Data Leaks y Data Breach. ¿Cómo estamos en Paraguay?

“El único sistema seguro es aquel que está apagado, en el interior de un bloque de hormigón, protegido en una habitación sellada, rodeada por guardias armados.” Gene Spafford

audima

Los últimos hechos de público conocimiento (https://www.abc.com.py/policiales/2023/08/17/policia-hackeada-se-habrian-filtrado-mas-de-500000-documentos-e-imagenes/) sobre la supuesta venta de bases de datos pertenecientes a la Policía Nacional y el TSJE, despertaron la preocupación de la ciudadanía sobre la privacidad y la seguridad de la información personal en manos del Estado.

Por un lado, celebro que por un momento todos se preocupen por sus datos, pero, por otro lado, no puedo dejar de pensar que necesitamos estos hechos de riesgo para que lo hagan.

Aparentemente, aun en proceso de investigación, se habrían filtrado bases de datos y documentos digitales en el orden de 400 Gigas de información, algo así como 500.000 documentos o, en números que entienda la mayoría, unas 150 películas en formato mkv de las que se “descargan” gratuitamente.

La mayoría de los sitios especializados tituló este hecho como “Data Leaks” en Paraguay, así que consideré oportuno que pudiéramos hablar de las formas en que este tipo de información pueden caer en manos inadecuadas.

Ante todo, definamos el concepto de “tratamiento de la información”.

El tratamiento de la información se refiere al conjunto de acciones y procesos que se llevan a cabo con los datos o la información con el objetivo de gestionar, manipular, almacenar, analizar o utilizar esos datos de manera efectiva y eficiente. Esto puede implicar diversas actividades, como recopilar, organizar, clasificar, almacenar, analizar, modificar, transmitir y proteger la información.

El tratamiento de la información es esencial en diversos contextos, como en las organizaciones, la investigación, la ciencia de datos, la informática, la seguridad cibernética y muchos otros campos. Algunos ejemplos de tratamiento de la información en nuestro cotidiano:

Procesamiento de Datos en Empresas: Las organizaciones recopilan y almacenan datos relacionados con sus operaciones, clientes, ventas, finanzas, etc. El tratamiento de esta información implica organizarla, analizarla y utilizarla para tomar decisiones informadas.

Investigación Científica: En la investigación, los datos se recopilan y analizan para obtener conclusiones y realizar descubrimientos. Esto puede involucrar análisis estadísticos, modelado de datos y presentación de resultados.

Análisis de Datos: En la ciencia de datos y el análisis de datos, se procesan grandes conjuntos de datos para identificar patrones, tendencias y relaciones. Esto puede ayudar a tomar decisiones basadas en datos y predecir comportamientos futuros.

Transmisión de Datos: En las comunicaciones, los datos se transmiten a través de redes y sistemas. El tratamiento en este caso implica asegurarse de que los datos se transmitan de manera segura y lleguen al destinatario correcto.

Protección de Datos: En la seguridad de la información, el tratamiento de datos incluye la implementación de medidas para proteger la confidencialidad, integridad y disponibilidad de la información, evitando accesos no autorizados y posibles vulnerabilidades.

El tratamiento de la información es un campo en constante evolución, a medida que se desarrollan nuevas técnicas y herramientas. Es válido recordar que hoy, las plataformas, se comparten nuestros datos comportamentales, no simplemente datos sueltos.

En este panorama nuestros datos recorren el ciberespacio, con más o menos protecciones y somos nosotros mismos los que terminamos exponiéndolos innecesariamente. Pero, ¿cuál es el papel del Estado? El Estado es quien debe garantizar la protección de los activos de información, sean físicos o digitales, incluyendo aquí a todos los datos generados en nuestro desenvolvimiento cívico, como pueden ser: pagar impuestos, recibir una vacuna, terminar un ciclo lectivo, abrir una empresa, pagar una multa, contraer matrimonio, etc.

Cada ente, cada ministerio, cada secretaría del Estado, debe implementar un conjunto de buenas prácticas para asegurar la información que maneja de los ciudadanos y que cada ciudadano a su vez sea capaz en todo momento de trazar su información y saber a ciencia cierta qué se hace con ella.

Decimos entonces que se producen violaciones, fugas o brechas de datos si se da que:

Data Breach (Violación de Datos):

Un data breach o violación de datos se refiere a una situación en la que se ha accedido, obtenido o comprometido información confidencial o protegida sin autorización. Esto puede incluir información personal, financiera, médica o cualquier otro tipo de datos sensibles. Los data breaches generalmente ocurren como resultado de actividades maliciosas, como ataques cibernéticos, hackeos o intrusiones en sistemas y redes. Los perpetradores intentan acceder y robar información para su propio beneficio o para distribuirla en el mercado negro o en la Dark Web. Las organizaciones suelen ser víctimas de data breaches, y estos eventos pueden tener graves consecuencias para la privacidad y la seguridad de las personas afectadas.

Data Leak (Fuga de Datos):

Un data leak o fuga de datos es una situación en la que la información confidencial se expone accidentalmente o se comparte involuntariamente sin la intención de hacerlo. A diferencia de un data breach, que generalmente implica actividades maliciosas, una fuga de datos ocurre debido a errores, fallas en la seguridad, configuraciones incorrectas o descuidos por parte de las organizaciones o individuos que manejan los datos. La información filtrada puede ser accedida por personas no autorizadas, pero la exposición no necesariamente es intencionada. Ejemplos de data leaks podrían incluir archivos sensibles publicados en línea debido a una configuración incorrecta en la nube o correos electrónicos confidenciales enviados a destinatarios incorrectos debido a errores humanos.

Paraguay tiene una deuda muy grande con su ciudadanía en cuanto a protección de datos personales. Desde una ley abarcativa y funcional, hasta la seguridad de que nuestros datos no están dando vueltas, filtrados de cuanta institución pública exista. Nuestros datos personales son todo menos privados y mucha de esta falta de privacidad es responsabilidad de la falta de política estatal al respecto.

Sumemos a esto el actor “Inteligencia Artificial”, el “Ciberterrorismo”, la “Ciberguerra”, los actores de amenazas que toman represalias hacktivistas cuando un Estado se pronuncia contra sus países, así como las recientes filtraciones al ejército chileno, al ejército mexicano, al Senado argentino, a la Policía Federal Argentina, que indican una creciente actividad ciberdelincuencial en la región, y vamos a tener unos factores de riesgo cada más altos para Paraguay.

Esta es la oportunidad para que el nuevo gobierno se haga cargo de esta problemática que significa la protección de los datos personales de la ciudadanía, la asignación de recursos a las fuerzas policiales cibernéticas, que muchas veces hacen trabajos sobrehumanos para arreglarse con lo que tienen mientras en cola hay más de 10.000 casos (sí, leyó bien), de ciudadanos que esperan respuesta y el mejoramiento de la estructura fiscal para la persecución de la cibercriminalidad.

Es imperativa una ley de protección de datos personales, así como la redefinición del rumbo digital del Paraguay, nuestros datos están en riesgo.

miguel.gaspar@ciberpadres.red

Lo
más leído
del día