situación de fuerza mayor, ya que, aunque es algo previsible, su materialización puede interrumpir la prestación de servicios esenciales, como el acceso a la justicia y a la salud.

 

 

Gracias por leernos. Si le gusta estar informado, suscríbase y acceda a todas nuestras noticias y documentos sin límites. www.ambitojuridico.com/suscribete.

Paute en www.ambitojuridico.com/paute-aqui.