El panorama actual de la ciberseguridad en América Latina refleja tanto una voluntad política manifiesta en términos discursivos como una capacidad operativa asimétrica y desordenada en términos de integración, cooperación y eficiencia por parte de los gobiernos de los países que integran esta región.

Los esfuerzos realizados hasta la fecha sólo permitirían vislumbrar la intención de responder adecuadamente a los compromisos, tendencias y buenas prácticas  internacionales. Desde hace cuánto menos una década, se pregona de manera continua sobre la necesidad de diseñar políticas públicas, elaborar una planificación consistente con esfuerzos de inversión pública y consolidar un entramado integral que incorpore a todos los actores involucrados, sin haber logrado consolidar esa intención en acciones concretas a nivel nacional, factor éste que sin duda obstaculiza y ralentiza cualquier iniciativa a nivel regional.

En este sentido resulta menester mencionar que, el fenómeno de la globalización primero y, en segundo término, la complejidad geopolítica internacional sustentada en un entorno tecnológico de avanzada que caracteriza al Siglo XXI, impactaron en una América Latina que continúa debatiendo sobre las fortalezas de un mecanismo regional que integre las disímiles necesidades y aspiraciones de sus diversos integrantes. Por ello no debiera sorprender que no hayan logrado  diseñar una política integral de ciberseguridad para la región, puesto que ello es sólo una arista, entre muchas otras pendientes que conforman el poliedro latinoamericano.

El último informe elaborado por el Banco Interamericano de Desarrollo (BID) y la Organización de Estados Americanos (OEA), con apoyo de diversas instituciones[1], describe el panorama de la ciberseguridad en estas latitudes y la situación de vulnerabilidad en la que se encuentra inmersa. A los efectos de este trabajo sólo nos limitaremos a tratar tres de sus elementos: la estrategia nacional de ciberseguridad, la capacidad de respuesta a incidentes y el marco normativo, en base a los datos presentados en esta publicación.

La Estrategia Nacional De Ciberseguridad. Hasta 2016 sólo seis, tres de Sudamérica (Brasil, Colombia y Uruguay) y tres de Centroamérica (Jamaica, Panamá y Trinidad y Tobago) de los 32 Estados Miembros de la OEA habían adoptado estrategias de seguridad cibernética. Otros 11 países (sólo tres sudamericanos: Argentina, Paraguay, Perú y Suriname) se encontrarían en fase de articulación.

América Latina no desconoce la relevancia que un documento de esta naturaleza tiene para poder coordinar e implementar las iniciativas nacionales necesarias para combatir una amenaza con impacto internacional. Este documento debiera definir al menos temas como la estructura de responsabilidades a nivel nacional, el marco jurídico y los estándares técnicos de aplicación, la estrategia de concientización nacional y sectorial, las aptitudes y capacidades técnicas para brindar una adecuada seguridad a la infraestructura crítica y los mecanismos de cooperación internos e internacionales.

La OEA ha sido uno de los motores que han impulsado y brindan asistencia a los países de la región en esta tarea. Los guarismos mencionados indican con claridad que el proceso de diseño y adopción de una estrategia de ciberseguridad en el entorno nacional no ha sido un camino libre de escollos para los pocos países latinoamericanos que lograron concretar ese esfuerzo.

Son varios los factores, tanto externos como internos que pueden obstaculizar este proceso. Entre los externos se incluyen, por ejemplo, una alteración en la jerarquía de prioridades nacionales originada por un cambio de gobierno, por un fenómeno externo como un evento de carácter meteorológico con consecuencias adversas o un fenómeno interno como alteraciones en el orden público que comprometen la gobernabilidad. También las restricciones económicas y la competencia interagencial existente entre los sectores involucrados complejizan el proceso. Si contemplamos las diferentes situaciones de matiz económico que preocupan a sus gobernantes o las presiones que las sociedades latinoamericanas imponen a los mismos en las agendas nacionales, no sorprende la postergación que sufre el tema de la ciberseguridad.

No obstante ello, los datos relacionados con el empleo de Internet en América Latina, sumado al rol que esta red desempeña en el incremento de determinadas actividades económicas como al desarrollo social,  debieran ser un motivo suficiente como para impulsar las inversiones públicas en prevención y mitigación del riesgo informático o, al menos, ser el eje de una amplia campaña de concientización de la población. Todo ello sin mencionar los devastadores efectos que tiene la “ciberinseguridad” cuando los únicos beneficiarios de ese estado de inacción son el crimen organizado o el terrorismo, entre otros.

Según el Informe del BID, la región representa el cuarto mercado de dispositivos móviles a nivel mundial y el 50% de su población es usuaria de Internet. Pero también aquí se presentan asimetrías. La CEPAL en 2016 describió esta hetereogeneidad: “en 2015, de los 24 países analizados, 3 de ellos tenían una penetración menor al 15%, 15 estaban en el rango entre 15% y 45%, 3 entre 45% y 56%, mientras que sólo 3 de ellos, Chile, Costa Rica y Uruguay superaban el 60%”. El mismo informe consignaba entre las causas de estas diferencias a la distribución del ingreso y la localización geográfica de los usuarios.

La forma de conexión inalámbrica es la más utilizada por la mayoría de los usuarios de teléfonos inteligentes a nivel mundial y Latinoamérica no es una excepción. Pero si consideramos que la velocidad promedio de navegación en Internet a nivel mundial ronda los 8 Mbps, solamente Uruguay, Perú, Chile y Colombia ofrecen conexiones por encima del promedio. La escala desciende con el resto de los países hasta llegar a los escasos 2 Mbps en Costa Rica, Venezuela y El Salvador[2].

La Capacidad De Respuesta A Incidentes. Según el Informe del BID, en 16 países se han establecido y operacionalizado Equipos de Respuesta a Incidentes de Seguridad Informática (CERT), de los cuales sólo siete de ellos habrían alcanzado un nivel de madurez intermedio, si consideramos el escenario latinoamericano pero que se encontrarían muy rezagados en relación a los países líderes en esta área como Estados Unidos, Israel, Estonia y Corea del Sur.

Estos Centros de respuesta constituyen un elemento valioso a la hora de fortalecer la capacidad de resiliencia de un ente público o privado ante la eventualidad de un ataque que pudiera afectar el normal funcionamiento de una infraestructura crítica determinada. También es la primera medida pragmática que un Estado debe adoptar en ciberseguridad, pero no por ello está libre de obstáculos. La implementación de CSIRT ha proliferado en el ámbito internacional público y privado y ha alcanzado niveles aceptables de complementariedad operativa en otras regiones. Sin embargo, en América Latina el sector privado ha avanzado muy por encima del sector público en términos de operatividad, cooperación e interconectividad de sus CSIRT, favorecido por una mayor disponibilidad de recursos técnicos y financieros, una elevada exposición al riesgo vinculada a las operaciones del comercio internacional y entornos operativos más específicos.

Los desafíos que enfrentan los sectores públicos radican no sólo en la carencia cuantitativa y cualitativa de recursos humanos o recursos financieros por restricciones políticas y/o económicas, sino en la falta de confianza intra sistema que existe entre las diversas instituciones, así como la precariedad de una visión integral que incluya a  los otros integrantes del sistema nacional. Estas cuestiones requieren tiempo para generar los cambios de cultura institucional intrasistema, un factor con el que los gobiernos latinoamericanos no cuentan a la luz de la premura que surge de la naturaleza misma de las amenazas y riesgos actuales y/o de la potencialidad asumida en términos de agresividad. 

La cooperación regional en este tema se estructuró a través del Comité Interamericano contra el Terrorismo de la OEA (CICTE) que, a través del Programa de Seguridad Cibernética, brinda capacitación a los CSIRT nacionales y regionales y facilita la ejecución de ejercicios de gestión de crisis con representantes de la industria nacional, la sociedad civil y el sector privado.

La cooperación internacional puede contribuir a mitigar estas falencias a nivel sectorial, por cuanto permite a los diferentes sectores involucrados (defensa, seguridad, telecomunicaciones, finanzas, etc.) adquirir mejores prácticas y acercarse a soluciones tecnológicas innovadoras. Sin embargo si esta cooperación no responde a una adecuada planificación estructurada a partir de directrices emanadas de la conducción política del estado, dará como resultado mayor desorden y asimetría intrasistema.

            El Marco Normativo. Si bien solamente la República Dominicana y Panamá han adherido a la Convención de Budapest sobre delitos informáticos, casi todos los Estados Miembros de la OEA han incrementado sus esfuerzos de aplicación de la ley a nivel nacional y se encuentran en proceso de actualización de sus marcos jurídicos para luchar contra el delito cibernético y fortalecer las leyes de protección de datos y privacidad.

Esta dualidad encuentra su explicación en el sentimiento subyacente de desencanto y escepticismo en torno a la capacidad de los organismos supranacionales para la negociación y puesta en vigor de normativas genéricas y la ciberseguridad no escapa a esta situación. La escasa adhesión de los países latinoamericanos a la Convención de Budapest obedece a ello, debilitando de esta manera un marco de cooperación que pudiera permitir dar forma a una base jurídica armonizada para abordar la delincuencia cibernética.

Sin embargo, los avances nacionales alcanzados o en proceso obedecen al consenso generado en torno a la existencia de expectativas colectivas sobre cuál debiera ser el comportamiento adecuado de los actores en el sistema internacional y que el no cumplimiento de algunas medidas básicas acarrearían al menos costos en su reputación sobre todo si sus Jefes de Estado personal o públicamente se comprometieron a ello.

En 2004 la OEA aprobó la Estrategia Integral para Combatir las Amenazas a la Seguridad Cibernética, que sirvió como marco inicial a ese enfoque. Pero llevó más de una década definir las responsabilidades del Organismo y sus Estados Miembros en la promoción de la seguridad cibernética, la lucha contra la delincuencia informática y la protección de las infraestructuras de información crítica.

Conclusiones. La situación presentada expone con claridad que los esfuerzos unilaterales o regionales realizados en América Latina no son suficientes para mitigar el riego cibernético y no habría elementos que permitieran aventurar en el corto o mediano plazo un pronóstico de mayor avance. Los factores que coadyuvan a esto son de variada naturaleza: políticos, económicos, tecnológicos, culturales, etc. 

Una de las formas de allanar el camino sería concentrar los esfuerzos en las fases de generación de capacidades y coordinación de acciones de protección, mitigación y respuesta ante eventos de ciberseguridad con impacto internacional, con la intención que el mayor involucramiento contribuya a encontrar las respuestas nacionales, paso ineludible para poder diseñar mecanismos regionales.

La cooperación internacional constituye un elemento clave para su desarrollo, siempre y cuando su operatoria no sólo esté limitada a la transmisión de mejores prácticas o relegue las acciones de los países latinoamericanos a la provisión de información sobre sus propias vulnerabilidades.

América Latina aún, en un marco de desigualdad, contínúa anhelando la independencia tecnológica, también en la arena cibernética.  


[1] Entre ellas la Universidad de Oxford, el Center for Strategic International Studies, la Fundación Getulio Vargas, la organización FIRST, el Consejo de Europa, el Instituto Potomac y el Foro Económico Mundial.

[2] Datos obtenidos de un estudio de conectividad en A. L. realizado por la empresa Open Signal, especializada en el mapeo de cobertura móvil inalámbrica.