El gran dinamismo de la industria digital en los últimos años promovió la creación de dispositivos y plataformas digitales capaces de procesar y almacenar información. Cadenas de suministro de alimentos, transporte, pagos y transacciones financieras, actividades educativas, trámites gubernamentales, servicios de emergencia, y el suministro de agua y energía, entre un sinnúmero de actividades, operan en la actualidad a través de tecnologías digitales. Así, nuestra vida diaria gira alrededor de actividades cada vez más digitalizadas y, por consiguiente, más sensibles a amenazas cibernéticas.

Frente a esto, la ciberseguridad dejó de ser una práctica exclusiva del sector tecnológico y pasó a ser importante en distintas actividades. Se debe entender este concepto como la seguridad de las tecnologías de la información, enfocada en el correcto funcionamiento de los sistemas operativos y en la protección de datos. Por esto, la ciberseguridad debe ser un pilar clave en los planes de transformación digital en el Perú.

LA VALLA MUNDIAL EN CIBERSEGURIDAD

De acuerdo con el Centro Global de Capacidad en Seguridad Cibernética de la Universidad de Oxford, la madurez de la capacidad de ciberseguridad en un país se puede evaluar en 5 etapas de logro (de inicial a dinámica). En la inicial, no existe madurez en ciberseguridad o bien se encuentra en creación. En esta etapa, si bien existen discusiones sobre el desarrollo de capacidades de ciberseguridad, aún no se toma medidas concretas con evidencia observable de la capacidad de seguridad cibernética.

En la etapa dinámica, por el contrario, existen mecanismos claros para alterar la estrategia en función de las circunstancias prevalentes, como la sofisticación tecnológica del entorno de amenaza, el conflicto global o un cambio significativo en un área de preocupación (por ejemplo, delito informático o privacidad). La rápida toma de decisiones, la reasignación de recursos y la atención constante al entorno cambiante son características de esta etapa.

Es evidente que cada país enfrenta los retos de la transformación digital de manera distinta y cada uno está preparado en diferentes niveles en materia de seguridad digital. Sin embargo, el desafío es mucho mayor en países que, en un periodo muy corto de tiempo y a raíz de factores externos, como la pandemia causada por la COVID-19, han visto acelerada la inmersión de la tecnología en su economía, gestión gubernamental y provisión de servicios públicos. La ciberseguridad no solo es un componente esencial en el ambiente facilitador de la economía digital, sino también una necesidad frente a la inevitable transformación digital del país.

Frente a esto, el Banco Interamericano de Desarrollo publicó el Reporte de Ciberseguridad 2020, en el cual se exponen los riesgos, los avances y el camino en ciberseguridad para los países de América Latina y el Caribe. Este reporte, además, presenta un índice de maduración de ciberseguridad nacional, el cual evalúa 5 dimensiones: (i) política y estrategia de ciberseguridad; (ii) cultura cibernética y sociedad; (iii) educación, capacitación y habilidades en ciberseguridad; (iv) marcos legales y regulatorios; y (v) estándares, organizaciones y tecnologías.

CIBERSEGURIDAD EN EL PERÚ

Como bien resalta el mencionado reporte, a pesar de que no existe una política de seguridad cibernética en el Perú, el Plan Nacional de Ciberseguridad sentó las bases de la creación de esta estrategia y de un Comité Nacional de Ciberseguridad. Además, los avances de los últimos años, como la promulgación de la Ley 30618 y el Decreto Supremo 106-2017-PCM (que enfatizan la relevancia de los sistemas de seguridad digital), el Decreto Legislativo 1412 (Ley de Gobierno Digital) y la creación del Sistema Nacional de Transformación Digital y el Marco de Confianza Digital, representan pasos firmes en la digitalización de las actividades que exigen la reglamentación y la aplicación de sistemas fuertes de ciberseguridad en el país (ver Semanario 1021). Sin embargo, de acuerdo con el índice presentado en dicho reporte, el Perú adolece de una adecuada gestión de riesgos y respuesta ante la protección de la infraestructura crítica, falta de contenidos clave en la política y estrategia de ciberseguridad, bajos estándares en adquisiciones de tecnologías y un reducido mercado nacional de tecnologías de ciberseguridad.

De acuerdo con datos de ESET, empresa de seguridad informática, entre setiembre de 2018 y setiembre de 2019, el Perú concentró un 14% de los casos de spyware detectados en Latinoamérica, posicionándose como el tercer país con más ataques de este tipo. El último Informe de Inteligencia en Seguridad de Microsoft registró, en 2018, una tasa promedio mensual de incidentes de programas maliciosos de entre un 8% y un 12% en el Perú. Esta información fue recabada con los datos que reportan los usuarios de Windows Defender Antivirus (ver Semanario 1008).

Dadas estas cifras, y el contexto crecientemente digitalizado en el que vivimos, es fundamental generar la capacidad en el sector público para crear lineamientos claros de ciberseguridad, a fin de que toda iniciativa normativa cumpla con los estándares y tendencias mundiales y logre su objetivo. Sin embargo, como hemos observado recientemente a raíz del Proyecto de Ley 5630/2020-CR, aún queda mucho por trabajar ya que esta iniciativa normativa atentaría contra algunos principios de la economía digital, como el aseguramiento del principio de neutralidad de red. Asimismo, la regulación planteada no abordaría apropiadamente ciertos conceptos relacionados con el ecosistema digital, su ámbito de aplicación es demasiado amplio y existe el riesgo de que varias de sus disposiciones ya estén contempladas en otras leyes, lo que además puede crear conflictos de competencia entre normas e incertidumbre entre los sujetos obligados.

Implementar políticas de ciberseguridad en el país son fundamentales para salvaguardar los derechos de los ciudadanos en el ámbito digital, tales como la privacidad y la propiedad, así como para aumentar la confianza de los ciudadanos en las tecnologías digitales, y que estos puedan sentirse cómodos al acceder a dichas tecnologías. El marco normativo necesario para el ciberespacio no puede tener un enfoque reglamentarista, pues la dinámica cambiante del mundo digital implica que este se actualice constantemente, es decir, que más allá de lanzar una norma rígida, esta debería llevar consigo mecanismos de adaptación a una actividad tan cambiante como el desarrollo de tecnologías.