En los últimos días hemos sido informados acerca de un ataque cibernético a IFX Networks, empresa que a su vez es prestadora de tecnología a más de 30 entidades del Estado, incluida la Rama Judicial y algunas superintendencias.

Por lo anterior, algunos de los servicios informáticos de tales autoridades dejaron de operar y fue necesario suspender algunos términos en sus actuaciones administrativas y judiciales. Igualmente, los medios de comunicación han afirmado que se está exigiendo un rescate millonario por la información que ha sido capturada por los hackers.

Varios entidades del Estado se vieron afectadas. | Foto: Getty Images

No obstante, quizá ha pasado inadvertido el problema más grave de esta vulnerabilidad identificada por los hackers y es que “datos críticos de sus clientes (de IFX Networks) fueron filtrados”. Para ser claros, lo que dicen los hackers es que datos críticos de las superintendencias, de la Rama Judicial y de las demás entidades, han sido filtrados.

En vista de lo anterior, resulta fundamental preguntarse: ¿qué información poseen las entidades afectadas?

Las superintendencias afectadas como consecuencia de requerimientos de información, durante años han recolectado información confidencial y sensible de sus vigilados; en el marco de visitas administrativas han copiado integralmente la información de computadores, de teléfonos móviles, o de la nube empresarial, y todos estos contienen información confidencial de las empresas, información personal y en algunos casos sensible de los funcionarios, datos personales, información protegida con secreto profesional de abogado, etc.

Surge la pregunta, quién le va a responder a todas estas empresas y personas afectadas por los perjuicios tras los ataques cibernéticos. | Foto: Getty Images

Delicado panorama

Como si esto fuera poco, las superintendencias afectadas también poseen información financiera, personal y sensible de los accionistas, beneficiarios reales y representantes de sus vigiladas.

¿Cabe entonces en estos momentos preguntarse si es esta la información que ha sido hackeada, o qué pasaría si la misma es hackeada? ¿Será que ya está en la Dark Web toda o parte de la información que empresas le han entregado a las superintendencias?

Y surge una pregunta aún más crítica: ¿quién le va a responder a todas estas empresas y personas por los perjuicios que se causen en caso de que se haga pública su información confidencial y sensible?

Si fuera un privado el hackeado, con toda seguridad la Superintendencia de Industria y Comercio-SIC (como lo ha hecho en casos anteriores) ya lo habría requerido para que le dé explicaciones, y estaría ad portas de formularle cargos.

¿Qué va a hacer ahora la SIC cuando su propia información está expuesta? ¿Y qué va a hacer respecto de las demás entidades?

Las superintendencias afectadas también poseen información financiera personal y sensible de los accionistas. | Foto: Getty Images

Es evidente que es una responsabilidad muy seria para las entidades y sus funcionarios seguir recogiendo y exigiendo (incluso bajo amenazas de multas) la entrega de información comercial confidencial y sensible, pues adquieren el deber correlativo de custodia y aseguramiento de dicha información, por lo cual en el ejercicio de las funciones de vigilancia y control deberían reflexionar sobre lo siguiente:

- Se debería replantear el ejercicio, en muchos casos indiscriminado, de recolección de información en visitas administrativas, y en requerimientos de información, para delimitar su alcance y contenido.

- Deberían revisar si para los diferentes trámites y procedimientos que se deben cursar ante ellas, efectivamente se requiere toda la información que actualmente exigen.

- Se deberían establecer políticas especiales de almacenamiento y destrucción periódica de la información de privados en poder de entidades del estado.