Spanish (pdf)
Article in xml format
Article references
Automatic translation
Send this article by e-mail
Cited by SciELO 
Cited by Google 
Similars in
SciELO 
Similars in Google 
Permalink
Introducción
Fruto del desarrollo que ha tenido la tecnología, ahora cotidiana, tanto de los individuos (utilización de dispositivos móviles, redes sociales, Internet 5G) como de las organizaciones privadas y públicas (gobierno digital, datos abiertos, Software de Gestión Empresarial ERP, Intercambio Electrónico de Documentos -EDI, Sistemas de Información Geográficos -SIG-, big data, inteligencia artificial -IA- e inteligencia de negocios -Bl), han surgido transformaciones significativas para la humanidad (interpretadas como avances).
Este desarrollo tecnológico (internet, sistemas de información y nuevas tecnologías) ha generado en la sociedad rápidas transformaciones, crisis sociales, tensiones políticas, cambios culturales, problemas ambientales, transformaciones en mercados, etc., y revoluciones sin precedentes en diferentes ámbitos (educación, entretenimiento, trabajo y relaciones sociales, entre otros). No obstante, las tecnologías que se consideran señales del progreso también han generado problemas (dependencia tecnológica y vulnerabilidad de información). De esta manera, los medios tecnológicos, las telecomunicaciones, las aplicaciones móviles, las transacciones electrónicas, entre otras, han generado un sinnúmero de peligros asociados a la comisión de delitos informáticos (por personas u organizaciones inescrupulosas), en cuanto facilitan el ataque y aprovechamiento de las vulnerabilidades de individuos, empresas y/o gobiernos. Esta situación adquiere gran relevancia si se considera el incremento en la frecuencia de los ataques a la información, la seguridad, la integridad y la dignidad de las víctimas.
En la actualidad los sistemas de información, la internet y la computación en la nube son el soporte para el almacenamiento, gestión y aplicación de información personal y organizacional, convirtiéndose en el blanco para quienes la quieren robar, manipular o dañar, o desean afectar a sus propietarios. Esto se presenta porque las personas y las organizaciones soportan su rutina en esta información, de manera que cualquier manipulación o fallo termina afectándolos notoriamente, a nivel individual y colectivo.
En este sentido, es posible imaginar las enormes implicaciones de que la información existente en correos electrónicos, redes sociales, reuniones privadas de trabajo o estudio o archivos laborales sufran ataques, daños o pérdidas; los efectos de fallas en bases de datos, edificios inteligentes o sistemas de inventarios, clientes, proveedores o nómina de una organización; las consecuencias de que se vulnere la integridad de una persona debida a la manipulación de información o la suplantación en redes (Amato et al., 2018); o los impactos del mal funcionamiento de sistemas de infraestructura crítica de servicios (represas, plantas de energía, aeropuertos, etc.) o de la pérdida de información estratégica del Estado o de entidades de la administración pública, a nivel central o subnacional. Todas estas cuestiones y preocupaciones componen el campo de la ciberseguridad.
Los antecedentes del tema se encuentran en la Guerra Fría y en la sensación de peligro que se tenía frente a la posible destrucción mutua entre Estados Unidos y la Unión Soviética, que podría haber afectado la vida de millones de seres humanos y la integridad de diversos países. Con ese riesgo latente, el Departamento de Defensa de Estados Unidos desarrolló un modelo (red) de transferencia virtual de datos a distancia (Arpanet), precursor de internet (Gaitán, 2014), que facilitó el tránsito de información entre los actores de la guerra. En la actualidad esta red es ampliamente utilizada con fines civiles y comerciales y se convirtió en la plataforma para toda actividad humana contemporánea. Sin embargo, esta "red de redes" también es un espacio con riesgo significativo que constituye la quinta dimensión de la guerra (la primera es la tierra; la segunda, el mar; la tercera, el aire; la cuarta, el espacio; la quinta, el ciberespacio), por lo cual el escenario asociado a ella se ha llamado ciberguerra, que sobrepasa lo previsto para las guerras de cuarta y quinta generación (Osorio, 2017).
Esta nueva dimensión bélica se ha constituido en un espacio de influencia y de dominación asimétrica entre individuos, empresas o Estados, puesto que cualquiera puede realizar espionaje, afectar actividades cotidianas o vitales o, incluso, causar daños a otros, mediante el uso de un ordenador, internet y conocimientos informáticos. Un ejemplo de ello se puede observar en los presuntos ciberataques a las elecciones presidenciales de 2016 en Estados Unidos y a los procesos electorales de diversos países, que se suman a la línea de acción iniciada a fines de la década del noventa, cuando ocurrieron muchos actos de sabotaje, espionaje y manipulación informativa en internet en varios países (El Diario, 2017). En la actualidad ya no parece necesario lanzar misiles o atacar físicamente una infraestructura (instalaciones, bases militares, estructuras de servicios, etc.), sino que puede generarse daño mediante la divulgación de información privada (infiltración) al menoscabar reputaciones y carreras políticas, neutralizar opositores, difundir secretos industriales o militares o sabotear páginas web y sistemas de información, entre otros, gracias a la manipulación, secuestro o destrucción de información personal o institucional.
Los gobiernos y los organismos de seguridad reconocen que en la actualidad existe más riesgo de vulneración a la seguridad, incluyendo los delitos informáticos, ciberterrorismo y las diversas amenazas cibernéticas (Reyna y Olivera, 2017) que han causado daños a la sociedad y pérdidas económicas. También por esto, la administración pública y las diversas organizaciones a nivel mundial han elevado sus capacidades tecnológicas de ciberdefensa y de seguridad de la información (mediante sistemas y protocolos de seguridad cada vez más sofisticados) para contrarrestar estos posibles ciberataques. Simultáneamente, se ha generado la necesidad de crear nuevas leyes, actualizar la legislación y establecer normas técnicas de calidad. El temor a estas situaciones (cibercatástrofes) ha incitado a que los países dediquen esfuerzos y recursos crecientes para gestionar la seguridad en el ciberespacio. Ejemplo de ello son los avances de China y Rusia por desarrollar su internet soberano.
En tal sentido, este artículo se propone analizar el tema de la seguridad de la información frente a las ciberamenazas y revisar la situación al respecto de los ciudadanos y las organizaciones públicas en Colombia. En la revisión de literatura sobre este tema, no se encuentran muchos estudios que muestren la perspectiva global sobre la ciberseguridad, y aun menos en el contexto colombiano. Al respecto, se encuentran los estudios de Marín, Nieto, Huertas y Montenegro (2019), quienes proponen un modelo de delitos cibernéticos (desde lo ontológico) en el cual se analizan las más recientes modalidades delictivas cibernéticas usadas en Colombia y se pretende aportar a la prevención y decisión frente a la seguridad cibernética. Por otra parte, Izycki (2018) compara las estrategias nacionales de ciberseguridad de diez países latinoamericanos, incluyendo Colombia; y Eslava, Rojas y Pineda (2013) muestran que los sistemas de comunicación del sector eléctrico en el país no se encuentran preparados para contrarrestar ataques ciberterroristas, y plantean una propuesta para evitar esta problemática.
En relación con lo anterior, este artículo pretende cubrir parte de esta deficiencia y aportar al conocimiento sobre el tema, particularmente para el contexto colombiano. Se considera que puede aportar a la discusión académica, como soporte curricular de programas académicos relacionados y como referente para el diseño y revisión de las políticas públicas sobre ciberseguridad.
Se expone inicialmente la metodología. A continuación se desarrolla la ciberseguridad desde diferentes dimensiones (contexto, análisis de riesgos, sistemas de gestión de soporte y estándares de calidad asociados), incluyendo su aplicación en el contexto colombiano. Posteriormente, se muestran los resultados de la reflexión y, por último, se discuten los desafíos existentes para el país en cuanto a ciberseguridad.
El referente principal de la reflexión final es el concepto de reto (estratégico), que se refiere a los desafíos que se deben asumir frente a una situación y se enfoca hacia una política gubernamental que propugne por protegerse frente a vulneraciones en la infraestructura crítica de la nación, garantice los derechos de los ciudadanos en un mundo online, renueve la administración de justicia en el entorno digital, y contrarreste la inseguridad de la información en el contexto tecnológico y operacional (Cano, 2011).
Consideraciones metodológicas
Esta investigación asume la perspectiva interpretativa, pues le da significado a los hechos desde el punto de vista del investigador (Mertens, 2010), reconociendo la imposibilidad de eliminar su subjetividad. Se inscribe en el enfoque cualitativo porque pretende profundizar en el análisis, más que generalizar (Sutton, 2016).
Puede considerarse histórica, pues desarrolla una cronología de los hechos -seguridad de la información-(Tamayo, 2011), aunque con corte en un momento del tiempo y sin tomar datos de estudios previos (porque no se encuentran), haciendo improcedente la comparación -transversal-.
También puede denotarse como descriptiva al apoyarse, relacionar y contrastar estadísticas que muestren las características o manifestación del fenómeno (Tamayo, 2011) y como teórica, al efectuar un análisis crítico y sistemático de un problema teórico, de planteamientos de diversos autores, o de teorías ya desarrolladas (Hernández, 2002).
Es documental, pues en ella se recoge, clasifica, recupera y distribuye información (Ekman, 1989) a través de tres etapas: consulta documental, contraste de información y análisis histórico del problema (Amador, 1998).
El método usado es la revisión documental, empleando técnicas como el análisis documental, el análisis y la comparación, que partieron de una búsqueda en bases de datos documentales, particularmente Scopus -SciVal- (una de las más representativas). La combinación de búsqueda estuvo compuesta por las palabras "cybersecurity" y "Colombia", aplicadas en los campos de título, palabras claves y resumen. Esta combinación se concretó en la ecuación TITLE-ABS-KEY ("cybersecurity"+"Colombia"). La estructura presentada aquí se basa en la propuesta de Sanabria Rangel (2016).
Esta exploración, sin delimitación temporal, de campos de estudio, ni de tipo de documentos, arrojó solo seis documentos (publicados entre 2013 y 2019). Dada la clasificación realizada por Scopus, al analizar estos textos por campos de conocimiento se encuentra que tres de ellos corresponden al área de ciencias de la computación; dos a ingeniería; uno a negocios, gestión y contabilidad; uno a economía, econometria y finanzas; uno a matemáticas; y cinco en el área de ciencias de la computación (que incluye uno nuevo y otros pertenecientes también a otras áreas), lo que evidencia que no es una suma aritmética. Con otra óptica, se encuentra que dos corresponden a artículos, dos a revisiones de conferencia, uno a libro y uno a memorias de conferencia. Se seleccionaron aquellos que se consideraron significativos.
Después, mediante búsqueda en otras bases de datos, en fuentes de información diversa y medios institucionales y periodísticos, se seleccionaron aquellos textos considerados pertinentes para desarrollar la temática y que aportaran a la argumentación. Por tanto, aunque se hace uso de herramientas de revisión sistemática de literatura, el trabajo corresponde más con una revisión narrativa.
Sobre estos se realizó un análisis de contenido, apoyados en técnicas como fichas de lectura, cuadros comparativos y tablas analíticas, para extraer sus principales planteamientos, realizar la interpretación y generar los argumentos.
Ciberseguridad
La ciberseguridad (o seguridad informática) se origina para tomar medidas para la protección de infraestructura, software y hardware, contrarrestando las posibles amenazas mediante internet, y para desarrollar estrategias de contraataque. Esta perspectiva implicó la creación de sinnúmero de normas y sanciones para mitigar los delitos a través de esta red (Reyna y Olivera, 2017). Por otro lado, la ciberseguridad alude al:
Conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno. [...] La ciberseguridad garantiza que se alcancen y mantengan las propiedades de seguridad de los activos de la organización y los usuarios [disponibilidad, integridad, autenticidad, confidencialidad, etc.] contra los riesgos de seguridad correspondientes en el ciberentorno (ITU, 2010). Su aplicación implica aspectos estructurales (elementos computacionales que generan capacidades, fuerza y dominio en el ciberespacio) y aspectos geopolíticos (elementos referidos al ejercicio del poder, las dinámicas sociales y los dominios sobre el espacio digital y en términos de superioridad) (Saavedra y Parraguez, 2018a), pues estos son los que han venido a hacer presencia en las confrontaciones.
Algunosafirman que la ciberseguridad es un concepto de ingeniería social, por lo cual se ha propuesto realizar estudios concretos sobre el concepto que permitan avanzar en su comprensión (Hatfield, 2018). Algunos aspectos relacionados con el tema son el contexto global, la ciberseguridad y los riesgos vinculados, los sistemas de gestión asociados y la norma ISO 27001.
La ciberseguridad en el escenario global
Los problemas de ciberseguridad (derivados de la ciberguerra) se caracterizan porque en ellos no se pueden detectar claramente los bandos en contienda, puesto que pueden involucrar acciones de gobiernos contra sus ciudadanos, de partidos políticos contra sus opositores, de corporaciones contra sus competidores, de ejércitos contra sus enemigos, etc.
Por otra parte, la ciberseguridad ha terminado siendo un asunto global pues el ciberespacio no tiene arraigo en ningún país y por ello el ecosistema digital, y su protección frente a las actividades ilícitas, terminó siendo un asunto que atañe a todas las naciones y sin fronteras claras. Por ello se plantean discusiones sobre la regulación del ciberespacio, la gobernanza en él y la defensa unilateral (Saavedra y Parraguez, 2018b).
Al revisar los antecedentes se encuentran una serie de incidentes cibernéticos importantes a nivel mundial (Tabla 1).
Tabla 1 Incidentes cibernéticos internacionales (2003-2020)
| Año | Incidente |
|---|---|
| 2003 | Acusación de EEUU a China sobre ataques informáticos (Titan Rain). |
| 2007 | Ataques a Estonia que inutilizaron infraestructuras críticas. |
| 2008 | Explosión, por ataque cibernético, del oleoducto BTC en Refahiye (Turquía). |
| 2010 | El gusano informático Stuxnet genera daños en plantas de uranio iraníes y sabotea proyectos estratégicos nacionales. |
| 2012 | Borrado de 30.000 discos duros de la empresa petrolera Saudí Aramco. |
| 2016 | Presunto ciberataque ruso (servicios de seguridad rusos) en las elecciones presidenciales de EEUU con filtraciones de información de los servidores de correo del Comité Nacional Demócrata y de su candidata Hillary Clinton, publicación de documentos para afectar su imagen y posible manipulación de elecciones en favor de Donald Trump. |
| 2018 | Supuestos ciberataques contra estructuras de información de Rusia en la copa mundial de futbol y contra redes de suministro eléctrico en 2019. |
| 2019 | Presuntos ataques cibernéticos a la infraestructura eléctrica de Venezuela. |
| 2020 | Acusaciones entre potencias por presuntos ataques cibernéticos para robo de propiedad intelectual e información sobre vacunas COVID 19. |
| 2020 | Intrusión a la plataforma de videoconferencias Zoom para extraer información, infiltrar datos y boicotear reuniones remotas. |
Fuente: elaboración propia.
Este nuevo escenario de riesgos, frente al tema de la ciberseguridad, incluye a países como Estados Unidos, China, Rusia, Irán, India, Alemania, Irlanda, Corea del Norte y Corea del Sur, entre otros. Un ejemplo de la forma como se ha desarrollado el tema a nivel mundial se ve en el planteamiento de Clarke y Knake (2011) en el que se muestra cómo China, debido al seguimiento que hicieron al desarrollo de la operación "Tormenta del Desierto" en el Golfo Pérsico (con manifestación del enorme poderío militar norteamericano), generó una estrategia nacional para desarrollar mecanismos para enfrentarse en igualdad de condiciones con Estados Unidos, en caso de un conflicto. Por ello, China ha dedicado cuantiosos recursos a la investigación de nuevas tecnologías, entre ellas el desarrollo de las armas cibernéticas (Stevens, 2018).
Más allá de esto, los problemas de ciberseguridad se manifiestan también en ataques directos a las corporaciones, bien mediante espionaje o difundiendo su información confidencial,ya sea por razones políticas, financieras o sociales.Algunos ejemplos son el jaqueo a la empresa italiana Hacking Team Labs, la divulgación de correos electrónicos de la empresa Sony, la publicación por parte de Edward Snowden de información confidencial de la National Security Agency (NSA) (en el caso denominado "climategate"), o el saboteo de las marcas de tarjetas de crédito a WikiLeaks.
Esta última fue mencionada también por los medios de comunicación, intensamente, por los escándalos que generó por la divulgación de información clasificada de personas y organizaciones. WikiLeaks1 terminó analizando y publicando datos censurados o material clasificado que incluye información sobre guerras, espionaje y corrupción (WikiLeaks, 2015).
Adicionalmente se encuentra el escándalo de los Panamá Papers (2016), que muestran el funcionamiento de los paraísos fiscales y el movimiento secreto del dinero en el mundo. En total, 140 políticos de 50 países aparecieron vinculados con este manejo, entre ellos 12 presidentes y numerosas personalidades (Telesur, 2016).
Otra manifestación es el incidente informático (2017) en el que varias compañías y entes gubernamentales mundiales fueron blancos de un ataque cibernético a gran escala que bloqueó las actividades de las computadoras para pedir recompensas mediante bitcoin (criptomonedas). Según la firma de antivirus rusa Kaspersky, este virus informático infectó sistemas operativos en Francia, Rusia, Reino Unido, Estados Unidos, Dinamarca, Alemania, India, España, Brasil, Colombia y Ucrania.
Este virus terminó afectando también la agencia británica de publicidad WPP, el Banco Central ucraniano, la más grande productora petrolera rusa Rosneft, la compañía naviera danesa Maersk, el fabricante de aeronaves de Ucrania Antónov, la productora de alimentos española Mondelez, la naviera holandesa TNT, la compañía francesa de materiales para construcción Saint-Gobain, la farmacéutica estadounidense Merck y la firma de abogados colombiana DLA Piper (BBC Noticias, 2017).
Hechos más recientes son el jaqueo de la plataforma de videoconferencias Zoom, que en el marco de la pandemia por el COVID-19 tomó gran relevancia y tuvo un crecimiento sin precedentes por el amplio uso que le ha dado en empresas, colegios, universidades y otras organizaciones para reuniones remotas, que fue vulnerada mediante Zoom bombing. Estos actos comprometieron y expusieron gran cantidad de cuentas, usuarios y claves (alrededor de 500.000) y afectaron las actividades personales, académicas y laborales de muchas personas y organizaciones, al permitir el acceso no autorizado a reuniones privadas para extraer datos, infiltrar información, para divulgar información falsa, grosera, discriminatoria o pornográfica, o para sabotear. Todo ello derivado, aparentemente, de la venta de cuentas, usuarios y contraseñas de la plataforma en la red oscura (El Universal, 2020).
Otros hechos recientes son la filtración de contraseñas de la Organización Mundial de la Salud (OMS), la Fundación Gates y el Instituto Nacional de Salud de Estados Unidos, que divulgó información atribuyendo la creación del Coronavirus al laboratorio chino P4 (El Universal,2020) o las acusaciones hechas por Reino Unido y EEUU a jáquers de Rusia y China, respectivamente, en el marco de la carrera existente entre potencias por desarrollar la vacuna contra el coronavirus, que denuncian presuntos ciberataques para obtener la información sobre avances al respecto y los tratamientos para el COVID-19. Aunque los gobiernos acusados niegan su participación, este episodio derivó en el cierre del consulado chino en Houston (Revista Semana, 2020).
Todo esto muestra la generalización del fenómeno y es ratificado por el estudio anual Cyber Resilient Organization (2018) que muestra que un 77% de las organizaciones no están preparadas para enfrentar los ataques cibernéticos y que tampoco tienen un plan consistente de respuesta ante dichas amenazas (IBM, 2018).
En consecuencia, los países y las organizaciones supranacionales han dirigido sus esfuerzos a contrarrestar acciones similares y han originado agencias gubernamentales encargadas de la seguridad informática. En Estados Unidos se creó el Computer Emergency Response Team Coordination Center (como un centro de alerta y reacción frente a estos ataques); en España está el Instituto Nacional de Ciberseguridad (INCIBE); en la Unión Europea se encuentra el Centro Europeo de Ciberdelincuencia; en Alemania se cuenta con el Centro Nacional de Defensa Cibernética; en México se tiene la UNAM CERT (como un grupo de profesionales que evalúa vulnerabilidades en los sistemas de Información en México); en la OTAN se creó el Cyber Defence Management Authority (CDMA). En Colombia está el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (ColCERT), con participación del Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC) y la Policía Nacional de la República de Colombia (Colcert, 2017).
El esfuerzo mundial se encuentra en la Agenda de la International Telecommunication Union (ITU) (Global Cybersecurity Agenda -GCA-), con 193 Estados miembros, que pretende afrontar el fenómeno de ciberseguridad en sus cinco pilares (legal, técnico, organizativo, creación de capacidades y cooperación).
Esta agencia genera periódicamente el índice global de ciberseguridad que muestra el estado del tema en países y regiones. Los resultados más recientes muestran el compromiso y trabajo de todos los países respecto a ciberseguridad, el fortalecimiento del tema en naciones de todas las regiones (aunque con algunas brechas entre ellos) y la necesidad de trabajar en acciones de mejora sobre cooperación, creación de capacidades y organización. Resalta el caso de África y América, que presentan los mayores desafíos, requiriendo de mayor participación y de apoyo continuo (ITU, 2017), a pesar de las estrategias implementadas en la región para fortalecer el tema (Hernández, 2018). Todo ello se da enmarcado en las discusiones sobre la necesidad de intervención de los Estados sobre el manejo de la información, los niveles y restricciones de acceso y uso de esta, pero que podría limitar las libertades individuales (Koch, 2015).
En cuanto a personas, se presentan también afectaciones graves por estos delitos cibernéticos. Un ejemplo es el juego ruso nombrado "reto de la ballena azul" (2017) que mundialmente invitaba a los niños y adolescentes a hacerse daño físico y psicológico, llevándolos incluso al suicidio, o la FaceApp de envejecimiento (2019) que robaba datos personales (Vanguardia, 2019). En Colombia se estimó que en 2020 los ataques cibernéticos podrían afectar a 4.000 millones de personas (Policía, 2017d).
Esto se ha hecho tan relevante que se calcula que la inversión mundial en seguridad cibernética se duplicará entre los años 2016 y 2021 (rebasando los 6 trillones de dólares) y que los empleos relacionados se triplicarán (pasando de 1 a 3,5 millones en este mismo periodo). Esto se relaciona con el aumento global en el número de internautas (pasó de 2.000 a 3.800 millones entre 2015 y 2017) y que se estima llegará a 6.000 millones en 2022 (Oppenheimer, 2018).
Como se observa, la ciberseguridad va a transformar las formas de trabajo, a generar nuevos perfiles de cargos y a crear nuevos programas académicos relacionados pues se prevé que en 2022 se requerirán 3,5 millones de profesionales en ciberseguridad (Jordan y Dixon, 2018). También los salarios de los expertos empiezan a superar el de muchas profesiones.
Ciberseguridad y análisis de riesgos informáticos
La ciberseguridad se enfoca entonces en la protección de la infraestructura computacional y de la información circulante en las redes informáticas, aunque también del diseño de normas, procedimientos, métodos y técnicas que posibiliten seguridad y confiabilidad en los sistemas de información. Esto es importante pues los ataques en el ciberespacio afectan no solo en el mundo digital sino que pueden concretarse en el ámbito físico, por ejemplo, dañando sistemas estructurales de una organización, una nación o una región (Saavedra y Parraguez, 2018b).
Por ello, actualmente se cuenta con estándares, protocolos, métodos, reglas, herramientas y normas para minimizar los riesgos y amenazas cibernéticas, que comprenden software, programas, bases de datos, archivos y hardware. Entre las normas de seguridad informática se encuentran también horarios de funcionamiento, restricciones de acceso, autorizaciones y denegaciones, perfiles de usuario y planes de emergencia.
No obstante, las amenazas a la seguridad informática aparecen principalmente debido a: a) usuarios con permisos sobredimensionados, sin restricción a accesos innecesarios; b) programas maliciosos; c) errores de programación; d) acceso de intrusos; e) generación de siniestros, robos e incendios; f) acceso de personal técnico interno; g) catástrofes naturales, o h) ingeniería social (errores humanos, falta de precaución al compartir contraseñas, claves, códigos o por descarga de archivos) (Incibe, s.f.). Un riesgo adicional se encuentra en la estrategia de efectuar ataques con baja tasa ("bajo perfil") y que terminan siendo más efectivos pues generan menor posibilidad de detección (Sawyer y Hancock, 2018).
Debido a ello, algunas legislaciones se centran en implantar políticas de seguridad de la información que impidan su pérdida o robo en organizaciones públicas y privadas (Incibe, s.f.) y que cumplen múltiples criterios técnicos. Como complemento, en torno al tema de ciberseguridad se ha incorporado el proceso de análisis de riesgos informáticos, que comprende la identificación de activos informáticos, sus amenazas y vulnerabilidades, su probabilidad de ocurrencia y su impacto, buscando determinar los controles adecuados para evitar, minimizar y transferir el riesgo de daños o pérdidas para personas y organizaciones. Entre los muchos modelos existentes se encuentra el de Henriques, Silva, Poleto, Camara, y Cabral (2018).
Estos controles deben implantarse mediante un esquema de protección que preserve al sistema y la confidencialidad, integridad y disponibilidad de los datos. Para ello se hace uso de la matriz de riesgo en la cual se ubican los factores identificados y sus relaciones para determinar objetivamente los riesgos relevantes en seguridad de la información, al igual que el nivel de riesgo ante posibles ataques informáticos, permitiendo contrastar la probabilidad de ocurrencia con los posibles impactos. Esto facilita proponer acciones concretas que minimicen los riesgos y estimar su impacto sobre la seguridad de la información. La fórmula para estimar este riesgo total es: RT (Riesgo Total) = Probabilidad x Impacto Promedio
En la Figura 1 se ejemplifica una gráfica derivada de esta matriz en la que se observa la existencia de riesgo de nivel medio alto (punto ubicado en el plano).
Como complemento, internacionalmente se generó el marco para la mejora de la seguridad cibernética en infraestructuras críticas (Barrett, 2018), cuya estructura en cinco funciones se plantea con un lenguaje común y metodologías que permiten abordar y administrar el riesgo de seguridad cibernética, al identificar y priorizar acciones de mitigación (Tabla 2):
Tabla 2 Marco para ciberseguridad
| Función | Categoría |
|---|---|
| Identificar | • Gestión de activos |
| • Entorno empresarial | |
| • Gobernanza | |
| • Evaluación de riesgos | |
| • Estrategia de gestión de riesgos | |
| • Gestión de riesgo de la cadena de suministro | |
| Proteger | • Gestión de identidad y control de acceso |
| • Conciencia y capacitación | |
| • Seguridad de datos | |
| • Procesos y procedimientos de protección de la información | |
| • Mantenimiento | |
| • Tecnología protectora | |
| Detectar | • Anomalías y eventos |
| • Vigilancia continua de seguridad | |
| • Procesos de detección | |
| Recuperar | •Planificación de recuperación |
| • Mejoras | |
| • Comunicaciones |
Fuente: Barrett (2018).
Sistemas de gestión de ciberseguridad para la información
Como se hace evidente, es imposible un nivel de protección total frente a los delitos cibernéticos, incluso cuando existe un enorme presupuesto. No obstante, la implementación de los Sistemas de Gestión de Seguridad de la Información (SGSI) es fundamental para ello, pues contribuye a que los riesgos cibernéticos sean conocidos, asumidos, gestionados y minimizados de forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a las modificaciones en los riesgos, entorno y nuevas TIC.
Un SGSI contempla los procedimientos y planifica e implanta controles de seguridad basados en una evaluación de riesgos y en una medición de su eficacia (ISO, 2005). Por ello se indica que este sistema de gestión debe contemplar elementos como el manual de seguridad, los procedimientos, las instrucciones, los checklist, los formularios y los registros sobre la información y que deben fundamentarse en el desarrollo del ciclo PHVA como base para su implementación y gestión (que resulta reiterativo en los diversos sistemas de gestión de la calidad).
Por supuesto, el SGSI puede integrarse con otras normas de calidad como ISO 9001, ISO 14001 e ISO 45001 (antes OHSAS 18001), aunque existen otros estándares internacionales al respecto: la guía para el desarrollo de una estrategia de ciberseguridad nacional (ITU, 2018), la revisión de los avances frente a las políticas para la protección de infraestructura e información crítica (OECD, 2019) y el Reglamento General de Protección de Datos (GDPR), con el que la Unión Europea (UE) tiene la intención de reforzar y unificar la protección de datos para todos los individuos allí (European Parliament y Council of the European Union, 2016), entre otros. Este último también se ocupa de la exportación de datos personales fuera de la UE. En ese marco, cada país cuenta con una Asociación de Protección de Datos (DPA), que es responsable del cumplimiento de la General Data Protection Regulation (GDPR) (Powerdata, 2019).
La ISO 27001
La norma internacional específica para los sistemas de gestión de la ciberseguridad y de la seguridad de la información es la ISO/IEC 27001 (ISO, 2005), emitida por la International Standards Organization (ISO) y la International Electrotechnical Commission (IEC), la cual tiene su primera versión en 2005 y se fundamenta en la norma BS 7799-2. Su versión más reciente es de 2013, aunque su documento conceptual se actualizó en 2018 (ISO, 2018).
Este es el principal estándar mundial sobre seguridad de la información, con un amplio abanico de aplicación (organizaciones con o sin fines de lucro, privadas o públicas, pequeñas o grandes), que proporciona una metodología para implementar la gestión de la seguridad de la información para reducir los riesgos hasta un nivel aceptable y dándole la posibilidad de certificarse, como ha ocurrido mundialmente con muchas empresas (ISO, 2005).
En la encuesta anual realizada por la ISO (2005) a nivel global (consulta a los organismos de certificación sobre número de certificados generados) se observa que finalizando 2016 ya existían 33.290 certificados otorgados (21% más frente al 2015, cuando había 27.536). Para el 2015, un 44% de registros estaban en el este de Asia y Pacífico, 38% en Europa, 9% en Asia Central y Sur, 5% en Norteamérica, 2% en Medio oriente, 1 % en América Central y del Sur y 0.5% en África. Japón encabeza con 8.240 registros; en Latinoamérica, México lidera con 104, seguido de Colombia con 103, Brasil con 94, Argentina con 52, Chile con 32, Perú con 22 y Uruguay con 21 (Datasec, s.f.). Esto evidencia una brecha entre países en vías de desarrollo y los denominados países del primer mundo.
Este marco brinda tranquilidad a los diversos grupos de interés sobre la protección de la integridad de sus datos y sistemas, muestra compromiso con la seguridad de su información, genera oportunidades de negocio, mejora los estándares éticos de los empleados y reduce los riesgos de fraude, pérdida de datos o divulgación de información no deseada, entre otros beneficios.
Colombia y ciberseguridad
Colombia tampoco ha sido ajena a los ciberataques y, a pesar de los evidentes riesgos, se sabe que cerca del 43% de las empresas colombianas no están preparadas para enfrentarlos, lo cual ha impactado negativamente en muchos frentes, incluido el económico, pues solo en 2015 Colombia registró pérdidas por cerca de 1 billón de dólares por ciberataques (Revista Dinero, 2016). En consecuencia, en 2017 el país vio afectadas más de 12 empresas por el ciberataque mundial de un ramsomware que secuestraba información para exigir pagos en bitcoins, siendo más potente que su predecesor Wanna Cry (El Tiempo, 2017) y que llegó a afectar incluso entidades públicas como el Instituto Nacional de Salud (El Heraldo, 2017). Adicionalmente, estos delitos presentan bajo índice de denuncia pues solo un 40% son reportados, aunque solo en 2016 se recibieron 7.118 denuncias al respecto.
La situación en organizaciones privadas se observa en el estudio denominado Impactos de los incidentes de seguridad digital en Colombia 2017, trabajado entre OEA y MinTIC2 . Allí se destaca que el 70% de las grandes empresas sí se sienten muy preparadas o preparadas para un incidente digital, frente a un 45% de las microempresas y un 22% de todas las empresas consideran estar en nivel medio de preparación. El 37% de microempresas, 58% de pequeñas, 64% de medianas y 58% de grandes empresas solo tienen un departamento de TI para encargarse de la seguridad digital y solo el 22% de micro, 18% de pequeñas, 7% de medianas y 21% de grandes empresas indicaron que tenían un área específica de seguridad digital. En cuanto a la evaluación del riesgo cibernético, la industria lo evalúa con 50%, el comercio con 32% y los servicios con 45% (MinTIC, 2017d).
Adicionalmente, están los ciberdelitos asociados con el uso de internet para la intimidación, ridiculización, amenazas, extorsión y sextorsión (priorizando niños y adolescentes) y cuyos réditos se monetizan frecuentemente en criptomonedas, por tener menor regulación. Según el balance de cibercrimen en Colombia (Policía Nacional de Colombia, 2017a), estos delitos se presentan mayoritariamente en las ciudades principales y han venido incrementando. En 2017 los principales delitos informáticos fueron la ciberinducción al daño físico (508 alertas); la estafa por suplantación de simcard (pérdidas cercanas a los $7.690'000.000); el vishing (tráfico de datos financieros personales) (afectación por $2.132'000.000); el fraude por falso WhatsApp (381 casos); las ciberpirámides (montos cercanos a l.500 millones de pesos); el ransomware (usado para atacar entidades públicas como el Instituto Nacional de Salud); el carding (comercialización de datos de tarjetas crédito y débito) (pérdidas cercanas a $60.000'000.000); las ventas ilícitas en internet; y la pornografía infantil, entre otros (Policía Nacional de Colombia, 2017c).
En los últimos años el centro cibernético policial ha recibido reporte de l5.565 delitos informáticos a personas y organizaciones que muestran un incremento (Policía Nacional de Colombia, 2017b). En 2014 los delitos contra ciudadanos llegaban al 92%, en 2015 al 63% y en 2016 al 57%, mientras que contra empresas pasó de 5% a 28% en ese periodo. El desarrollo del internet en el país ha favorecido este fenómeno, con una penetración del 34,52% en la población, alcanzando 16'898.138 de suscriptores a internet en 2017 (62,59% en internet móvil) (MinTIC, 2017a). Otro factor detonante es el crecimiento en el uso de correo electrónico, redes sociales, comercio electrónico y aplicaciones bancarias, entre otros.
Ya en 2019 se llegó a 30.410 delitos informáticos denunciados (54% más que en 2018) y se distribuyen en: phishing (42%), suplantación de identidad (28%), envió de malware (14%) y fraudes en medios de pago online (16%) (principalmente en Bogotá, Cali, Medellín y Barranquilla). Este año tomó auge la duplicación de perfiles de Facebook con fines de estafa, recibiéndose más de 1.000 denuncias (RED+, 2019), el uso del ransonware aumentó 500% en el país (Colombia ocupa el quinto puesto en la región en su índice de propagación), la modalidad del Business Email Compromise (BEC), o estafa sofisticada, dejó pérdidas estimadas en US$130.000, el skimming (fraude en cajeros electrónicos) registró 84 incidentes y la comercialización de estupefacientes en redes sociales llegó a 280 casos detectados. Ese mismo año, las grandes y medianas empresas reportaron cerca de I4'000.000 de intentos de ciberataques (correos fraudulentos, suplantación de identidad, enmascaramiento de correos e infección de sitios web) (El Tiempo, 2019).
En el informe Tendencias de cibercrimen en Colombia (2019-2020) se indica que los criminales están usando inteligencia artificial, por ejemplo, para enviar audios o videos a empresas suplantando a ejecutivos, clientes y proveedores para realizar transferencias monetarias (Policía Nacional de Colombia, 2019). De esta forma, se puede observar que el cibercrimen ya no es realizado espontáneamente por individuos aislados, sino que es cometido de manera estructurada por organizaciones delincuenciales muy especializadas, con carácter transnacional, que hacen segmentación y ubicación de las posibles víctimas a través de las redes sociales y que despliegan gran variedad de técnicas de seguimiento.
La vulnerabilidad frente a la ciberdelincuencia aumentó en 2020 debido al confinamiento preventivo derivado de la aparición del coronavirus (COVID-19), como consecuencia del aumento en la virtualización de la vida y el trabajo: clases remotas en colegios y universidades, incremento en el uso de aplicaciones de mensajería, aumento de transacciones bancarias online, compras por internet, comunicación de información por correo, expedición de documentos online, reuniones de trabajo con apoyo en TIC y diversas aplicaciones, entre otros. Aprovechando el aumento en el uso de medios virtuales y la imposibilidad de desplazamiento, se ha incrementado el uso de páginas falsas, textos desinformativos, mensajes con virus adjuntos y llamadas engañosas para apropiarse de datos bancarios (El Tiempo, 2020). Para ello se valen del uso de dominios falsos relacionados con el COVID-19, correos electrónicos con phishing informando sobre la pandemia, mensajes sobre ayudas financieras, comunicados divulgando devolución de impuestos, mensajes SMS con enlaces a aplicaciones malignas, etc. De igual manera, las organizaciones también están siendo hackeadas, aprovechando las debilidades de los sistemas domésticos de los trabajadores que laboran desde casa (sin cortafuegos, políticas de seguridad, ni filtros que limiten el descargue de aplicaciones, lo que implica un alto riesgo) (Noticiero CM&, 2020).
Por su parte, las plataformas gubernamentales tampoco escapan a estos ataques ni han podido evitar el uso de su nombre para cometer delitos, por ejemplo, en el envío de falsos correos. Esto ha afectado a organizaciones estatales como la DIAN, la Fiscalía General de la Nación, el SIMIT (tránsito), etc. Así, los delincuentes han logrado que los ciudadanos descarguen archivos (malwaré) que les permiten acceder a los equipos para sustraer, secuestrar o destruir información. Por esta tendencia, en 2018 y 2019, altos funcionarios del gobierno de Colombia y de la Organización del Tratado del Atlántico Norte (OTAN) se reunieron para abordar el tema de la ciberdefensa y la ciberseguridad.
Ante estos desafíos de seguridad digital, las organizaciones estatales no se encuentran en buena situación, en la mayoría de los sectores en que se encuentran (política estatal No. 7), pues su calificación promedio al respecto fue de 74,2 y 77,8 para los años 2018 y 2019, respectivamente, aunque algunos sectores sí registran calificación superior a 80 (Reporte de Resultados Sectoriales de Desempeño Institucional Nación sobre seguridad digital en el Formulario Único Reporte de Avances de la Gestión -FURAG-, en el marco de Modelo Integrado de Planeación y Gestión -MIPG-) (Tabla 3).
Tabla 3 Resultados desempeño en seguridad digital (2018-2019) en entidades estatales por sector
Fuente: Departamento Administrativo de la Función Pública (2019).
Como se observa existe una mejora para 2019 frente a la seguridad digital de los diferentes sectores estatales. Esto se debe gracias a la creciente normatividad y a la preocupación gubernamental por contrarrestar estas ciberamenazas, que se hace manifiesta en estrategias como el programa Agenda Estratégica de Innovación; (MinTIC, 2017b), y que muestra cómo la ciberseguridad (ciberespacio, seguridad informática y ciberdefensa, entre otros) se ha convertido en un eje estratégico y prioritario para proteger los recursos y activos informáticos de la nación.
Igualmente, a través de la política de gobierno digital y el programa de gobierno en línea (Gobierno de Colombia, 2018), el Estado ha diseñado políticas, procedimientos, monitoreo y asistencia técnica para fortalecer los temas de ciberseguridad y ciberdefensa, usando parámetros y modelos que propenden por la confidencialidad, la integridad y la disponibilidad de los datos.
En cuanto a la detección de riesgos cibernéticos, dada la complejidad tecnológica asociada y la gran variedad de entidades que conforman el estado, se vienen desarrollando modelos de riesgos para la detección y análisis de amenazas y vulnerabilidades en sus sistemas de información para apoyar la prevención, protección y detección temprana de incidentes cibernéticos. Asimismo, el Ministerio de Tecnologías de la Información y las Comunicaciones, el Ministerio de Defensa, la Policía y ColCERT (Colcert, s.f.)3 vienen desarrollando esquemas de perfilación, monitoreo y control de la infraestructura crítica del país que puede estar expuesta a ataques cibernéticos que pueden llevar a catástrofes para la nación y afectar su soberanía. En el mismo sentido, en abril de 2016 se creó el Cibergaula (Policía Nacional de Colombia, 2018), para contrarrestar delitos de ciberextorsión, y desde 2018 se generó el Computer Security Incident Response Team (CSIRT), conformado por la Policía, Colcert y MinTIC, para prevenir y responder a los ataques informáticos dirigidos a entidades públicas.
Apesar de ello.aún se carece de un número suficiente de expertos en la temática que permita seguir avanzando al ritmo en que el cibercrimen se viene desarrollando y sin que exista una tendencia en procesos de formación que esté acompañando el proceso. En el ámbito académico (SNIES) solo se encuentra la Maestría en Ciberseguridad y Ciberdefensa (Ministerio de Educación Nacional, 2017) que se desarrolla con alianza entre la Escuela Superior de Guerra (s.f.) y el MinTIC. Lo mismo ocurre en la educación para el trabajo y el desarrollo humano (educación no formal), en donde hasta el año 2018, existía escasa oferta de diplomados y cursos sobre este tema, exceptuando el Diplomado en Ciberseguridad y Ciberdefensa que oferta la misma Esdegue. Gracias a la realidad descrita es que en los útimos años se ha venido ampliando significativamente la oferta, como es el caso del Diplomado de Ciberseguridad y Cultura Cibernética de la UMNG y otros programas relacionados, en diversas universidades del país. No obstante, al respecto tendrían que considerarse aspectos curriculares y educativos para la formación sobre la temática (Cayón y García, 2014).
Todo esto muestra la magnitud de este fenómeno, sus múltiples manifestaciones y la vulnerabilidad existente en el país, que ha elevado el nivel de riesgo existente en función de los nefastos impactos que se pueden generar para ciudadanos y organizaciones.
Sistemas de gestión y normas de ciberseguridad en Colombia
En cuanto a los sistemas de gestión, el MinTIC publicó el Modelo de Seguridad y Privacidad de la Información (MSPI), el cual se encuentra alineado con el Marco de Refe rencia de Arq uitecturaTI y soporta transve rsalmente los otros componentes de la estrategia GEL, a saber: TIC para servicios, TIC para gobierno abierto y TIC para gestión (MinTIC, s.f.).
Este modelo toma como base las buenas prácticas de seguridad de la ISO 27001 de 2013 y la Ley de Protección de Datos Personales, Transparencia y Acceso a la Información Pública, entre otras, y pretende preservar la confidencialidad, integridad y disponibilidad de los activos de información, garantizar el buen uso y privacidad de los datos, contribuir con la transparencia en la gestión y promover el uso de las mejores prácticas de seguridad de la información en las entidades públicas (como base de la seguridad digital).
De esta forma, el MSPI constituye la base de la estrategia de gobierno digital impulsado por el Estado y que se ha hecho obligatoria para todas las entidades públicas de orden nacional y territorial, por lo que se estableció el 2020 como plazo para su implementación general, buscando construir un Estado más eficiente, transparente y participativo (MinTIC, s.f.). Unido a esto, se encuentra la Política de Seguridad Digital del MIPG.
Por otra parte, teniendo en cuenta la grave situación de cibercrimen en el contexto global, y dado el alto grado de vulnerabilidad de Colombia en torno a los delitos informáticos, el país también ha tenido que ir trabajando en la generación de políticas, marcos normativos, actos administrativos y otras figuras jurídicas que incorporan los delitos informáticos en la legislación para fortalecer los procesos jurídicos, constitucionales, penales y sancionatorios frente al tema, con lo cual se ha logrado ya un marco jurídico amplio al respecto (Tabla 4).
Tabla 4 Marco normativo sobre ciberseguridad en Colombia
| Normatividad | Descripción |
|---|---|
| Ley 527 | Acceso y uso de mensajes de datos, comercio electrónico y firmas digitales, y se determinan entes certificadores (Congreso de la República de Colombia, 1999). |
| Ley 594 | Seguridad de archivos (Congreso de la República de Colombia, 2000a). |
| Ley 599 | Violación ilícita de comunicaciones, derechos de autor y algunos delitos informáticos en el Código Penal (Congreso de la República de Colombia, 2000b). |
| Ley 679 | Prevención y ataque contra la explotación, la pornografía y el turismo sexual con menores (Congreso de la República de Colombia, 2001). |
| Ley 962 | Reducción de trámites y procedimientos administrativos de entidades públicas o privadas con funciones públicas o de servicios públicos (Congreso de la República de Colombia, 2005). |
| Ley 1266 | Habeas data y manejo de información de bases de datos personales (Congreso de la República de Colombia, 2008). |
| Ley 1273 | Modificación del Código Penal para acoger la protección de la información y la preservación integral de los sistemas que usan TIC (Congreso de la República de Colombia, 2009a). |
| Ley 1341 | Principios y conceptos sobre la sociedad de la información y la organización de las TIC y creación de la Agencia Nacional del Espectro (Congreso de la República de Colombia, 2009b). |
| Ley 1437 | Pruebas electrónicas para tipificar los delitos en el Código de Procedimiento Administrativo y de lo Contencioso Administrativo (Congreso de la República de Colombia, 2011a). |
| Ley 1480 | Protección al consumidor por medios electrónicos y seguridad en transacciones electrónicas en el Estatuto del Consumidor (Congreso de la República de Colombia, 2011b). |
| Decreto-Ley 019 | Reducción de trámites en el estado a través de medios electrónicos y establecimiento de criterios de seguridad (Presidencia de la República de Colombia, 2012a). |
| Decreto 2693 | Estrategia de gobierno electrónico (Presidencia de la República de Colombia, 2012b). |
| Decreto 2364 | Posibilidad de la firma electrónica (Presidencia de la República de Colombia, 2012c). |
| Decreto 2609 | Posibilidad del expediente electrónico en el esquema de gestión documental estatal (Presidencia de la República de Colombia, 2012d). |
| Ley 1581 | Regula la protección de datos personales de los individuos (Congreso, 2012). |
| Ley Estatutaria 1621 | Normatividad para las labores de Inteligencia y contrainteligencia y criterios de seguridad para este rol (Congreso de la República de Colombia, 2013). |
| Decreto 1377 | Reglamenta la protección de datos personales de los individuos (Presidencia de la República de Colombia, 2013a). |
| Decreto 1510 | Contratación y compra pública por medios electrónicos (Presidencia de la República de Colombia, 2013b). |
| Ley 1712 | Criterio de transparencia en el acceso a la información pública (Congreso de la República de Colombia, 2014). |
| Decreto 333 | Determina las entidades de certificación digital (Presidencia de la República de Colombia, 2014). |
| Ley 1978 | Modernización del sector de las tecnologías de la información y las comunicaciones (Congreso de la República de Colombia, 2019). |
| Decreto 620 | Lineamientos generales en el uso y operación de los servicios ciudadanos digitales (Presidencia de la República de Colombia, 2020). |
| Conpes 3975 | Política Nacional para la transformación digital e inteligencia artificial (DNP, 2019). |
Fuente: elaboración propia.
Un ejemplo de este paquete de normas se encuentra en el documento Conpes 3701 (DNP 2017) que establece los Lineamientos de política para ciberseguridad y ciberdefensa en Colombia y constituye el principal referente y derrotero de la política pública en función de desarrollar una estrategia nacional que evite y contrarreste las amenazas informáticas que puedan afectar significativamente al país hacia el futuro, entendiendo la ciberseguridad como la capacidad del Estado para minimizar el nivel de riesgo al que están expuestos sus ciudadanos, ante amenazas o incidentes de naturaleza cibernética (MinTIC, 2017c). Como complemento, se encuentra el Conpes 3854 (DNP 2016) en el cual se establece la Política Nacional de Seguridad Digital.
Se observa ya una amplia legislación en el país y avances importantes en torno a la ciberseguridad, aunque esto no ha logrado contrarrestar suficientemente las diversas modalidades de delitos informáticos existentes pues, por el contrario, se observa su crecimiento, variación y rápida evolución, sobre todo porque estos se encuentran en manos de grandes empresas criminales organizadas que terminan generando enormes perjuicios económicos y sociales.
Conclusiones
El análisis realizado muestra que, a pesar de los esfuerzos realizados, Colombia presenta importantes vulnerabilidades ante las amenazas cibernéticas. Esto se evidenció claramente en 2020 con el aumento de las interacciones mediadas por internet y otras TIC, derivado del aislamiento preventivo decretado para enfrentar la pandemia (COVID-19) y que generó un aumento significativo en los delitos cibernéticos contra Estados, organizaciones y personas.
En consecuencia, se hace necesario promover en el país sólidas políticas de seguridad que protejan la información de personas y diversas organizaciones y que incorporen las reglas y procedimientos para la gestión de la información, la protección física de los equipos en red, la determinación de barreras y procesos de acceso a datos y el establecimiento de los niveles de acceso de acuerdo con responsabilidades y funciones, la limitación de acceso a terceros, los reportes de intrusión, los estándares de seguridad, la codificación de información, el uso de software legal, el uso de protecciones ante ataques externos, los backups de información y la revisión de adjuntos en mensajería, entre otros.
También se requiere mejorar los esquemas para el análisis y la medición automatizada, continua y en tiempo real de los riesgos, amenazas y vulnerabilidades existentes en los sistemas de información gubernamental (mapas de riesgo), para decidir y actuar en prevención, protección y detección temprana de incidentes cibernéticos. Se requiere entonces diseñar y actualizar las políticas y acciones tendientes a minimizar los riesgos asociados a las amenazas cibernéticas que puedan afectar la nación, la sociedad, las organizaciones y los individuos.
Dado que este tema constituye un problema de índole mundial, se considera importante que el Estado colombiano consolide alianzas y desarrolle estrategias de cooperación internacional que le permitan aumentar los estándares de ciberseguridad y enfrentar conjuntamente las amenazas cibernéticas y proteger su infraestructura crítica, particularmente en el contexto latinoamericano (Izycki, 2018), considerando tanto la soberanía como la interdependencia (Saavedra y Parraguez, 2018a).
El gobierno debe seguir trabajando en estrategias que involucren a las entidades estatales, empresas, hogares, etc., para "blindar" el ciberespacio nacional frente a las potenciales amenazas. Como complemento, las diversas organizaciones del país deben promover y financiar la implementación de los SGSI, incluyendo la ISO 27001, para que los riesgos cibernéticos sean conocidos, asumidos, gestionados y reducidos y para que sus prácticas de protección se hagan más seguras y eficientes, pues el número de certificaciones es realmente bajo.
Igualmente, se deben fortalecer el MSPI y la Política de Seguridad Digital en el país, como referentes para todas las organizaciones y como pilar de la estrategia de Gobierno Digital que enmarca y debería estar presente en todas las entidades públicas en 2020, socializar el contenido de los Conpes 3701 y 3854 y facilitar su implementación para construir y consolidar una estrategia nacional frente a las amenazas informáticas que podrían afectarlo significativamente.
También se requiere promover y apoyar la investigación, desarrollo e innovación (I+D+i) sobre ciberseguridad, en función de generar conocimientos y soluciones de alto nivel, y desarrollar programas de educación formal (pregrados y posgrados) y de educación no formal (cursos, seminarios, diplomados, etc.) que preparen a los profesionales requeridos para trabajar en ciberseguridad en las diversas organizaciones, con competencias para generar conceptos y procedimientos propios y para analizar holísticamente los casos en el marco legislativo existente, en función de contrarrestar la ciberdelincuencia.
El Estado también debe generar mayores estrategias y acciones para la protección eficiente de la infraestructura crítica, de los sistemas de soporte operacional, de los procesos, de las plataformas de atención al ciudadano y del ciberespacio, que concuerden con la política de seguridad de la información e informar, capacitar y formar ampliamente a sus funcionarios y ciudadanos en ciberseguridad, dado que las personas resultan ser el eslabón más débil en la cadena de protección. En este sentido, el gobierno debe desarrollar consistentemente una estrategia y plan de comunicaciones sobre el tema, segmentando los destinatarios y precisando el mensaje institucional, que favorezcan las buenas prácticas en ciberseguridad, sobre todo frente al sector público (Ospina, 2020).
Finalmente, se debe fomentar la denuncia de delitos cibernéticos para poder determinar la magnitud real del fenómeno y los frentes prioritarios de acción y como apoyo a la gestión de las autoridades encargadas y avanzar rápidamente en términos legislativos para lograr la penalización de los delitos informáticos, que sí evolucionan rápidamente.
