Con la aplicación de los desarrollos tecnológicos en los servicios que los gobiernos ofrecen a los ciudadanos, una cantidad importante de información comenzó a ser procesada en formato digital, lo que además de representar avances, también significó la aparición de riesgos de seguridad casi inherentes al uso de la tecnología.
En la actualidad, la información concerniente a los individuos es procesada, almacenada o transmitida a través de la infraestructura tecnológica de las instituciones gubernamentales, para cumplir con los propósitos de cada una de ellas.
Entre la gama de información que procesan estas instituciones podemos encontrar la que se relaciona con servicios tributarios y pago de impuestos, datos utilizados para la expedición de documentos oficiales, padrones electorales o información financiera, como ingresos, egresos o historiales crediticios.
Por ello, información relevante para las personas se encuentra en posesión de dichas instituciones, lo que representa un importante riesgo a la seguridad y privacidad de la información sensible si ésta no se protege de manera adecuada.
Datos personales, necesariamente en posesión de instituciones públicas
En una publicación anterior revisamos el tema de la importancia de la protección de los datos personales, es decir, aquella información que permite identificar, caracterizar y determinar las actividades de las personas, que se realizan tanto el ámbito público como privado.
La información pertenece a su titular, pero en ocasiones no puede decidir si la comparte o no
Esta información pertenece a su titular, por lo que es la persona quien decide si comparte su información y la forma en la que debe ser tratada por terceros que tienen acceso a estos datos. Sin embargo, aunque el usuario no pretenda compartir su información, en ocasiones no tiene la opción para decidir, ya que si no proporciona sus datos o no cuenta con un registro previo, no puede recibir determinados servicios gubernamentales en línea, lo que significa que compartir los datos, a veces resulta obligatorio.
Por ello, cuando instituciones públicas trabajan con la información de los ciudadanos, se deben tener en consideración las implicaciones que esto conlleva, así como las medidas de seguridad necesarias para mantener la confidencialidad, integridad y disponibilidad.
Por lo tanto, la información personal puede ubicarse en una enorme diversidad de sitios, ya que no solo se encuentra en instancias federales, también debemos considerar otros niveles de gobierno como los municipios o estados.
La lista de datos personales es grande y aunque muchos de ellos son utilizados por diversas instituciones que buscan identificar a los individuos. Solo por mencionar algunos ejemplos, los datos en posesión de las instituciones de gobierno pueden considerar:
- Información en documentos oficiales: pasaporte, visas, licencia de conducir, actas de nacimiento, entre otros.
- Información de salud: número de seguridad social, enfermedades padecidas, medicamentos necesarios, etc.
- Información financiera: ingresos, egresos, pago de impuestos, historial crediticio, cuentas bancarias, etc.
- Información electoral: nombre, domicilio, edad, sexo, fotografía, entre otros.
Riesgos de seguridad comunes que padecen las instituciones de gobierno
La realidad es que proporcionar esta información en la mayoría de los casos es necesario, puesto que los ciudadanos requerimos los servicios gubernamentales. Sin embargo, los inconvenientes se presentan cuando no se cuenta con controles estrictos para el manejo de las bases de datos, lo que puede representar robo o filtraciones de información, ya sea que se realice por personal interno de la institución o por algún atacante externo.
Al tratarse de datos personales, los riesgos se incrementan junto con la gama de delitos que pueden ser cometidos si esta información cae en manos equivocadas. Por ejemplo, se tienen registros de que la información sensible se vende al mejor postor, como la base de datos de los cuerpos policiacos, información sobre el parque vehicular o la lista de personas registradas en padrones electorales. No se trata de un tema nuevo, sin embargo, no se descarta que vuelva a suceder o incluso que esté sucediendo en este momento.
Sin duda, el robo y divulgación de la información es una de las amenazas que padecen las instituciones de gobierno, mismas que las afectan negativamente y de forma directa también a los ciudadanos, además de que también podrían incluir la información de empleados. De manera adicional, existen otros riesgos que pueden padecer este tipo de instituciones, que son listados a continuación:
- Hacktivismo. El término surge del acrónimo de “hacker”y “activismo” y se refiere al uso de técnicas de ataques informáticos por parte de personas o grupos con alguna posición ideológica, realizados principalmente como una forma de protesta en referencia a temas sensibles como la política, Derechos Humanos, libertad de expresión, entre otros. Los ataques comúnmente utilizados por hacktivistas se relacionan con modificaciones en sitios Web gubernamentales (defacement) o ataques de denegación de servicio (DoS).
- Denegación de servicio. Conocido como DoS (por sus siglas en inglés Denial of Service) se trata de un ataque que se lleva a cabo generando un gran flujo de información desde varios puntos de conexión, a través del envío de determinados paquetes de datos a los servidores, con el propósito de saturar su capacidad de procesamiento y forzar que el servicio colapse. Este tipo de ataques puede generarse de manera ampliada, lo que se conoce como denegación de servicio distribuido y generalmente emplea botnets o redes de equipos zombis para cumplir su cometido.
- Defacement. Se trata de un tipo de ataque a sitios web en el cual el agresor logra tener acceso a un servidor y modifica el contenido de la página, generalmente reemplazándola con su propio código. En ocasiones también permiten la diseminación de malware mediante, por ejemplo, la inclusión de scripts
- Códigos maliciosos. Conocido como malware, se trata de una gama importante de programas o aplicaciones diseñados con un propósito dañino. Se considera malware a distintos tipos de amenazas, cada una con características particulares (troyano, gusano, virus, entre otros). Se relaciona con las amenazas anteriores, ya que una vez que los servidores son vulnerados, pueden ser utilizados para propagar programas maliciosos, así como compartir contenido que se adquiere de manera ilegítima. Estudios de dominios gubernamentales han mostrado que una proporción importante de sitios de entidades oficiales padecen algún tipo de infección por códigos maliciosos.
Medidas de seguridad para cuidar de la información
Hemos revisado de manera general el conjunto de información sensible que puede ser objeto de amenazas informáticas, con situaciones en las cuales la información puede adquirirse libremente sin ningún tipo de restricción, lo que puede representar un daño patrimonial para las personas e incluso un riesgo para su integridad.
Se requiere la participación de gobiernos para legislar en seguridad y fomentar las instituciones encargadas de hacer cumplir las leyes
En este contexto, las amenazas informáticas y riesgos de seguridad no solo pueden tener un origen externo: el personal interno también puede generar algún tipo de daño, de tal forma que no solo la información de los ciudadanos puede estar en peligro, sino información propia de las instituciones. Por ello, la seguridad de la información cobra relevancia ya que aplicando medidas de protección para el cuidado de los datos, es posible evitar otro tipo de afectaciones de mayor gravedad.
Consecuencias como la pérdida de credibilidad de los gobiernos, afectaciones negativas a la imagen de las instituciones, daños patrimoniales o a la integridad de las personas, no disponibilidad de servicios públicos y un sinnúmero de daños más, pueden ser evitados o minimizados con una adecuada protección de información.
Como lo hemos mencionado en otras oportunidades, esto se traduce en un esfuerzo conjunto entre distintas entidades. Por un lado se requiere la participación de los gobiernos encargados de legislar temas de seguridad y fomentar la creación de instituciones encargadas de hacer cumplir las leyes.
Además las entidades que procesan la información de los usuarios en el marco de las normas, estándares, legislaciones o reglamentos enfocados en la protección de los datos; la participación de los usuarios a través de la aplicación de buenas prácticas de seguridad, y finalmente las empresas y organizaciones que tiene como principal propósito la seguridad de la información.