Cargando...
Curiosamente el 30 de noviembre se celebraba mundialmente el “Día de la Seguridad Informática”, una efeméride impulsada por la Association for Computing Machinery (ACM). Esta fecha tiene como objetivo concientizar sobre los ciberataques y delitos informáticos, así como resaltar la importancia de proteger los datos personales en el ámbito digital. La conmemoración recuerda el primer caso de malware de propagación en red registrado en el mundo, conocido como el “Gusano de Morris”.
Muchas cosas se han dicho respecto a la gestión de los sistemas policiales que permitió la comisión de estos hechos delictivos, por eso consideré que es importante compartir algunos conceptos que tienen que ver justamente con la Seguridad Informática, que celebrábamos el 30 de noviembre próximo pasado, con la Seguridad de la Información y con la Ciberseguridad, tres aspectos fundamentales y totalmente descuidados en las estructuras del Estado paraguayo.
¿Fue “hackeada” la red de Interpol Paraguay?
La respuesta corta es “no”. La respuesta larga es: el Hacker no es un delincuente, o ciberdelincuente, por lo que la pregunta debiera ser: ¿fue “vulnerada” la red de Interpol Paraguay? La red no fue vulnerada con un ataque, con un acceso indebido por Ingeniería Social o con un Malware, no, lo que fue vulnerado fue el acceso al sistema de notificación, alta y baja de códigos de búsqueda de personas desde el uso irregular de una identidad válida, un usuario real, debido a la administración negligente, descuidada y desordenada de los responsables de TI y, opinión personal, del mismo portador de la identidad y luego explico por qué.
¿Es tan fácil vulnerar los controles en este tipo de sistemas?
No. Un sistema crítico, como lo es cualquiera de los sistemas de las fuerzas de seguridad de la Nación, no solo debe cumplir lineamientos locales, que de hecho Paraguay tiene, sino que debe cumplir, en base a tratados internacionales a los cuales nuestro país está suscripto, con buenas prácticas internacionales que garanticen en todo momento la robustez de las infraestructuras informáticas, de red, de control de accesos, etc. En todo momento deben quedar claros los mecanismos que salvaguardan los activos físicos y digitales de la ciudadanía.
¿Qué tipos de recomendaciones en los controles y administración deberíamos encontrar en una estructura policial?
- Implementar un firewall robusto tanto entre la red policial y las redes externas, como entre los diferentes segmentos dentro de la red. Debe haber controles estrictos sobre qué tráfico entra o sale de la red y entre los diferentes segmentos.
- Configurar VLANs y ACLs para separar el tráfico y segregar aún más los diferentes componentes/aplicaciones de la red. Por ejemplo, los servidores deben estar en VLANs separadas de las estaciones de trabajo.
- Configurar VPNs seguros para el acceso remoto a la red policial. Utilizar protocolos robustos para cifrar los datos. Autenticar y autorizar estrictamente a los usuarios remotos.
- Implementar autenticación de múltiples factores para acceder a aplicaciones y datos sensibles.
- Habilitar el cifrado de los datos sensibles tanto en reposo como en tránsito. Cifrar unidades y bases de datos. Utilizar protocolos seguros como HTTPS/TLS para el tráfico de datos.
- Mantener software y parches al día en todos los sistemas para evitar vulnerabilidades conocidas.
- Utilizar soluciones de detección y prevención de intrusiones para monitorear y detectar actividades maliciosas.
- Brindar capacitación de conciencia en seguridad al personal que utiliza la red policial. Establecer y hacer cumplir políticas y prácticas de uso aceptable.
¿Qué dice Interpol con respecto al manejo de los códigos de notificación?
Ahí es donde se pone más linda la situación, porque Interpol es bastante claro con respecto a cómo se manejan estos códigos.
Si visitamos el sitio: https://www.interpol.int/es/Como-trabajamos/Notificaciones/Notificaciones-rojas, vamos a encontrar esta importantísima información:
¿Qué es una notificación roja?
Es una solicitud dirigida a las fuerzas del orden de todo el mundo para localizar y detener provisionalmente a una persona a la espera de su extradición o entrega, o de una acción judicial similar. Se fundamenta en una orden de detención o en una orden judicial expedida o dictada por las autoridades judiciales del país solicitante. Los países miembros aplican su propia legislación nacional para determinar si pueden detener a una persona.
Contiene dos tipos principales de información:
Información para identificar a la persona buscada, como nombre, fecha de nacimiento, nacionalidad, color de pelo y ojos, fotografías y huellas dactilares, si se dispone de todos estos datos.
Información relacionada con el delito por el que es buscada, que a menudo es asesinato, violación, abuso de menores o robo a mano armada.
Las notificaciones rojas, que INTERPOL publica a petición de los países miembros, deben ajustarse a las disposiciones del Estatuto y los demás textos normativos de INTERPOL.
¿Estas personas son buscadas por INTERPOL?
No: son buscadas por un país o por un tribunal internacional.
INTERPOL no puede obligar a las autoridades encargadas de la aplicación de la ley de ningún país a detener a una persona objeto de una notificación roja.
Cada país miembro decide qué valor jurídico otorga a una notificación roja, y cuál de sus organismos encargados de hacer cumplir la ley puede llevar a cabo las detenciones.
¿Qué personas son objeto de notificaciones rojas?
Prófugos buscados para su enjuiciamiento o para cumplir una condena por delitos graves de derecho común, como asesinato, violación o fraude. Es la etapa siguiente a las diligencias penales instruidas en el país que emite la solicitud, que no siempre es el país de origen de la persona.
Si se busca a la persona para su enjuiciamiento, ello supone que aún no ha sido condenada y debe ser considerada inocente hasta que se pruebe lo contrario. Si la persona es buscada para cumplir una condena, esto significa que ya ha sido declarada culpable por un tribunal del país que solicitó la publicación de la notificación roja.
¿Qué verificaciones se efectúan antes de publicar una notificación roja?
Todas las solicitudes de publicación de notificaciones son revisadas para comprobar su conformidad con la normativa de INTERPOL por nuestro Grupo Especializado en Notificaciones y Difusiones, que es plurilingüe y multidisciplinar y está compuesto por juristas, policías y especialistas en operaciones.
Cuando evalúa la conformidad de una notificación, este grupo estudia toda la información disponible en ese momento; por ejemplo, la información facilitada por la Oficina Central Nacional solicitante, por otros países miembros, o procedente de fuentes abiertas.
Si se considera que una notificación o difusión ha dejado de cumplir el Estatuto o algún otro texto normativo de INTERPOL, se anula. En ese caso, la decisión se comunica a todos los países miembros y se les solicita que eliminen de sus bases de datos nacionales toda información que pueda estar relacionada con dicha notificación o difusión.
¿Esto que vemos con las detenciones es todo?
No. Bajo ninguna circunstancia estas detenciones pueden significar un alto en la lucha contra la corrupción. Que el dueño de la identidad usada para vulnerar el sistema desconozca que su identidad haya quedado activa no lo exime de responsabilidad sobre sus datos y esa es una recomendación para toda la ciudadanía: JAMÁS se retiren de un lugar donde hayan usado su nombre y apellido alienado con un recurso digital público o privado sin asegurarse que esta identidad fue dada de baja y que esta seguridad les sea entregada por escrito. Sí, así como oyen, ejerzan su derecho a tener trazabilidad sobre sus datos, a actuar como dueños de sus datos y tener la potestad siempre de actuar y decidir sobre ellos.
Falta mucho aún con esta situación que nos ha vuelto el hazmerreír mundial, pero aquí necesitamos mano fuerte y que se ordene una auditoría general de los últimos años de ser posible y que las sucesivas cabezas de los Ministerios del Interior, de la Policía, den explicaciones.