Asobancaria sugiere cambios en materia de ciberseguridad para Colombia basados en errores conceptuales y desconoce la responsabilidad que deberían tener las entidades financieras del país
El 5 de enero de 2009 Colombia dio un paso gigante frente a los delitos informáticos. Ese día culminó el trabajo de varios años de un grupo de expertos que por primera vez lograron crear un articulado de nuevos delitos en la era digital.
En la Ley 1273 quedaron claramente definidos los delitos informáticos. Si se revisa cuidadosamente el texto, en ninguno de los artículos se usa la expresión ´hackeo ‘para definir o ayudar a describir un delito.
No es un hecho menor, la documentación académica y quienes hemos estudiado y escrito sobre el tema, sabemos con precisión que la expresión no se debería relacionar con actividades ilegales. Solo su génesis semántica (hack) hace referencia a otro tipo de actividades.
Existen gran cantidad de documentos que hablan del tema. En MuchoHacker, el libro, escribí un capítulo entero explicando el tema. Existen libros básicos como Hacker Culture de Douglas Thomas que explican la evolución de la palabra y sus usos en el tiempo.
En resumen: la decisión de relacionar la expresión “hackeo” con actividades delictivas es un desafortunado calificativo y mucho más si viene oficialmente de un grupo de expertos que nada más y nada menos representan a los bancos de Colombia.
No es con nosotros, no nos pidan plata
Pero más allá de este error básico conceptual, el informe que en teoría busca ofrecer ideas y conceptos para mejorar la ciberseguridad del país, traslada un número de responsabilidades al “país” y carece de una autorreflexión sobre los cambios necesarios que debe hacer el sistema financiero colombiano, policial y acusatorio para que la gente no siga padeciendo por delitos informáticos.
Según un panel de expertos que se reúnen para debatir estos temas y donde están la Policía, Fiscalía y Bancos (Donde no se invitan a los afectados ni a quienes llevamos años generando conocimiento del tema) el principal problema es “es la falta de incentivos de los usuarios en descargar y mantener un sistema de antivirus en los dispositivos digitales”.
Por supuesto una conclusión debatible y de alguna manera que ignora otros problemas estructurales.
Solo basta buscar en Internet qué piensan los expertos sobre si la solución al problema está en la instalación de Antivirus. No existe un acuerdo. Si bien es claro que se recomienda su uso varios expertos indican que sola la presencia del software no garantiza la seguridad. Frente al tema existen varios debates internacionales. Por ejemplo: ¿Qué pasa si un dispositivo es afectado por un desarrollo que no existe en ninguna base de datos de un antivirus?
El documento plantea otros problemas que tendría Colombia. Uno de ellos, y quizás es el más complejo es: “No hay un procedimiento claro que permita bloquear rápidamente las direcciones IP y dominios de donde proceden los malware maliciosos”.
Este punto es bien problemático porque sin saberlo Asobancaria está diciendo que el país no tiene actualmente como bloquear IP identificadas como atacantes pero peor aún desconoce que desde la propia infraestructura del Estado se están desplegando ataques como lo hemos reportado.
¿Está sugiriendo Asobancaria que se creen métodos rápidos para el bloqueo de dominios desde donde se observa un ataque así sea desde un sitio web del Estado? WTF.
Y peor aún: ¿Asobancaria en medio de conceptualización técnica deficiente ,como el uso de la palabra hackeo, está sugiriendo al país que desarrolle habilidades para bloquear sitios de Internet?. ¡Pero qué puede salir mal!
Finalmente, en el único punto en el que no puedo estar más de acuerdo es en la necesidad de educar al país.
Sin embargo, me da un poco de pena tener que leer que un panel de expertos que representan al sistema financiero Colombia se atreva a sugerir que se usen recursos públicos para llevar a cabo esta tarea. Estamos hablando de un sector cuyas ganancias fueron, al cierre del 2012, de 14,2 billones de pesos.
Asobancaria pretende que a través de las emisoras de la Policía y de los medios públicos (que entre otras escribieron mal RTVC) se detengan mediante actividades educativas sofisticadas operaciones de vulneración digital que buscan el robo de recursos.
Si bien es claro que desde el sector público se debería iniciar un programa educativo sólido y robusto a mediano y largo plazo Asobancaria pretende omitir cualquier idea de invertir en educación cuando es uno de los principales afectados .
A diario cientos de personas pierden recursos precisamente por la baja calidad de sistemas de seguridad financieros colombianos. Solo basta recordar el caso del robo a través de la devolución del IVA, la app falsa de Daviplata, el truco de robo con el falso comprobante de Nequi, entre otros.
Solo basta recordar camapañas educativas tan pateticas como la de Davivienda en donde intentan difundir la idea que una estafa es una cosa de tias que viaja por Whastapp.
El informe finalmente muestra que Asobancaria no asume resposabilidad alguna en la vulnerabilidad del sistema.
No se necesita tener un panel de expertos para concluir que existen problemas mucho más complejos y estructurales que no se van a solucionar con la instalación de un antivirus.
Documento de Politica Publica para reducir el delito de hackeo? Existe el delito de hackeo? Jaja que documento tan chimbo! Esos de As0banc4ria nos creen pendej*s? Tal como lo has explicado en el post, no es necesario ser un experto en la materia para notar esas propuestas tan vergonzosas. Hay que ser demasiado ignorante para creer que un antivirus con licencia gratuita va prevenir esas amenazas, cuando existen malw4r3s que utilizar las tecnicas de ofuscacion y se valen de los cero day.