Durante los últimos años, Argentina ha sufrido graves incidentes de seguridad informática que afectaron tanto al sector público como al privado. Solo entre abril de 2020 y marzo de 2021, la Unidad Fiscal Especializada en Ciberdelincuencia registró 14.583 reportes de casos asociados a la cibercriminalidad, un 465% de aumento con respecto al año anterior.

Para alertar a la sociedad acerca de la necesidad de exigir la protección de datos personales y de apoyo a los usuarios que denuncian vulnerabilidades en los sistemas digitales del Estado, se creó el proyecto #DatosEnFuga.

#DatosEnFuga es una iniciativa de las organizaciones Democracia en Red, Fundación Vía Libre y el Observatorio de Derecho Informático Argentino, que busca que el Estado asegure estándares de ciberseguridad y deje de perseguir penalmente a quienes identifican, denuncian y reportan vulnerabilidades informáticas.

Proyecto #DatosEnFuga. (Video: YouTube/DatosEnFuga)

Agustín Frizzera, director de Democracia en Red, explicó: “El proyecto busca promover y establecer una política pública de protección de los activos digitales en poder del Estado y generar un entorno que ofrezca cobertura legal y técnica a las personas que realizan denuncias sobre las vulnerabilidades informáticas”.

Los organizadores del proyecto creen que existen tres motivos fundamentales para comenzar a abordar este importante tema:

  • Las filtraciones que sufrieron diversas reparticiones del Estado en el último tiempo hace suponer que sus sistemas son vulnerables.
  • La ciudadanía está cada vez más demandada de datos y a la vez se encuentra más expuesta al mal uso de esta información.
  • Se persigue penalmente a activistas de la comunidad de seguridad informática que reportan errores y espacios vulnerables en los sistemas del Estado.

Tomás Pomar, presidente del Observatorio de Derecho Informático Argentino, afirmó: “Muchas empresas y organismos públicos no cumplen con los mínimos estándares globales de seguridad informática. La seguridad informática es un derecho que tenemos que exigirles a todas las personas que tengan bajo su cuidado una base de datos, ya sea del ámbito público o privado”.

Fuga de datos personales en la Argentina: se registraron más de 14.000 reportes en el último año

En cuanto a las características del proyecto, María Trevisani, responsable #DatosEnFuga, aclaró que se trata de una iniciativa multisectorial que involucra al ámbito judicial, a especialistas en informática y a la sociedad en general, dadas las implicancias personales: “Nadie toma real relevancia de lo que conlleva que nos roben los datos, que usurpen nuestra identidad, cuando se habla de seguridad siempre se piensa en la seguridad física y este otro aspecto parece perder importancia”.

El proyecto hace especial hincapié en los casos de personas que reportan irregularidades informáticas y automáticamente se convierten en sospechosos de un delito.

“Al que denuncia le va mal y todo esto atenta contra la solución del problema. La protección de datos personales es una parte esencial en el ejercicio de la privacidad, intimidad y a la autodeterminación informativa”, señaló Frizzera.

Los incidentes de seguridad de la información y la filtración de datos personales

El concepto específico para referirse a los problemas técnicos en seguridad de la información es “incidente”. Un incidente por definición es un evento o conjunto de eventos no deseados que pone en peligro la integridad, la confidencialidad o la disponibilidad de la información, e incluye las transgresiones a una política de seguridad de la información, o política de uso aceptable, sin tener en cuenta si el evento fue intencional o no, ni si su origen es interno u externo. Ejemplos de transgresiones son compartir claves, utilizar recursos de una organización para fines personales, entre otros.

Fuga de datos personales en la Argentina: se registraron más de 14.000 reportes en el último año

Analizados desde la seguridad de la información, prevenir este tipo de incidentes requiere de todos los procesos, procedimientos y tecnología que requiere la protección de la información corporativa, aunque el análisis de riesgos en la protección e inversión viene generalmente derivado del cumplimiento legal en el marco de la legislación en Protección de datos personales, en Argentina, la Ley 25326 y sus normas reglamentarias y complementarias.

La respuesta ante este tipo de incidentes requiere de un componente técnico para conocer cuál fue la causa raíz que permitió la ocurrencia del incidente, identificar responsabilidades y verificar que la organización tomó las acciones para que no vuelva a ocurrir.

Por último, si existiera una exposición pública de claves y cuentas de correo, utilizadas para acceder a un servicio, la recomendación debería ser cambiar la clave de inmediato.