Colombia, como todos los países del mundo, no es ajena a los desafíos en materia de ciberseguridad. La cantidad de ciberataques que se presentan en el país son alarmantes y han crecido exponencialmente desde 2022. El ministro de las TIC, Mauricio Lizcano, informó durante el evento de Asobancaria 2024, en Cartagena, que durante 2023 se presentaron 28.000 millones de ciberataques y en lo que va corrido del año hasta mayo de 2024 ya se contaban 20.000 millones. El desafío en ciberseguridad es mayúsculo.
Pero ¿qué hacer?
Para muchos analistas, lo importante es actuar de inmediato con las herramientas jurídicas existentes. Juan Manuel Ojeda, de Lloreda Camacho, explica que en 2022 el Ministerio de Tecnologías de la Información expidió el Decreto 338, que establece lineamientos para fortalecer la gobernanza de la seguridad digital, la identificación de infraestructuras críticas cibernéticas y servicios esenciales, la gestión de riesgos y la respuesta a incidentes de seguridad digital. Definió conceptos en materia de ciberseguridad y estableció una hoja de ruta de prevención y respuesta. “Sin embargo, en nuestra opinión, la norma se queda corta ante los desafíos actuales”, dice Ojeda.
El Gobierno ha mostrado también su interés en proteger las infraestructuras críticas de ataques cibernéticos, lo cual quedó plasmado en el proyecto del Plan Nacional de Desarrollo (PND). Con este se pretendía crear la Agencia de Seguridad Digital y Asuntos Espaciales, que tendría como principal propósito coordinar los asuntos de seguridad digital del país. Este artículo del PND no fue aprobado en el Congreso; no obstante, actualmente surten trámite en el Legislativo dos proyectos de ley que tienen la misma finalidad de crear esta agencia, uno de iniciativa gubernamental y otro de iniciativa parlamentaria.
En este sentido, Germán López, director de Asuntos Legales y Regulatorios en la CCIT y coordinador del TicTac, plantea que es fundamental promover la inversión en construcción de capacidades –tecnología y recursos humanos– con el fin de garantizar que los distintos actores del ecosistema digital cuenten con los recursos necesarios para responder a incidentes de ciberseguridad. “El país debe prepararse generando política pública que promueva la inversión tanto del sector público como el privado. De igual manera, es clave continuar en el ejercicio de adopción de mejores prácticas y estándares internacionales para garantizar que el país pueda enfrentar ciberamenazas de ámbito global.”
Por su parte, Juanita Acosta, socia de Dentons Cárdenas & Cárdenas, afirma que Colombia, en materia regulatoria, ha tenido tradicionalmente una posición reactiva ante los problemas de ciberseguridad, lo que llevó a desarrollar leyes para combatir los delitos informáticos que se enfocan en el aspecto penal. Por ejemplo, se reguló el acceso abusivo a un sistema informático, el robo de información, los daños a sistemas informáticos y el robo de activos con medios informáticos.
“Esta actitud reactiva, no solo en materia regulatoria, sino también en la implementación de medidas para combatir la ciberdelincuencia, desafortunadamente hace que los ciberdelincuentes, quienes no paran de integrar las nuevas tecnologías en sus actividades, estén un paso adelante y que la normativa sea insuficiente para combatirlos en varios casos”, dice Acosta.
Andrés Fernández de Castro, de Gómez Pinzón, comenta que “muchas de las empresas, y el Estado mismo, aún abordan los temas de seguridad de la información como un asunto por fuera de sus principales prioridades”. Para muchos, es cuestión de costos. Fernández de Castro asegura que la ciberseguridad suele tratarse de una manera reactiva y no con un énfasis preventivo. “Eso contribuye a que se pierda la oportunidad de anticiparse a los riesgos existentes, o que, al momento de concretarse dichos riesgos, las organizaciones no estén preparadas para abordarlos a través de medidas de contención y mitigación de futuras situaciones similares”.
Para Fernández de Castro, los administradores en las organizaciones consideran que la seguridad de la información es algo muy costoso para los beneficios que trae y eso ha demorado la implementación de estrategias.
Según Ojeda, la realidad es que Colombia no está preparada para prevenir y enfrentar ciberataques de gran envergadura. “El National Ciber Security Index (NCSI) posiciona a Colombia en el puesto 69 entre 175 países en cuanto a sus capacidades para prevenir y responder ante ataques cibernéticos, entre otros aspectos”.
Proteger los datos personales
Por su parte, María Alejandra de los Ríos, de Lloreda Camacho, comenta que varios países de la región cuentan con regulaciones que buscan garantizar un adecuado tratamiento de datos. “Colombia, por ejemplo, desde 2012 tiene una ley estatutaria en la materia. Argentina, Brasil, Perú, México, Uruguay, Chile y Ecuador, por ejemplo, cuentan con regulaciones también, algunas más robustas que otras, y algunas bastante nuevas y en vías de implementación. Existe, además, la Red Iberoamericana de Protección de Datos, que propende por la cooperación y el intercambio de conocimientos en materia de privacidad entre los países de la región”.
A este respecto, Fernández de Castro subraya que, “desde lo jurídico, es pertinente analizar la conveniencia de la revisión de las normas de protección de datos personales vigentes en el país para adecuarlas a las realidades actuales y los avances tecnológicos que se han surtido desde su última revisión. Pero más importante aún es que las distintas organizaciones asuman un compromiso verdadero en materia de cumplimiento normativo, de manera que esta materia cobre la relevancia que merece y se tomen medidas efectivas que promuevan la seguridad de la información administrada.”
Así lo corrobora Germán López, de la CCIT, al acotar que “es fundamental continuar fortaleciendo las capacidades de respuesta de las autoridades con el fin de garantizar que dichas disposiciones se materialicen plenamente y se garanticen espacios digitales seguros para todos los ciudadanos”.
Colombia está en una carrera contra el tiempo para mejorar sus prácticas de ciberseguridad, crear conciencia en la población sobre la importancia de estas acciones, implementar tecnología apropiada que permita responder con mayor eficiencia y, sobre todo, prevenir ataques cibernéticos, compartir experiencias con otros países y tomar de ellos lo que técnicamente sea aplicable. Adicionalmente, destinar recursos suficientes para proteger las infraestructuras críticas del país vulnerables a los ciberataques.