La ciberseguridad cobra más víctimas día a día. Por eso, la Secretaría de Gobierno y Transformación Digital de la PCM realiza cada cierto tiempo un informe sobre las diversas organizaciones del Estado que ya cuentan o que todavía carecen de un equipo de respuesta ante incidentes de seguridad digital.
Gestión tuvo acceso al anterior informe (23.02.2022), mediante el que dimos cuenta que 177 entidades públicas de 2,363 estaban protegidas frente a ataques de hackers. En el informe actual, más detallado y con fecha 9 de agosto, el número de instituciones comprendidas subió a 2,374.
En el documento se divide a las entidades bajo cuatro categorías, según su estado con respecto al Decreto de Urgencia No 007-2020. Entre ellas están las que cumplen y las que no con tener un equipo de respuesta, las que están en proceso de contar con uno, las que no están obligadas a cumplir con la norma y las que, incluso no estando forzadas, lo tienen (ver infografía).
Análisis
“El estudio de por sí es un poco enredado porque hay alrededor de 1,600 entidades que no tienen exigencia de cumplir con la ley, pero igual las incluyen en la lista”, dice Erick Iriarte, CEO de EBIZ Latin America.
Así, de las 704 organizaciones que deben cumplir con la regla, solo 166 sí lo hacen. Entre ellas están la Contraloría General de la República, la Dirección Nacional de Inteligencia, el Comando Conjunto de las Fuerzas Armadas, los gobiernos regionales, todos los ministerios y algunas municipalidades distritales y provinciales.
“Si ves el número total de instituciones, hablamos de que apenas el 9.7% ha cumplido con la ley. Pero si apartamos solo las que por exigencia deben tener un equipo, a las justas llegan al 6.5%”, calcula Iriarte.
Un caso para destacar es el Poder Judicial, según el ejecutivo. “Ha avanzado en su totalidad con tener equipos de respuesta. Es un detalle importante porque ahora mismo en Argentina vemos que hay una crisis de ciberseguridad, donde se ha atacado a diversas cortes de provincia”, dice el también experto en derecho digital.
En deuda
Hay entidades públicas que están en proceso de cumplir con la regla y hay fechas límite. En algunos casos es agosto de este año y en otras, febrero del 2023.
Sin embargo, hay varias instituciones que no cumplen, a pesar de que la ley ya tiene dos años. Entre ellas están el Congreso, la ONP, hospitales, entre otras. “Toda información es relevante, sobre todo la información de un individuo, con lo cual nadie debería quedar excluido. Pero es extraño que dentro de los que no cumplen estén varias de las oficinas registrales. Ese es un tema crítico”, advierte Iriarte.
El atacante del Minsa
Luego de que una base de datos del Minsa fuera robada por un hacker que se hace llamar Leriweil (18.08.2022), este se contactó con Gestión para adjudicarse el ataque.
De acuerdo con el directivo de EBIZ Latin America, no es usual que un hacker realice este tipo de comunicación. “Ellos buscan demostrar que hay un problema, pero no que se diga que ellos son. Esa parte sale un poco del perfil”, sostiene.
El atacante además reveló que él y su grupo habían vulnerado el sistema de ciberseguridad de la UNMSM, obteniendo una base de datos de 50 mil personas, entre estudiantes, profesores y familiares.
EN CORTO
Caso Yenifer Paredes. Según Iriarte, el Estado debería educar más en temas de ciberseguridad y no solo hacerlo a nivel macro.
“Por ejemplo, en la audiencia del caso Yenifer Paredes, el abogado de la cuñada del presidente terminó revelando a través de su pantalla compartida lo que no quería que se muestre. La ciberseguridad también es eso”, dice.