El reciente ataque al sistema informático de la Legislatura Porteña es sólo un eslabón de una larga cadena de hackeos a organismos públicos. Crece el consenso para actualizar una ley que quedó obsoleta.

La Ley 25.326, de Protección de Datos Personales, sancionada en el comienzo del milenio, fue una ley innovadora y pionera en la región latinoamericana que establecía la obligación de preservar y resguardar los datos personales de una manera tal que se garanticen los derechos al honor y a la intimidad de las personas.

Sin embargo, esas buenas intenciones que funcionaron aceptablemente durante los primeros años del 2000, quedaron totalmente desfasadas con la aparición y auge de las redes sociales y la digitalización de la vida diaria, exacerbada, en particular, luego de la crisis por el Covid-19.

Hoy, países como Brasil y Chile poseen una legislación comparada muy superior en la materia y por ello, en el año 2018, el Poder Ejecutivo presentó un proyecto de ley ante el Congreso para actualizar la norma vigente. Este cambio aún no ha obtenido ningún avance significativo a pesar de los numerosos ataques que sufrieron la administración pública nacional y provincial y una buena cantidad de empresas privadas.

En ese contexto, la Agencia de Acceso a la Información Pública publicó en el Boletín Oficial del lunes 12 de septiembre, la Resolución AAIP 119 con la que da inicio a la consulta pública sobre la propuesta de actualización de Ley 25.326 de Protección de Datos Personales.

El objetivo, señala la publicación, “es garantizar la efectiva participación de la ciudadanía de acuerdo a lo establecido en el Reglamento General para la Elaboración Participativa de Normas, establecido en el Anexo V del Decreto 1172/03”.

La consulta estará disponible del 12 al 30 de septiembre inclusive y se pueden enviar aportes y opiniones en el sitio web de la Agencia.

Ahora bien, la situación en la que se encuentra la cuestión es gravísima.

No sólo por el reciente hecho acaecido en la Legislatura Porteña que está bajo investigación sino por una larga lista de ciberataques a instituciones del sector público.

Datos disponibles de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), fechados a mediados del año pasado, indican que los casos asociados a la cibercriminalidad aumentaron cerca de 465% respecto al año anterior.

Mientras que Gustavo Sain, director de Ciberseguridad del Gobierno nacional, reconoce la situación al expresar en declaraciones públicas, “el incremento de incidentes de seguridad informática creció cerca de un 260% en un año y se debe, principalmente, a la tendencia, a nivel global, de utilización de TICs durante la reciente pandemia, que generaron el riesgo de un mayor nivel de ciberdelitos y de incidentes en seguridad informática”.

Nuestros datos no están seguros ni en el sector público ni en el privado.

Hace unas semanas, la empresa de medicina prepaga OSDE explicó, a través de posteos en sus redes sociales, que había sido víctima de un ataque y muchas historias clínicas y otros documentos se convirtieron en moneda de cambio en la deep web.

Algo similar a lo que le sucedió a los agentes públicos del Senado de la Nación el pasado 11 de marzo, cuando se publicaron los datos del sistema informático del Senado de la Nación y se filtraron números de DNI, firmas a mano alzada, licencias de conducir, CUIL de varios agentes públicos y un largo etcétera. Esto ocurrió a través del grupo Vice Society, que utiliza técnicas de ransomware, un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado

Eventos similares sucedieron con las filtraciones realizadas en los sistemas de la Dirección Nacional de Migraciones, el RENAPER, Registro Nacional de las Personas, la Policía Federal, entre otras organizaciones.

La sombra de los hackers en la cuarta revolución industrial

Estos casos que atormentan a los argentinos son similares a los que suceden en otras partes del planeta. En economías desarrolladas el sector privado invierte fortunas para asegurar los datos de sus afiliados y tratar de evitar filtraciones.

Un ejemplo es lo que sucedió con la compañía tecnológica con sede en Corea del Sur, Samsung Electronic o la multinacional estadounidense Nvidia, referente en la fabricación de chips gráficos y con una capitalización que ronda los 600.000 millones de dólares.

El grupo de hackers conocido como LAPSUS$ vulneró sus sistemas, en el caso de Nvidia durante los últimos días de febrero y en el caso de Samsung durante los primeros días de marzo, y compartió 190 GB de datos de la compañía surcoreana a través de un canal deTelegram. Según los hackers se incluiría información sobre los sistemas biométricos de autenticación o capacidades para saltarse los sistemas de seguridad de los smartphones.

Llegados a este punto es difícil prever el comportamiento o los objetivos de este grupo de hackers.

La Dra. Latika Kharb del Japan Institute of Managment studies describió, “El delito cibernético es el uso de computadoras y redes para realizar actividades ilegales, como la propagación de virus informáticos, el acoso en línea, la realización de transferencias electrónicas de fondos no autorizadas, etc. La mayoría de los delitos cibernéticos se cometen a través de Internet. Algunos delitos cibernéticos también pueden llevarse a cabo utilizando teléfonos móviles a través de SMS y aplicaciones de chat en línea”.

Estos escenarios no estaban presentes cuando se sancionó la actual ley de Protección de Datos en Argentina. Existe un consenso generalizado entre los expertos en informática en actualizarla cuanto antes para evitar pagar mayores costos en el futuro próximo.