La idea de establecer una agencia de ciberseguridad en Colombia y la región no es nueva. Ha sido una iniciativa discutida durante más de una década; fue propuesta por un grupo de expertos convocado por las administraciones Santos y Duque respectivamente.
Sin embargo, en el pasado no se avanzó en su creación, ya que se requería de forma previa fortalecer la gobernanza, los lineamientos, los estándares, protocolos y la formación del personal. El presupuesto necesario para mantener una agencia de esta naturaleza es de por lo menos $100.000 millones al año, en un país con numerosas necesidades en otros frentes.
Colombia cuenta actualmente con CSIRTs (Equipos de Respuesta a Incidentes de Seguridad Cibernética, por sus siglas en inglés) en sectores críticos como el financiero, las telecomunicaciones y el sector de energía.
Desafortunadamente, el CSIRT de gobierno adscrito al Ministerio de las TIC no ha tenido la continuidad y el presupuesto necesario para enfrentar los desafíos recientes en un país como Colombia.
No podemos subestimar la amenaza que representan los ataques cibernéticos a sectores estratégicos. La vulnerabilidad de esta infraestructura crítica expone a las naciones a riesgos considerables. En los últimos años, hemos sido testigos de un aumento en los ataques, con casos recientes que afectaron a empresas y entidades como EPM, Keralty, IFX, Invima, Dane y muchas más.
En un mundo cada vez más digitalizado, la ciberseguridad es un pilar fundamental para salvaguardar la integridad de nuestra infraestructura crítica. La creación de una agencia especializada podría ser un paso necesario y encomiable. Sin embargo, este avance conlleva riesgos significativos si se expande más allá de su propósito original, desviándose hacia la ciberdefensa, la inteligencia o la moderación de contenidos en línea, afectando la libertad de expresión y la privacidad de los ciudadanos.
La delicada línea entre la protección de la infraestructura y la invasión a la libertad en línea debe vigilarse y controlarse cuidadosamente. La historia nos ha enseñado los peligros de otorgar poderes excesivos. La agencia debería tener un mandato preciso que permita la protección de infraestructuras críticas, debería estar adscrita al Ministerio de las TIC y contar con un consejo directivo mixto, con presencia del Gobierno, pero en el que también estén presentes líderes de los CSIRT de sectores de infraestructura crítica del país y la academia.
En el Congreso cursan dos iniciativas legislativas, una del gobierno y otra del senador David Luna. La iniciativa del senador es de lejos mejor propuesta. La iniciativa del Gobierno tiene imprecisiones constitucionales y legales. Preocupan las facultades sancionatorias y la obligación de entrega de información.
Aprovecho para plantear una pregunta relevante: ¿Alguna vez sabremos qué sucedió con IFX? La recuperación a la velocidad a la que ocurrió después de un ataque de ransomware solo es posible si se pagó un rescate o si el ataque en realidad nunca ocurrió. En caso de haberse pagado, surge entonces el interrogante sobre la integridad de los datos restablecidos.
VÍCTOR MUÑOZ
Emprendedor, Investigador y analista.
