Aspectos positivos y negativos del Plan de Ciberseguridad en Paraguay

El propósito de este análisis es presentar los aspectos mas relevantes del Plan Nacional de Ciberseguridad con perspectiva de derechos humanos e interés público, con miras a conversar y discutir sobre el tema en foros locales e internacionales.

Antecedentes

El Plan fue coordinado por el Centro de Respuestas a Incidentes Cibernéticos (CERT) de SENATICs con el apoyo del Programa de Seguridad Cibernética de la Secretaría del Comité Interamericano contra el Terrorismo (CICTE) de la Organización de los Estados Americanos (OEA). Durante el 2015 se desarrolló un encuentro y se realizaron varias reuniones de consulta pública a grupos interesados de la sociedad civil, academia, empresas y gobierno para la construcción del borrador. Nuestra organización TEDIC, fue uno de los invitados para colaborar en su desarrollo.

En ese contexto, en junio de este año, publicamos nuestras observaciones y nuestras preocupaciones con respecto al plan, así como propuestas y desafíos en torno al mismo. Nuestros comentarios al borrador oficial fueron entregados oficialmente a la coordinación gubernamental y compartidos en nuestras redes sociales.

El Plan en su estado actual

Actualmente el Plan Nacional de Ciberseguridad se encuentra esperando recibir la firma del decreto por parte del representante del Poder Ejecutivo. El Plan tendrá una duración de 3 años a partir de su vigencia y se divide en las siguientes 6 secciones: Diagnóstico sobre la Ciberseguridad, Principios Orientadores, Ejes y Objetivos del Plan, Sistema Nacional de Ciberseguridad, Monitoreo y Evaluación y Revisión del Plan.

Aspectos positivos

Destacamos algunos puntos positivos del Plan al igual que las modificaciones que se tomaron a partir de los comentarios que se realizaron. Entre las más importantes son:

1) Coordinación por autoridades civiles. El Plan se encuentra liderado por una institución no militar o de inteligencia, situación que se observó en otros países de la región. Esperamos que en el transcurso de la implementación siga con la misma lógica.

2) En la versión final, se destaca un modelo “híbrido” de participación en el plan a través de grupos de trabajo temáticos que podrán ser integrados por la academia, empresas y sociedad civil. Es decir, que no se plantea un modelo exclusivamente estatal ni tampoco el modelo de múltiples partes interesadas (multistakeholder) que había propuesto TEDIC, donde las diferentes instituciones dialogarían de forma horizontal. Por su parte, la Comisión Nacional del Plan: establecerá los criterios de selección de las Instituciones y los individuos que conformarán los grupos de trabajo, según áreas y productos finales deseados”. Esto posibilita una participación activa por diferentes actores para colaborar en el plan.

3) El término hacktivismo”1 fue subsanado en esta versión final. El borrador del Plan de Ciberseguridad planteaba el hacktivismo como algo exclusivamente negativo, sin presentar ningún tipo de evidencias y celebramos la remoción del mismo.

4) Se unificaron los términos como: “delitos informáticos”, “ciberdelitos” y “delitos cibernéticos”.

5) Se incluyó en el resumen ejecutivo, antecedentes de vigilancia estatal de las comunicaciones en Paraguay. Sin embargo, se observa una gran ausencia de cómo mitigar esta situación de abusos y futuros abusos en el plan. Es indispensable que desde  este Plan, se generen políticas de monitoreo y evaluación del uso de tecnologías de vigilancia, que deberían ser conducidas por organismos del Estado paraguayo.

6) Se destaca que en la versión final se incluyeron evidencias y fuentes bibliográficas para respaldar la narrativa.

7) También se incluyeron las características de los componentes técnicos de la definición de Ciberseguridad: la confidencialidad, integridad y disponibilidad de la información. Sin embargo no se desarrollan.

8) Economía digital, se refina la responsabilidad del sector de empresas de software y digitales, como fuente generadora de vulnerabilidades tanto por desarrollar sistemas débiles, falta de mantenimiento del hardware y software, y otro tipo de negligencias.

Retos y desafíos

Además de estos aspectos positivos, encontramos una serie de retos y desafíos para mejorar el Plan y potenciar su aplicación. Para ello hemos enumerado una lista no exhaustiva, se debería de tener en cuenta, según nuestra perspectiva:

1) El concepto de “Ciberseguridad”: fue definido al principio del documento oficial en su primera versión, generando conflictos de enfoque: se refería principalmente a los aspectos tecnológicos. Actualmente la definición se encuentra en el “Anexo Glosario” y mantiene el mismo problema, ya que no ubica a la persona como sujeto y centro de la política de protección. Es decir, el Estado genera políticas públicas para defender a sus habitantes y su economía a través de la tecnología, pero la definición actual de Ciberseguridad refiere a la protección de la información en el medio informático. Ver mas comentarios in extenso al respecto en nuestro anterior comentario2. Sería más conveniente utilizar el término “Seguridad Digital”, sugerido por la OCDE.

2) Si bien se unificaron y se definieron algunos los términos que incluyen el prefijo “ciber”, no se hizo lo propio con el concepto de “Ciberdelincuencia” que no se encuentra definida (Ver eje V). Tampoco queda claro el término “Cultura Cibernética”.

3) Se introduce el concepto de derechos humanos y su protección, en la parte dogmática del documento oficial. Sin embargo no se contemplan políticas para la defensa de la privacidad y libertad de expresión de los usuarios, ni sobre las medidas de vigilancia llevadas a cabo por el propio Estado respecto de sus ciudadanos, entre otros.

4) A primera vista se lanzan propuestas que parecen necesarias e indispensables, pero que se muestran muy generales como la adhesión a la Convención de Budapest. Este documento despierta muchas controversias y se encuentra en discusión a nivel mundial. Por lo tanto, es importante realizar un análisis previo. Además como se cita en el Plan,  nuestro código penal ya incluye una adecuación a dicho convenio.

5) Cooperación Internacional, el Plan contempla mecanismos para prevenir, investigar y prevenir penalmente los delitos informáticos (Ver 5d del Anexo), sin incluir aspectos mas concretos en los otros pilares que sostienen a la “ciberseguridad”, como economía digital y derechos humanos. Como por ejemplo: evaluación regional o global del impacto de los derechos humanos y economía digital. Solicitar al programa de ciberseguridad de la OEA la consulta y colaboración con alguna de sus dependencias para que sus recomendaciones estén alineadas con los estándares en materia de libertad de expresión y derecho a la intimidad elaborados por la Comisión y la Corte Interamericana de Derechos Humanos y la Relatoría Especial para la Libertad de Expresión de la CIDH.

6) Narrativa de Crisis: la narrativa de inminente crisis se mantiene en la versión final. Se genera un lenguaje cargado, de sensación de alarma y que a la vez nubla la necesidad objetiva y evidente de fundamentar los peligros que nos ocupan. Además confunde el debate al combinar diferentes retos: i) Por un lado se cita la amenaza donde la tecnología es parte integral del riesgo. Es decir se refiere a ataques a la infraestructura crítica, ataques DDoS, espionaje, daño o acceso indebido a datos, a equipos o a redes. ii) Por otro aparecen las amenazas, en que la tecnología es simplemente un medio. Ejemplos de esto serían la pornografía infantil, la distribución de correos no deseados, la planificación del robo a un banco, etc..

Comentarios finales

Estos elementos expuestos generan dudas respecto a cómo serán desarrolladas posteriormente y en detalle. Esta mas que decir, que acompañamos la propuesta del Poder Ejecutivo porque para nosotros significa una importante herramienta que servirá como diagnóstico, visibiliza una hoja de ruta, ordena elementos y situaciones reales que a la vez evidencia aquello que es preciso incorporar.

Sin embargo el desafío está en suplir falencias, entre ellos incluir los elementos que son propias de la Seguridad digital o Ciberseguridad, evitando mezclar aspectos que son tecnológicos exclusivamente, con elementos que utilizan tecnología o inclusive corresponden a otras áreas..

 

 

 

1Cory Doctorow, Pirate Bay to Anonymous: DdoS is censorship, cut it out, BoingBoing 1 May 2012. Y Jay Leierman, Justicie for the PayPal Wikileaks protesters: why DdoS is free speech, The Guardian, 22 de enero 2013.

2TEDIC, Comentarios sobre el término de Ciberseguridad en el borrador del plan nacional de ciberseguridad Paraguay. 2016 https://www.tedic.org/wp-content/uploads/sites/4/2016/06/observaciones-sobre-el-plan-de-ciberseguridad_v14jun-.pdf