Anatomía de la ciberseguridad pública en Argentina

El documento analiza cómo el Poder Ejecutivo Nacional de la República Argentina gestionó la ciberseguridad desde diciembre de 2019 hasta diciembre de 2023. En primer lugar, se presenta un resumen de las principales terminologías utilizadas en la investigación, así como una descripción del contexto más amplio en América Latina y el Caribe y la Unión Europea en materia de ciberseguridad.

La protección del ciberespacio ha pasado a ser una prioridad central en las agendas gubernamentales a nivel mundial, con el propósito de asegurar la seguridad nacional y fomentar una sociedad digital que se sustente en la confianza.

¿Pero qué sucedió en la Argentina durante esos años en materia de ciberseguridad? ¿Hubo muchos ciberataques contra las oficinas gubernamentales? ¿Se comunicó a la ciudadanía de forma efectiva sobre los incidentes?

Te puede interesar: Argentina e Italia: con lazos culturales profundos y un escenario de alianzas por el acuerdo Mercosur–UE

Para responder a estas preguntas, este documento mapea una serie de datos que, vistos de manera aislada, pueden no parecer significativos, pero que, al analizarse en conjunto, podrían ofrecer información valiosa sobre el estado de la ciberseguridad en Argentina.

La ciberseguridad ha estado en desarrollo durante más de cincuenta años, pero el proceso de aceleración de los desarrollos tecnológicos y en especial de los sistemas de Inteligencia Artificial (IA) ha provocado un aumento exponencial de ciberataques contra las oficinas gubernamentales a nivel mundial.

Esta expansión ha creado nuevos y significativos riesgos para la seguridad de los datos personales de los ciudadanos, como así también sobre las infraestructuras que dependen de las tecnologías digitales.

A través de una anatomía de la ciberseguridad se pretende analizar de forma detallada y estructurada los componentes, características y dinámicas que conforman la seguridad cibernética en la Argentina desglosando los elementos claves que influyen en la protección de los sistemas, redes e información digital.

El estudio concluye describiendo uno de los incidentes más emblemáticos que ocurrieron contra el Gobierno Nacional durante el período investigado y ofrece una pequeña contribución con una hoja de ruta que incluye conceptos clave para que las oficinas gubernamentales comuniquen de manera efectiva un incidente de seguridad.

Glosario

Algoritmo: Es un conjunto de instrucciones o reglas paso a paso que se siguen para resolver un problema o realizar una tarea específica.

Base de datos: Un conjunto de datos, independientemente de la forma, modalidad de creación, almacenamiento, organización, tipo de soporte, tratamiento, procesamiento, localización o acceso, ya sea centralizado, descentralizado o distribuido de manera funcional o geográfica.

Ciberataque: Una acción deliberada y maliciosa llevada a cabo mediante el uso de sistemas informáticos para comprometer, dañar o destruir datos, sistemas o redes.

Ciberseguridad: Las prácticas y tecnologías utilizadas para proteger sistemas, redes y datos de ataques, daños o accesos no autorizados.

Datos biométricos: Aquellos datos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana, que permitan o confirmen su identificación única, tales como imágenes faciales o datos dactiloscópicos, entre otros.

Datos personales: Información relacionada con personas identificadas o identificables. Se considera que una persona es “identificable” si puede ser identificada, directa o indirectamente, por uno o más atributos de su identidad física, fisiológica, genética, biométrica, psicológica, económica, cultural o social.

Datos personales sensibles: Aquellos que se refieren a la esfera íntima de la persona titular de los datos, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para esta. De manera enunciativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical u opiniones políticas; datos relativos a la salud, discapacidad, orientación sexual, identidad de género, o datos genéticos o biométricos cuando puedan revelar datos adicionales cuyo uso pueda resultar potencialmente discriminatorio para la persona titular de los datos y que estén dirigidos a identificar de manera unívoca a una persona humana.

Incidente de seguridad: Es un evento que compromete la confidencialidad, integridad o disponibilidad de la información o sistemas de una organización, ya sea por ataques, fallos o errores humanos.

Inteligencia Artificial (IA): Es la capacidad de una máquina o sistema informático para realizar tareas que normalmente requieren inteligencia humana, como el reconocimiento de patrones, la toma de decisiones y el aprendizaje a partir de datos.

Inteligencia Artificial Generativa (IAG): Es un tipo de IA que crea contenido nuevo, como texto, imágenes o música, a partir de patrones aprendidos en grandes conjuntos de datos, sin necesidad de intervención humana directa.

Malware: Software malicioso diseñado para dañar, interrumpir o robar información de un sistema informático (por ejemplo: virus, troyanos, ransomware, entre otros).

Phishing: Técnica fraudulenta utilizada por atacantes para obtener información confidencial, como contraseñas o datos financieros, mediante el uso de correos electrónicos o sitios web falsos que parecen legítimos.

Ransomware: Un tipo de malware que cifra los datos de una víctima y exige un rescate para restaurar el acceso a la información.

Seguridad de la información: Es el conjunto de prácticas y medidas destinadas a proteger los datos y sistemas de una organización, garantizando su confidencialidad, integridad y disponibilidad frente a accesos no autorizados, alteraciones o pérdidas

Te puede interesar: La Comisión Europea prohíbe TikTok a empleados por ciberseguridad

La ciberseguridad a nivel mundial

La ciberseguridad en América Latina y el Caribe ha emergido como una cuestión de alta prioridad, dada la creciente frecuencia y complejidad de los ciberataques que enfrentan los países de la región.

En los últimos años, se pudo observar un notable incremento en los incidentes cibernéticos, que afectaron tanto a organizaciones privadas como a entidades gubernamentales. Según estadísticas recientes, aproximadamente el 70 % de las empresas en América Latina han reportado haber sufrido al menos un ataque cibernético^[1], evidenciando la fragilidad de las infraestructuras digitales en la región.

Este panorama destaca la necesidad de fortalecer las defensas cibernéticas, con un enfoque particular en las administraciones públicas, que tienen la responsabilidad de proteger nuestros datos personales. Dado el creciente número de ciberataques y la sofisticación de las amenazas, estas instituciones deben implementar medidas de seguridad más robustas para garantizar la privacidad, la confianza ciudadana y la continuidad de los servicios públicos esenciales.

De acuerdo al análisis de más de 2.500 ciberataques ocurridos entre julio de 2022 y junio de 2023 realizado por la Agencia Europea de Ciberseguridad (ENISA), se verificó que el 19 % tuvieron como objetivo principal a las administraciones públicas, lo que las convierte en el sector más vulnerable y afectado.

Estos datos subrayan la importancia de desarrollar e implementar estrategias de ciberseguridad más robustas a nivel mundial, no solo para proteger los activos personales, económicos, sino también para salvaguardar la confianza y estabilidad en las instituciones gubernamentales.

Metodología

En primer lugar, se efectuó un relevamiento de datos e índices para determinar la posición de la Argentina en una serie de ranking a través de la consulta de informes, el inicio de actuaciones administrativas en el marco de la Ley 27.275 de Acceso a la Información Pública^[2] de la reunión y charlas con expertos de diversas disciplinas del ámbito público y privado y de informes emitidos por las diferentes áreas del Gobierno Nacional como así también de organizaciones especializadas e internacionales.

Esto permitió identificar la estructura de análisis que se diferenció en ocho temáticas, que desagregan las principales situaciones que se detectaron durante la investigación.

Posteriormente, se diseñó una matriz que pone el foco en cuatro acciones de la gestión de la ciberseguridad y que se relacionan con la capacidad de respuesta para evaluar el nivel de control y gestión por parte del Estado Argentino ante un ciberataque y las consecuencias que podrían ocasionarse tanto en ámbito interno como externo ante la omisión o falta de acción en estos temas.

Las cuatro acciones analizadas fueron: 1) Anticipación: Incluye los esfuerzos para prever y prepararse ante vulnerabilidades o amenazas dentro del propio sistema; 2) Detección: Se enfoca en la capacidad para identificar amenazas externas antes de que puedan comprometerse los sistemas; 3) Intervención: Se valora la capacidad de respuesta rápida y efectiva frente a incidentes internos y 4) Cooperación: evalúa la capacidad de trabajar de manera conjunta con actores externos para enfrentar amenazas que impactan no solo a la organización, sino también a otros sectores.

El modelo permitió identificar en qué áreas se deben enfocar los esfuerzos para mejorar las políticas según la capacidad de respuesta y el nivel de impacto de las amenazas y definir el estado de la gestión^[3].

Por último, se revisaron los principales incidentes perpetrados en las oficinas gubernamentales, con el fin de seleccionar un caso y aplicar la anatomía de la ciberseguridad de acuerdo a los parámetros identificados en la investigación.

Te puede interesar: Italia alerta de un ciberataque en miles de servidores de varios países

La Argentina en datos

Para llevar a cabo la investigación de la ciberseguridad pública de la Argentina, es imprescindible comenzar por identificar ciertos datos que permitan comprender el contexto en el que se desarrollan las políticas de protección digital.

A continuación, se presenta una descripción de diversos datos, la posición del país en diferentes índices de innovación, los actores relevantes dentro del ecosistema tecnológico junto con otros actores relevantes, las áreas del Poder Ejecutivo Nacional responsables de liderar las iniciativas de ciberseguridad y el marco normativo que regula esta actividad.

Datos estadísticos de la Argentina

Los datos reflejan la primera capa de análisis que se deben tener en cuenta para posteriormente analizar el estado de la ciberseguridad nacional.

Según, el último Censo Nacional de Población, Hogares y Viviendas 2022^[4] arrojó que en la Argentina hay 46.234.830 habitantes y de acuerdo al Manifiesto Industria TIC^[5] existían 59 millones de celulares activos.

A su vez, el Instituto Nacional de Estadísticas y Censos de la República Argentina (INDEC) evidencio en 2023^[6] que el 93,4% de los argentinos tenían acceso a internet y el 61% acceso a una computadora.

En 2023 el Gobierno Nacional Argentino contaba con 2.783 unidades políticas y organizativas y un total de 72.654 empleados estatales^[7].

En el ámbito de la economía digital, el Índice de Inteligencia Digital 2020 que evalúa el progreso de 90 países en materia de evolución y confianza digital, otorgó a Argentina el puesto 57 en el eje sobre estado actual y en el eje referente al impulso económico el puesto 36^[8].

El Reporte de Gobierno Electrónico 2022 de los países de América Latina y el Caribe de las Naciones Unidas, evidenció que la Argentina ocupaba el puesto 3 en el índice de Gobierno Electrónico, el puesto 7 en el índice de E-Participación y el 8 en el índice de datos abiertos^[9].

El Índice de Innovación Global 2022, que evalúa las tendencias mundiales y resultados de innovación de 132 economías, sitúa a la Argentina el puesto 69, ocupando el octavo puesto en Latinoamérica, precedido por Chile, México, Costa Rica, Brasil, Uruguay, Colombia y Perú^[10].

Mientras que el Índice de Ciberseguridad de la Unión Internacional de Telecomunicaciones^[11] ubicó en 2020 a la Argentina en el puesto 91 de 182 países que participaron en el estudio y ocupó el puesto 13 en América Latina. Este índice ayuda a establecer expectativas sobre la apertura del gobierno del país para promover la ciberseguridad y expone la necesidad de generar mayor impulso a la ciberseguridad nacional^[12].

Por otro parte, el Reporte de Ciberseguridad de la Organización de los Estados Americanos (OEA) y el Banco Interamericano de Desarrollo, también emitido en 2020, le otorgó a la Argentina un puntaje de 48.05 dentro de 100, ocupando el puesto 71 de 160 países estudiados. A nivel regional, el país se estableció en el sexto puesto, precedido por Paraguay, Chile, República Dominicana, Costa Rica y Panamá y superando a países como Uruguay, Colombia, Brasil y Perú^[13].

Por último, es importante destacar que el Índice de Riesgo Cibernético que contempla a 50 países y evalúa en una escala de 0 a 1 el riesgo del país de ser afectado por el cibercrimen, determinó que la Argentina tiene un índice de 0.601, lo que lo constituye en un país de riesgo alto, al igual que Chile (0.621), en comparación con Brasil (0.519) y México (0.450) que son considerados países de riesgo moderado^[14].

Actores relevantes en el ecosistema digital argentino

Reconociendo la naturaleza transversal de la ciberseguridad y adoptando un enfoque que involucre a las múltiples partes interesadas, la siguiente capa se relaciona con la identificación y clasificación de los actores que integraron el ecosistema digital, tanto a nivel nacional como internacional.

En función a la responsabilidad institucional dentro del Estado Nacional Argentino se pudieron identificar las siguientes áreas sustantivas: Presidencia de la República; Congreso de la Nación; Jefatura de Gabinete de Ministros; Ministerio de Ciencia, Tecnología e Innovación; Ministerio de Economía; Ministerio del Interior; Secretaría de Innovación Pública; Centro Nacional de Respuesta a Incidentes Informáticos (CERT.ar); Ministerio de Seguridad; Policía Federal Argentina; Ministerio de Defensa; Comando Conjunto de Ciberdefensa; Agencia Federal de Inteligencia; Ministerio de Relaciones Exteriores y Culto; Ministerio de Justicia y Derechos Humanos; Congreso de la Nación; Ministerio Público Fiscal y la Unidad Fiscal Especializada en Ciberdelincuencia.

Por otro lado, se identificaron socios internacionales que mantuvieron relaciones de intercambio y/o cooperación con la Argentina. Entre estos se destacan Brasil, Canadá, Chile, China, Corea del Sur, Estados Unidos, Estonia, Israel, Reino Unido, la Unión Europea, Uruguay, Paraguay, Perú y México. Estos países no solo comparten intereses estratégicos con Argentina, sino que también colaboran en el fortalecimiento de la ciberseguridad a través de iniciativas conjuntas, intercambios de conocimientos y cooperación tecnológica.

También, se relacionó con una serie de organismos internacionales con el objetivo de fortalecer su ciberseguridad, aprovechando diversas ofertas de apoyo técnico y financiero disponibles en este ámbito. Estos vínculos permiten al país acceder a recursos, conocimientos y mejores prácticas globales.

Los principales organismos fueron: Organización de los Estados Americanos (OEA); Banco Interamericano de Desarrollo (BID); Banco de desarrollo de América Latina (CAF); Consejo de Europa; Organización de las Naciones Unidas; Consejo Latinoamericano de Ciencias Sociales (CLACSO); Comisión Económica para América Latina y el Caribe (CEPAL); Interpol; Ameripol; Europol; Mercado Común del Sur (MERCOSUR); Comunidad de Estados Latinoamericanos y Caribeños (CELAC); Secretaría General Iberoamericana (SEGIB); Instituto Nacional de Ciberseguridad de España (INCIBE); Foro Global sobre Ciber Experiencia (GFCE por sus siglas en inglés); Red de los Equipos de Respuesta ante Incidentes Cibernéticos (CSIRTAmericas); Banco Mundial; y la Red de gobierno electrónico de América Latina y el Caribe (GEALC).

A través del fomento del conocimiento y la investigación, la Argentina mantuvo vínculos con el sector de la academia. Entre los centros de estudios que se pudieron identificar: Universidad Católica Argentina (UCA); Universidad de Palermo; Universidad FASTA; Universidad CEDSA; Instituto Universitario de la Policía Federal Argentina; Universidad de Buenos Aires (UBA); Universidad Tecnológica Nacional (UTN); Universidad Austral; Universidad Católica de Salta (UCASAL); Universidad del Gran Rosario; Universidad Nacional de La Plata; Centro Europeo de Postgrado (CEUPE); Argentina Cibersegura; Consejo Argentino para las Relaciones Internacionales (CARI); y Centro de Implementación de Políticas Púlbicas para la Equidad y el Crecimiento (CIPPEC).

Otro sector importante para amplificar el impacto y generar sinergias con diversas iniciativas gubernamentales que ayuden a acelerar el desarrollo y la madurez de la ciberseguridad en el país son los líderes tecnológicos como ser: Asociación Gremial de Computación; Cámara Argentina de Comercio y Servicios; Consejo Profesional de Ciencias Informáticas de Buenos Aires; Asociación Argentina de Usuario de la Informática y las Comunicaciones; Cámara de Cooperativas de Telecomunicaciones (CATEL); Cámara Argentina de PyMES Proveedoras de la Industria de las Telecomunicaciones (CAPPITEL); Federación de Comercio e Industria de la Ciudad Autónoma de Buenos Aires (FECOBA); Cámara Argentina de Telefonía IP y Comunicaciones Convergentes (CATIP); Cámara de Comercio de los Estados Unidos en Argentina (Amcham Argentina); Cámara Argentina de Internet (CABASE) y Cámara de la Industria Argentina del Software (CESSI).

Por último, los proveedores públicos y privados de servicios críticos y esenciales también tienen un rol esencial en la materia: Compañía Administradora del Mercado Eléctrico Mayorista (CAMMESA); Empresas de transporte de hidrocarburos por poliductos, oleoductos y gasoductos; Empresas de transporte marítimo, aéreo y terrestre; Empresas de distribución de agua potable; Entidades bancarias y financieras del sistema financiero supervisadas por el Banco Central; Instituciones del sistema de salud y seguridad social; Empresas de satélites geoestacionarios (ARSAT) y no estacionarios (CONAE); Empresas gestoras de las centrales nucleares (Atucha, Atucha II y Embalse); Empresas de la industria petroquímica; Proveedores de servicios de comunicación; y Empresas proveedoras de servicios de alimentación.

La lista proporciona una visión no exhaustiva, de los diversos actores y partes interesadas que desempeñan un papel relevante en el ecosistema de ciberseguridad en Argentina.

Te puede interesar: Grupos vinculados a Rusia y China hackean la central nuclear de Sellafield

Área referente de la Ciberseguridad en el Poder Ejecutivo Nacional Argentino

Durante el período de diciembre de 2019 a diciembre de 2024, si bien varias áreas compartieron la responsabilidad primaria sobre la temática analizada, la Dirección Nacional de Ciberseguridad, dependiente de la Subsecretaría de Tecnologías de la Información de la Secretaría de Innovación Pública, que forma parte de la Jefatura de Gabinete de Ministros de Argentina, desempeñó un papel clave.

Las acciones llevadas a cabo por la Dirección Nacional de Ciberseguridad no solo estuvieron orientadas a la ciberseguridad y la protección de las infraestructuras críticas de información, sino también al desarrollo de capacidades para la prevención, detección, defensa, respuesta y recuperación ante incidentes de ciberseguridad y seguridad de la información dentro del Sector Público Nacional.

Algunas de las responsabilidades fueron:

1. Diseñar políticas de ciberseguridad, en coordinación con los organismos del Estado Nacional con competencia en la materia;
2. Elaborar planes, programas y proyectos con perspectiva federal en materia de ciberseguridad, en el ámbito de competencia de la Secretaría de Innovación Pública.
3. Participar en las acciones destinadas a implementar los objetivos fijados en la Estrategia Nacional de ciberseguridad, articulando proyectos con las diferentes áreas del Estado Nacional involucradas.
4. Asistir a la Secretaría en su participación ante el Comité de Ciberseguridad creado por Decreto N° 577/17 y sus modificatorios y colaborar en la ejecución de las decisiones que se adopten.
5. Proponer proyectos de normas relacionados con la ciberseguridad en la República Argentina, en coordinación con las áreas con competencia en la materia.
6. Analizar las vulnerabilidades de software en la Administración Pública Nacional, así como también definir las Infraestructuras Críticas de Información, incluyendo la generación de capacidades de detección, defensa, respuesta y recupero ante incidentes cibernéticos y de seguridad informática.
7. Desarrollar el Programa Nacional de Infraestructuras Críticas de la Información, así como incorporar en la Administración Pública Nacional buenas prácticas y experiencias internacionales exitosas en la materia.
8. Impulsar y promover la resiliencia de los sistemas definidos como críticos en el Sector Público Nacional.
9. Intervenir en la formulación y ejecución de planes de capacitación en materia de ciberseguridad en el ámbito de la Administración Pública Nacional.
10. Colaborar, junto a organismos y centros de investigación públicos y privados, en la promoción de planes, programas y proyectos de innovación tecnológica en materia de ciberseguridad, en coordinación con los organismos competentes en la materia.
11. Entender en los procesos relativos al accionar del equipo de respuesta a emergencias informáticas a nivel nacional (CERT nacional).
12. Administrar el registro de equipos de respuesta ante incidentes de seguridad informática.

Marco normativa

Argentina cuenta con un marco normativo que, si bien no abarca todas las variables analizadas en este informe, sirve como base para proteger a la ciudadanía en relación con los temas estudiados. Este marco proporciona herramientas legales para abordar los desafíos de la seguridad digital y cibernética en el país. En el anexo del informe se detalla un listado con las normativas específicas que estuvieron vigentes entre 2019 y 2023, permitiendo un análisis más completo del marco legal aplicado durante este período.

Anatomía de la ciberseguridad en el Estado Nacional Argentino

La estructura del análisis se desagrega en cuatro temáticas que a su vez cada una tiene dos subcategorías y que fueron realizadas para describir de forma detallada las situaciones detectadas en la investigación.

1) Transformación digital

Los componentes digitales, en constante evolución, presentan nuevos desafíos para la ciberseguridad. Estos avances tecnológicos también generan múltiples riesgos. A medida que las administraciones públicas y las organizaciones se digitalizan cada vez más, aumenta el número de posibles objetivos para los ciberataques. La digitalización de los servicios y las interacciones virtuales abren nuevas puertas para los ciberdelincuentes. Además, la acumulación de datos personales en bases de datos digitales se convierte en un objetivo atractivo para actividades ilícitas, como el robo de identidad o la extorsión.

1.1) Proceso de modernización de la Administración Pública Nacional

Desde 2015, el proceso de modernización en la administración gubernamental central de la Argentina fue significativo, lo que provocó una fuerte transformación en la gestión de las políticas públicas y la interacción con la ciudadanía.

Se caratularon 36.000.000 expedientes administrativos hasta septiembre de 2023 lo que representa la tramitación de casi el doble de los expedientes digitales generados hasta finales de 2019 (un crecimiento del 97,27 %)^[15].

El incremento de los sistemas virtuales y puntos de acceso en las distintas oficinas públicas amplió la superficie de ataque, exponiendo a la administración a un mayor riesgo y obligando a reforzar las medidas de protección en el entorno digital^[16].

• 100 %: De las áreas del Gobierno Nacional Argentino se encontraban digitalizadas en el período 2021-2023^[17].
• 10.187.740: Documentos generados y 733.045 expedientes en el período 2020-2023 en el marco del Programa Federal de la Transformación Pública Digital determinada en la Disposición 20/2022^[18].
• 440.000.000: De documentos se generaron, lo que representa un crecimiento del 146,37 % respecto del total de documentos existentes a finales de 2019^[19] y 4.083.244: Personas usuarias de Trámites a Distancia (TAD), lo que implica un crecimiento del 335 % respecto a diciembre de 2019^[20].

(1) Incremento del riesgo de interrupción en los servicios públicos esenciales debido a ciberataques en infraestructuras claves de la Administración Pública Nacional

La modernización del Estado Argentino ha implicado la digitalización de decisiones administrativas que son fundamentales para la ciudadanía y para mejorar la interacción con la ciudadanía. Este progreso tecnológico indefectiblemente genera posibles vulnerabilidades que, en caso de ser explotadas mediante ciberataques, podrían detener el funcionamiento de servicios esenciales, como la asistencia social, de salud, de seguridad pública, y educación entre otros servicios.

(2) Expansión de la red de sistemas gubernamentales interconectados entre las diferentes áreas del Gobierno Nacional, Provincial y Municipal

El crecimiento de sistemas informáticos interconectados de la Administración Pública Nacional ha multiplicado los posibles puntos de entrada para ciberataques. Al mismo tiempo, la interconexión entre áreas internas y externas incrementó la complejidad sistémica, lo que exige mayores recursos técnicos y financieros para asegurar su protección, así como la implementación de medidas de ciberseguridad avanzadas y la gestión y evaluación continua de riesgos en todos los niveles.

(3) Desarrollos de tecnologías por parte de terceros ajenos a la Administración Pública Nacional y provisión de servicios de nube

La creciente dependencia de los gobiernos de herramientas digitales para resguardar la información que se produce de las políticas públicas, ha aumentado su vulnerabilidad ante fallas o ciberataques a los mismos lo que podría ocasionar la interrupción de los servicios públicos, situación que pone de resalto la necesidad de una gestión integral de la ciberseguridad que abarque toda la cadena del suministro tecnológico^[21].

1.2) Impulso del proceso tecnológico

Para acompañar el avance tecnológico, es crucial desarrollar planes y protocolos que protejan tanto las nuevas soluciones digitales como los datos personales de la ciudadanía. Paralelamente, se requiere de un debate parlamentario que refleje los rápidos cambios tecnológicos, promoviendo regulaciones y leyes actualizadas y de una judicatura que cuente con las capacidades idóneas para dar respuestas efectivas ante el aumento de las amenazas por parte de los cibercriminales.

• 48 meses sin que la Argentina cuente con una Plan Nacional de Inteligencia Artificial^[22].
• 16 proyectos fueron presentados por diferentes legisladores sobre cuestiones relacionadas a ciberseguridad en la Cámara de Diputados y Senadores de la Nación Argentina^[23].
• 6 minutos se puede demorar a través de un sistema de IA en descifrar una contraseña que contenga números, letras en minúsculas y mayúsculas y símbolos^[24].

(1) Diseño y ejecución de estándares y sistemas

Las tecnologías se diversifican de manera exponencial ampliando las vulnerabilidades en la Administración Central, por ello es necesario contar con sistemas y estándares que permitan reaccionar de acuerdo al momento de aceleración tecnológica por el que nos encontramos atravesando, evitando la pérdida de datos personales de la ciudadanía.

(2) Brecha entre la regulación y la evolución tecnológica

El rápido avance de las tecnologías presentan desafíos para el marco regulatorio, creando una brecha legal que permite a los ciberdelincuentes operar sin una supervisión efectiva. Es urgente que las regulaciones se adapten más rápidamente ante dichos avances y que se considere un enfoque neutral en términos de tecnología, estableciendo objetivos más amplios que sigan siendo adaptables a las innovaciones emergentes.

(3) Nuevas amenazas impulsadas por la IA

El desarrollo de la IA no solo genera innovaciones, sino que también incrementa las herramientas a disposición de los cibercriminales. La IA puede ser utilizada para realizar ataques más precisos, como la suplantación de identidad o la creación de correos de phishing altamente personalizados y difíciles de identificar. La velocidad y capacidad de personalización que ofrece la IA en estos ataques exige que las organizaciones adopten medidas de seguridad más robustas y que promuevan la capacitación de los usuarios para detectar estas nuevas amenazas.

2) Sociedad y estado

Es imperativo que la Argentina cuente con una legislación moderna que proteja los datos personales de los ciudadanos, dada la creciente importancia de los datos en la era digital. Esta situación es necesaria ya que cada vez más hay interés por atacar oficinas gubernamentales que gestionan dicha información. Es necesario a su vez, que los empleados del sector público comprendan la importancia de la ciberseguridad y la protección de los datos personales, ya que su conocimiento y buenas prácticas son claves para mitigar posibles riesgos.

2.1) Datos personales

La protección de los datos personales se convirtió en una prioridad crítica para las organizaciones y gobiernos. Los datos personales, están cada vez más expuestos a riesgos debido al incremento de ciberataques y brechas de seguridad. La digitalización masiva y el uso creciente de tecnologías avanzadas, amplificaron la cantidad de datos generados y almacenados, exigiendo consecuentemente mayores medidas de protección y herramientas más estrictas para garantizar la privacidad y seguridad de la información de la ciudadanía.

• - 24 años pasaron desde que se sancionó la Ley de Protección de Datos Personales (25.326) en la República Argentina.
• 379 incidentes informáticos se registraron en la plataforma CERT.ar cifra que aumentó en un 13 % respecto a la del 2022 cuando se individualizaron un total de 335^[25].
• 45,2 % fue el nivel de riesgo de la Argentina ante posibles amenazas en términos cibernéticos ocupando el sexto puesto en América Latina^[26].

(1) Actualización de la Ley de Protección de datos Personales (25.326)

La creciente complejidad de las actividades tecnológicas desde el año 2000 ha generado nuevas formas de tratamiento y almacenamiento de datos que no están cubiertas por la regulación actual. Esto hace necesario contar con una norma que contemple las nuevas innovaciones, garantizando una protección adecuada frente a posibles ataques cibernéticos y como marco de referencia para concientizar a la ciudadanía sobre la necesidad de protegerse.

(2) Aumento del interés por atacar las oficinas gubernamentales que gestionan datos de los ciudadanos

Las oficinas estatales y los Organismos Descentralizados, Sociedades del Estado y otros Entes del Sector Público Nacional gestionan y almacenan grandes cantidades de información sensible, como datos sociales, biométricos, fiscales y de salud. Esto los convierte en objetivos frecuentes de ciberataques. Según el Informe Anual de Incidentes de Seguridad 2023 del Equipo Nacional de Respuesta a Emergencias Informáticas, el sector más afectado fue el financiero, mientras que el sector estatal fue el segundo más afectado, con 84 incidentes (22 %), y el sector del transporte ocupó el tercer lugar con 66 incidentes (17 %). En conjunto, los sectores financiero y estatal representaron más del 50 % de los incidentes anuales reportados (53 %).

(3) Capacitación a los empleados estatales sobre la importancia que tienen la protección de datos personales y la ciberseguridad

Los ciberataques contra personas individuales representan una amenaza que compromete a las organizaciones, particularmente a través de los perfiles o la exposición de información sensible. El Gobierno Nacional contaba en el año 2023 con más de 72.654 empleados estatales y 2.783 unidades políticas y organizativas, lo que aumenta amplifica los puntos de ingresos y posibles vulneraciones. Según el Informe Anual de Incidentes de Seguridad registrados en el 2023 por el equipo de respuesta ante Emergencias Informáticas Nacional, los tipos de incidencias más reportados en el sector estatal son la modificación no autorizada de información (31 %) y el phishing (42 %) lo que representan más del 70 % de los incidentes en el Estado, lo que subraya la necesidad de capacitar a los empleados de manera continua.

2.2) Crecimiento de la brecha digital

En la Argentina, la brecha digital impacta negativamente en la disponibilidad de recursos, tanto financieros como humanos, limitando el desarrollo de diversas organizaciones. A nivel territorial, esta desigualdad se refleja en la infraestructura tecnológica y el acceso al talento, especialmente en áreas alejadas de las grandes capitales. A nivel social, la brecha se traduce en diferencias en el acceso a la tecnología y en las competencias digitales de ciertos sectores de la población, afectando principalmente a los más vulnerables y generando una exclusión digital significativa.

- 36 % de los argentinos encuestados sostuvo que se estaban capacitando activamente en habilidades digitales^[27].

- 65 % de la población rural en la Argentina, es decir unos 2,3 millones de personas, no contaban con acceso a conectividad de Internet o de telefonía móvil significativa^[28].

- 40,1 fue el porcentaje de pobreza y la indigencia del 9,3% durante el período analizado^[29].

(1) Segmentos de la población con escaso conocimiento para instrumentar medidas de ciberseguridad

En Argentina, existe una significativa disparidad en el acceso a habilidades digitales y recursos tecnológicos, especialmente en sectores rurales y grupos vulnerables como las personas mayores o en situaciones socioeconómicas desfavorables. Esta brecha limita la capacidad de implementar prácticas básicas de ciberseguridad, afectando tanto a la fuerza laboral como a los usuarios de servicios públicos. La falta de competencias digitales básicas en estos segmentos de la población aumenta su exposición a riesgos cibernéticos.

(2) Acceso integral y desarrollo de capacidades en las zonas rurales

El acceso integral a las comunicaciones en las áreas rurales no solo se refiere a disponer de infraestructura como telefonía o internet, sino también a que las comunidades puedan desarrollar sus propios medios y tecnologías de comunicación. Esto implica no solo tener acceso a dispositivos, sino también contar con las habilidades necesarias para comprender y gestionar dicha tecnología para evitar ciberataques.

(3) Necesidad de atraer especialistas en ciberseguridad en todo el país

Las administraciones gubernamentales alejadas de las metrópolis enfrentan una clara desventaja en comparación con las zonas urbanas en términos de recursos tecnológicos y medidas de ciberseguridad. Estas limitaciones generan una mayor vulnerabilidad frente a ataques cibernéticos, poniendo en riesgo tanto la seguridad de los sistemas como la protección de los datos de los ciudadanos de las diferentes localidades.

3) Estructura organizacional de los ciberdelincuentes

Los ciberdelincuentes utilizan tecnologías cada vez más especializadas, de difícil detección, ataques coordinados a nivel internacional para maximizar el impacto de sus actividades, lo que les permite vulnerar infraestructuras críticas y sistemas sensibles de manera más eficaz, superando barreras tecnológicas y legales. Esta evolución permanente les exige a las organizaciones estar a la vanguardia en la materia.

3.1) Aumento del cibercrimen a nivel mundial

Con el avance de los sistemas tecnológicos, el cibercrimen ha emergido como una amenaza constante y creciente que se infiltra de manera encubierta en los entornos digitales. Este fenómeno impacta a diario a individuos, gobiernos y empresas de toda clase. Desde robos de información hasta ataques complejos, el ciberdelito se adapta a los nuevos desarrollos tecnológicos, generando un entorno cada vez más peligroso y desafiante para la protección de datos y la seguridad digital en todos los sectores.

• 2,46 millones: De Dólares Estadounidenses es el costo de una filtración de datos en Latinoamérica, un máximo histórico y un aumento del 76 % desde 2020^[30].
• 60 millones: De pesos argentinos perdieron empleados públicos que cobraban su sueldo en una de las entidades financieras del Estado Nacional por visitar a un sitio apócrifo, donde ingresaron las credenciales que permitían el acceso a sus cuentas^[31].
• 256 mil millones: De Dólares Estadounidenses anuales se estiman los costos por los daños causados por ataques de ransomware para 2031^[32].

(1) Aumento de los profesionales que se dedican al cibercrimen

Si se midiera como un país, el cibercrimen sería la tercera economía más grande del mundo después de Estados Unidos y China ya que se espera que los costos globales de la ciberdelincuencia crezcan un 15 % anual durante los próximos tres años, alcanzando los 8 billones de Dólares Estadounidenses a nivel mundial en 2024 y los 10,5 billones de Dólares Estadounidenses anuales para 2025. Es imprescindible, que los gobiernos y las empresas aumenten sus niveles de capacitación al mismo ritmo que las organizaciones que se especializan en cometer este tipo de delitos^[33].

(2) La internacionalización de los ciberataques

Argentina firmó el Convenio de Budapest, a fin de combatir el cibercrimen a través de la cooperación internacional. Sin embargo, para estar realmente preparados y prevenir ciberataques, es crucial que el país desarrolle una política activa de internacionalización que involucre tanto al Estado Nacional como a los gobiernos subnacionales. Esto permitirá mantenerse actualizados sobre las nuevas amenazas y mejorar las capacidades de respuesta ante ataques que provengan de otras naciones^[34].

(3) Dificultad de perseguir y castigar a los ciberdelincuentes

Si bien la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) inició numerosas investigaciones preliminares y ha asistido a fiscalías con un aumento significativo en los reportes recibidos, de sus informes no se deduce cuántos ciberdelincuentes han sido condenados. Aunque se han intensificado las acciones, el resultado final en términos de sentencias sigue sin ser claro. Esto probablemente se deba a la dificultad inherente de rastrear y localizar a los responsables de estos delitos, quienes suelen operar desde el anonimato o incluso desde otras jurisdicciones, complicando la persecución y condena efectiva^[35].

3.2) Perfiles requeridos para la gestión de la ciberseguridad

Para enfrentar el creciente desafío del cibercrimen, tanto los gobiernos como las empresas deben contar con perfiles especializados en la gestión de la ciberseguridad, no basta con reclutar estos talentos; es crucial retenerlos mediante incentivos adecuados y formación continua. Solo así podrán las organizaciones responder eficazmente a los ciberataques y proteger la información crítica en un entorno cada vez más digitalizado y vulnerable.

• - 500.000 vacantes estimadas de puestos sin cubrir en ciberseguridad en Latinoamérica y 3.4 millones en el mundo^[36].
• 48 % de las empresas latinoamericanas describen sus equipos de ciberseguridad como algo o significativamente escasos de personal^[37].
• 2,95 millones de pesos argentinos mensuales de sueldo bruto es el máximo que está cobrando un especialista en seguridad informática en una empresa mediana de la Ciudad Autónoma de Buenos Aires^[38].

(1) Necesidad por parte del Estado Nacional de retener profesionales especializados

El Estado Nacional enfrenta una creciente necesidad de retener profesionales especializados en ciberseguridad, lo cual es crucial hacer frente al incremento de los ciberataques. Sin embargo, las empresas privadas, con salarios más competitivos y mejores condiciones laborales, suelen atraer a estos talentos, dejando al sector público en desventaja. Para revertir esta situación, es fundamental mejorar la escala salarial y las condiciones de los trabajadores en el ámbito estatal, de modo que los profesionales puedan encontrar incentivos suficientes para continuar desarrollando sus carreras dentro del sector público.

(2) Estructura estatal poco flexible y sin una carrera específica

El actual marco de empleo público del Estado Nacional no es adecuado para los profesionales de ciberseguridad, ya que este sector requiere estructuras organizativas menos rígidas. La clasificación escalafonaria actual, los procesos de promoción basados en antigüedad y los esquemas de contratación fijos no permiten adaptarse a la evolución tecnológica y demandas emergentes en ciberseguridad. Es necesario implementar un sistema más ágil y dinámico, que valore el desarrollo continuo de competencias y permita dar respuestas rápidas ante los avances del cibercrimen^[39].

(3) Escaso nivel de capacitación ante la demanda que requiere la ciberseguridad

La Argentina cuenta con una oferta importante de cursos y programas académicos sobre ciberseguridad, sin embargo la capacitación y promoción por parte del Estado Argentino ejercida para con sus empleados no es suficiente para cubrir una demanda que requiere de una actualización permanente^[40].

4) Estructura organizacional de la ciberseguridad en el Estado Argentino

Es necesario fortalecer una estructura organizacional sólida técnicamente y que trascienda los mandatos políticos a fin de definir roles, responsabilidades y coordinaciones en materia de ciberseguridad. Esta organización no solo mejoraría la capacidad de respuesta ante ataques cibernéticos, sino que también permitiría una mejor implementación de las normativas y prácticas de seguridad, promoviendo un entorno digital más seguro y resiliente.

• 12 Dependencias gubernamentales que dentro de sus responsabilidades primarias durante el 2019 y 2023 tenían alguna injerencia directa en materia de la ciberseguridad a nivel nacional^[41].
• 1379 días demoró el Poder Ejecutivo en actualizar la Estrategia Nacional de Ciberseguridad en la República Argentina^[42].
• 2.000.000 intentos de ciberataques en la Argentina durante el año 2023^[43].

4.1) Hoja de ruta de la ciberseguridad en la Argentina

Es clave que el Estado Nacional cuente con una única área profesionalizada en ciberseguridad para garantizar la coherencia y eficiencia de una estrategia con objetivos concretos. Una estructura centralizada facilita la asignación adecuada de recursos y asegura que la inversión en ciberseguridad sea efectiva.

(1) Distribución de las responsabilidades primarias de la ciberseguridad en varias áreas de Gobierno

En la Argentina existían doce áreas en la estructura organizacional nacional que se ocupaban de temas relacionados con la ciberseguridad. Esta dispersión en la gestión dificulta el desarrollo de procesos sólidos y preventivos para la toma de decisiones, es recomendable una única institución profesionalizada que se encargue de investigar, asesorar, formular normas internas, proponer legislaciones, desarrollar los planes de capacitaciones específicos, medir el cumplimiento de la Estrategia Nacional de Ciberseguridad y coordinar interministerialmente las políticas públicas nacionales.

(2) Necesidad que la Estrategia en Ciberseguridad tenga objetivos concretos

La Estrategia en Ciberseguridad tiene que surgir de un diagnóstico en la materia que recepte como base un marco de referencia reconocido internacionalmente o continúen con las políticas desarrolladas precedentemente por las gestiones anteriores y que además, incorpore las acciones concretas con plazos de ejecución que puedan ser medibles y controlables.

(3) Inversión para la ejecución efectiva en ciberseguridad

Durante los ejercicios 2021 y 2022, el Programa 29 - Acciones para Potenciar Tecnologías del Estado no contó con créditos presupuestarios y durante el 2023 con un crédito vigente de $ 10.084.151 no presentó ejecución financiera^[44]. Ante la escasez de recursos en la administración gubernamental, es necesario contar con una hoja de ruta que sirva para la ejecución e implementación de la Estrategia Nacional con los recursos asignados, personal con las capacidades administrativas, profesionales y la infraestructura requerida. No es posible que un área tan crítica no ejecute partidas destinadas a fortalecer la ciberseguridad.

• 100 % de los incidentes de seguridad ocurrieron contra el Estado Nacional durante los años 2019-2023 no fueron comunicados de manera adecuada a la ciudadanía afectada.
• 60.000 datos sensibles de ciudadanos argentinos como consecuencia de una filtración denunciada por el Ministerio de Salud de la Nación en 2021^[45].
• 831 GB de datos se publicaron como consecuencia de un virus informático que se distribuyó a través del sistema del Instituto Nacional de Servicios Sociales para Jubilados y Pensionados PAMI en 2023^[46].

4.2) Procedimientos y estándares en ciberseguridad

La hoja de ruta en materia de ciberseguridad es esencial para implementar de manera coherente las políticas, gestionar los riesgos y mantener los estándares internacionales. Esto permite optimizar la protección de los datos y sistemas estatales frente a las amenazas cibernéticas, que están en constante evolución, asegurando una defensa efectiva y adaptada a los nuevos desafíos del entorno digital.

(1) Protocolos y estándares internacionales

El fortalecimiento de una única institución profesionalizada debería operar bajo protocolos y estándares internacionales reconocidos, como los de la comunidad FIRST^[47], para garantizar una respuesta eficaz y coordinada. Además, sería clave implementar un enfoque especializado para los incidentes de “data breach”, ofreciendo asistencia técnica, información en línea y promover la creación de equipos de respuestas a incidentes en diferentes sectores del Estado.

2) Promover la cultura de la ciberseguridad estatal

Fomentar una cultura de ciberseguridad requiere un enfoque multidimensional que impulse cambios sostenibles en los comportamientos a través del tiempo, abarcando diversos entornos educativos y culturales. Esto implica la necesidad de generar acciones apoyadas en evidencia científica, que incluyan investigaciones, desarrollos tecnológicos, normas, y políticas públicas preventivas. Estas acciones deben estar orientadas a crear recomendaciones prácticas y efectivas, tomando en cuenta los avances en la ciencia y la tecnología, para fortalecer la seguridad digital de manera integral en toda la sociedad.

3) Estrategia de comunicación operacional de la ciberseguridad

Es importante que la Estrategia de Ciberseguridad incluya un plan de comunicación cuando ocurre una brecha de seguridad que compromete datos personales para que el responsable nofique a los afectados sin dilación indebida si la violación presenta un alto riesgo para sus derechos y libertades. La comunicación debe ser clara y sencilla, explicando la naturaleza de la brecha, las posibles consecuencias y las medidas adoptadas para mitigar el impacto. No será necesaria la notificación si se han aplicado medidas de seguridad adecuadas, como el cifrado, que hagan los datos ininteligibles.

Te puede interesar: Descubren exploit en Telegram que vulnera a usuarios de dispositivos móviles

Caso de estudio: Ciberataque al PAMI

El incidente sucedido contra el Programa de Asistencia Médica Integral (PAMI) pone en evidencia las vulnerabilidades críticas en la infraestructura digital de la Argentina y resalta la necesidad urgente de contar con una legislación robusta y protocolos claros para abordar eficazmente las amenazas de ciberseguridad. El robo y la exposición de datos sensibles, como historias clínicas e información personal, demuestran las graves consecuencias que los ciberataques pueden tener sobre las instituciones públicas y la ciudadanía.

Este caso enfatiza la importancia de implementar leyes de ciberseguridad integrales que vayan más allá de las medidas reactivas. Marcos normativos proactivos, respaldados por una aplicación rigurosa, pueden ayudar a prevenir incidentes similares estableciendo responsabilidades claras en la protección de datos y la respuesta ante incidentes. Además, estas leyes deben ser adaptables a la evolución tecnológica, garantizando su efectividad ante amenazas emergentes.

Asimismo, el ataque al PAMI evidencia la necesidad de que las instituciones públicas adopten estrategias de comunicación transparentes cuando ocurren brechas de seguridad. Garantizar que los ciudadanos sean informados de manera oportuna sobre la exposición de sus datos es esencial para mitigar riesgos como el robo de identidad y el fraude. Una comunicación efectiva no solo protege a los individuos, sino que también fortalece la confianza pública en las instituciones gubernamentales.

La legislación también debe incluir mecanismos para incentivar la inversión en infraestructura digital segura y la capacitación continua del personal en las mejores prácticas de ciberseguridad. Al priorizar estos esfuerzos, el gobierno puede fortalecer sus defensas y crear un entorno digital más seguro para todos los argentinos.

Las lecciones de este incidente dejan en claro que la falta de preparación y regulación posiciona a las instituciones públicas y a los ciudadanos en estado de vulneración. Una legislación integral y con visión de futuro, combinada con una aplicación robusta y estrategias preventivas, es crucial para proteger los datos sensibles y garantizar la resiliencia del ecosistema digital de Argentina.

Resumen del incidente de seguridad El 2 de agosto de 2023, el PAMI sufrió un ciberataque por parte del grupo de ransomware Rhysida, comprometiendo la seguridad de sus sistemas. Los ciberdelincuentes accedieron a 831 GB de datos, que incluían 1.6 millones de archivos, tales como historias clínicas, estudios médicos e información personal de los afiliados. Luego de haber perpetrado el ataque, la información fue publicada en la dark web como parte de un método de extorsión, exigiendo un rescate de 25 Bitcoin (equivalente a aproximadamente USD 647,000).

Partes involucradas El PAMI es un programa de seguridad social para jubilados, pensionados, personas mayores de 70 años sin jubilación y veteranos de la Guerra de Malvinas. Funciona en Argentina bajo la órbita del Ministerio de Salud de la Nación.

Descripción del incidente El miércoles 2 de agosto de 2023, a las 6:30 AM, el PAMI fue víctima de un ciberataque que resultó en la cifrado de 831 GB de datos, incluyendo 1.6 millones de archivos. El ataque provocó un apagón total del sistema, afectando los servicios en todo el país, retrasando turnos médicos, causando problemas en la distribución de medicamentos e impidiendo que los empleados pudieran iniciar sesión en sus sistemas de manera tradicional.

El grupo Rhysida, responsable del ataque, desplegó un ransomware, un tipo de software malicioso que, tras comprometer un sistema y extraer información, cifra los datos impidiendo su acceso a los usuarios. El accionar dejó inutilizables los archivos de los sistemas del PAMI.

La organización criminal amenazó con filtrar la información robada si no se pagaba el rescate. Después del ataque, la información fue publicada en la dark web como parte de un método de doble extorsión, exigiendo un rescate de 25 Bitcoin.

Los archivos comprometidos incluían historias clínicas, fichas de tratamiento, informes de laboratorio y otros datos sensibles, lo que representó un grave riesgo para la privacidad de los afiliados.

Entre la información médica robada (2021-2023) se encontraban: ● Prácticas médicas realizadas en UGL 37-Quilmes (Diagnóstico Médico Varela) y otros centros, con detalles de pacientes.

• Correos electrónicos del área de auditoría detallando pacientes, requerimientos médicos especiales en revisión y sus resultados.
• RTFs (recetas con información del beneficiario, médico prescriptor y medicamento).
• Historias clínicas.
• Fichas de tratamientos.
• Bases de datos de médicos de cabecera y especialistas.
• Informes de laboratorio.
• Vacunaciones a domicilio.
• Formularios para tratamientos oncológicos.
• Información sobre pacientes con COVID-19 y casos sospechosos.
• Estudios de diagnóstico por imágenes (tomografías, mapas retinales, ecografías).
• Estudios oncológicos.

Además de los datos de afiliados, también se filtró información interna del PAMI, incluyendo: ● Auditorías.

• Facturación de centros médicos con detalle de pacientes.
• Campañas de vacunación.
• Circulares y otros documentos.
• Partidas presupuestarias.
• Contratos con proveedores.
• Listado de personal.

Los atacantes publicaron el 75% de los archivos robados en la dark web. Este tipo de filtraciones expone a los ciudadanos a fraudes y delitos como el robo de identidad.
Coordinación de la respuesta Inicialmente, el PAMI intentó minimizar el impacto del ciberataque, afirmando que el incidente había sido “mitigado” y que la información estaba protegida. Sin embargo, los problemas en el sistema continuaron afectando los servicios.

Ante las dificultades, la Defensoría de la Tercera Edad informó que tanto pacientes como médicos estaban experimentando problemas para acceder a los servicios de salud. El PAMI tardó semanas en restablecer completamente su sistema de información y sus trámites.

Comunicación del incidente El PAMI emitió un comunicado el 2 de agosto de 2023, en el cual aseguró que el ataque había sido mitigado y que los sistemas estaban bajo control. El comunicado decía: “Queremos informarles que los sistemas de PAMI han experimentado un ciberataque que ha afectado temporalmente el servicio. El ataque ha sido mitigado y toda la información de nuestros servidores se encuentra resguardada y protegida. Asimismo, como parte del plan de contingencia, los sistemas se han suspendido y serán dados de alta progresivamente:

• Turnos programados con médicos de cabecera y especialistas: Se informa a todos los médicos de cabecera, clínicas, sanatorios y hospitales del país que los turnos ya programados deben ser atendidos con normalidad y se permitirá la transmisión cuando el sistema sea restablecido.
• Medicamentos: Toda receta prescripta con anterioridad podrá ser dispensada normalmente en las farmacias de la red del PAMI.
• Facturación: La presentación de facturas y transmisión de datos serán prorrogadas hasta el restablecimiento del sistema.

Más allá de este comunicado, el PAMI no brindó detalles completos sobre la magnitud del robo de datos hasta que los medios comenzaron a reportar la publicación de los archivos en la dark web.

Propuesta de instructivo para comunicar un incidente de ciberseguridad

¿Cómo comunicaron las áreas el incidente de seguridad?

La investigación evidencia una serie de falencias en el Estado Nacional Argentino que fueron desarrollándose a lo largo del informe, una de las cuestiones que se logró identificar fue que una vez sucedido el incidente de seguridad el responsable del tratamiento no informa a la persona titular de los datos sobre lo ocurrido.

Se verificó que únicamente se hace una publicación en los portales institucionales^[1] o redes sociales de los organismos no siendo efectiva para informar al titular de los datos de la incidencia ya que no se puede corroborar si los damnificados consultan dichas herramientas informáticas.

Como mínimo, la comunicación debe incluir: la fecha del incidente, la causa, los hechos relacionados y sus efectos, presentados de manera clara y sencilla para el público.

En dicho marco, se desarrolló un instructivo de acuerdo a los estándares internacionales y lo establecido en el mensaje 87/2023^[2] del proyecto de Ley de Protección de Datos Personales remitido por el Poder Ejecutivo Nacional en el mes de junio de 2023.

¿Cómo deben proceder las oficinas públicas para comunicar un incidente de seguridad a la persona titular del dato?

¿Por qué es necesario?

Para proteger los datos de la persona titular ante un incidente de seguridad.

¿Cuándo se debe comunicar?

Cuando se ven afectados los Derechos Fundamentales de la persona titular del dato.

¿A quién se debe comunicar?

A la persona titular del dato que fue afectada por el incidente de seguridad.

¿En qué plazo se debe comunicar?

A la mayor brevedad posible con el objeto de que la persona titular del dato pueda tomar las acciones correspondientes a efectos de minimizar los perjuicios.

¿Cómo se debe comunicar?

Mediante correo electrónico, mensaje de texto o mensajería instantánea, entre otras alternativas.

Si ello supone un esfuerzo desproporcionado, dicha notificación puede realizarse mediante una comunicación pública, en la medida en que la misma sea igualmente efectiva para informar a la persona titular de los datos y la misma tiene que contener la información mínima detallada en la presente.

¿Cuál es el contenido básico de una comunicación en caso de un incidente de seguridad que comprometa datos personales?

1. ¿Cómo ocurrió el incidente?

• Naturaleza del incidente: Detallar el tipo de incidente, como un ciberataque, pérdida de documentos, etc.

1. ¿Qué datos personales pueden haber sido comprometidos?

• Mencionar si se han visto afectados datos como número de documentos, ubicaciones, direcciones de correo electrónico, etc.

1. ¿Cómo fueron afectados los datos?

• Indicar si se produjo acceso no autorizado, eliminación, alteración de datos, etc.

1. Acciones correctivas inmediatas tomadas:

• Explicar cómo se resolvió el incidente de seguridad y las acciones implementadas para minimizar el daño.

1. Recomendaciones para la persona titular de los datos:

• Brindar consejos claros y sencillos sobre cómo la persona afectada puede proteger sus derechos.

1. Información de contacto para más detalles:

• Proporcionar un formulario de contacto y una línea telefónica para que la persona afectada pueda obtener más información si lo necesita.

1. Impacto en la persona titular de los datos:

• Detallar qué derechos fundamentales fueron afectados como resultado del incidente.

¿Qué esperar?

La digitalización de los servicios públicos del Estado Argentino y el crecimiento exponencial de los trámites a distancia han abierto nuevas puertas para los cibercriminales. La acumulación masiva de datos personales en bases digitales se convirtió en un objetivo atractivo para actividades ilícitas.

Durante el período analizado, se verificó que el 100 % de las áreas del Gobierno Nacional se encontraban digitalizadas, lo que revela un progreso importante de modernización del Estado Nacional, pero también plantea enormes riesgos en términos de ciberseguridad, especialmente al no contar con una Estrategia Nacional de IA y ciberseguridad sólida, con objetivos precisos y alineada con estándares internacionales.

Un claro ejemplo de este desafío es el aumento del 38.5 % en los reportes de ciberdelitos registrados por la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), que alcanzaron los 35.447 incidentes al comparar el período de abril de 2022 a marzo de 2023 con abril de 2021 a marzo de 2022. A pesar de esta alarmante cifra, el debate parlamentario sobre temas relacionados con la ciberseguridad ha sido escaso. Durante este período, solo se presentaron 16 proyectos, y ninguno fue llevado al recinto para su discusión, lo que evidencia una brecha entre la evolución tecnológica y la capacidad del parlamento para legislar sobre estos temas críticos.

Argentina continúa operando bajo una Ley de Protección de Datos Personales que tiene más de 24 años de antigüedad, y esto se refleja en la vulnerabilidad de las instituciones públicas, que fueron uno de los sectores más afectados por incidentes de ciberseguridad durante el período investigado.

El Informe Anual de Incidentes de Seguridad, producido por el equipo de respuesta ante emergencias informáticas nacional (CERT.ar) reveló que el Estado fue el segundo sector más comprometido, con 84 incidentes (22 %), seguido por el sector de transportes con 66 incidentes, juntos los sectores de finanzas y el gubernamental representaban el 53 % de todos los incidentes reportados.

Además de la falta de regulación y protección de datos actualizada, el sector público enfrenta otra problemática importante, la gran cantidad de empleados estatales, 72.654 trabajadores en 2.783 unidades políticas y organizativas, con escasa capacitación en ciberseguridad. Sin un entrenamiento continuo sobre los posibles riesgos cibernéticos, se amplía la exposición del Estado a nuevos ataques.

A esto se suma la marcada brecha digital en Argentina, donde muchas personas carecen de dichas habilidades, lo que agrava el panorama aún más.

Mientras tanto, los cibercriminales profesionalizan cada vez más sus estructuras organizativas, incrementando el número de ataques y los profesionales encargados de proteger los sistemas estatales en Argentina enfrentan dificultades: salarios bajos, falta de estabilidad laboral y ausencia de un escalafón especial que mejore sus condiciones de trabajo.

A la luz de este diagnóstico, es evidente que la creación de un órgano especializado en ciberseguridad, con competencias claras y un presupuesto adecuado, es esencial para gestionar integralmente las políticas de protección digital en Argentina. Este organismo debe ser capaz de armonizar los esfuerzos nacionales, definir metas medibles y seguir estándares internacionales, garantizando así la protección de los datos y los intereses de todos los ciudadanos.

El panorama de la ciberseguridad en Argentina es grave, y los incidentes que se vienen repitiendo hace varios años ponen en evidencia la necesidad de accionar de forma urgente en esta problemática. Sin embargo, también existe una oportunidad para modernizar las estructuras y políticas de ciberseguridad, cerrando brechas y construyendo un sistema más robusto que proteja a todos los argentinos en un entorno digital cada vez más complejo. Con una estrategia clara y la voluntad política necesaria, es posible asegurar un futuro donde los datos personales de los argentinos estén seguros en el ámbito estatal.

________________

^[1] El dato surge del Informe de Brecha de Habilidades de Ciberseguridad de 2022, realizado por Fortinet, para el cual se entrevistó a más de 200 tomadores de decisiones de IT y ciberseguridad en 29 países, incluidos Argentina, Brasil, Colombia y México.

^[2] Inicié un total de ocho expedientes administrativos donde requerí treinta y cinco preguntas a un total de siete áreas a través del proceso de Solicitud de Acceso a la Información Pública determinado en la Ley 27.275.

^[3] El estado de la ciberseguridad en la esfera gubernamental de acuerdo al análisis realizado puede ser: Grave: Requiere una intervención urgente debido al impacto significativo que puede causar. Se debe asignar recursos prioritarios y ejecutar medidas de forma inmediata; Moderado: Se deben tomar medidas preventivas para gestionar estos riesgos, ya que su potencial de daño es alto aunque no inminente. Son clave en la planificación de la ciberseguridad a mediano plazo y Leve: Aunque existe un peligro inmediato, deben tomarse medidas para monitorear a fin de evitar que se conviertan en problemas más graves en el futuro.

^[4] Censo Nacional de Población, Hogares y Viviendas 2022, información disponible en el sitio oficial del Estado Nacional Argentino. https://www.argentina.gob.ar/pais/poblacion

^[5] Manifiesto TIC Industria TIC de octubre de 2022 suscripto por la Federación de Cooperativas del Servicio Telefónico de la Zona Sur Ltda. (FECOSUR); DIRECTV; Cámara Argentina de Internet; Telecom; Cámara Argentina de Operadores TIC PyMES y Telefónica. https://atvc.org.ar/wp-content/uploads/2023/05/Manifiesto-Industria-TIC-26-4-2023.pdf

^[6] Instituto Nacional de Estadísticas y Censos de la República Argentina (INDEC) Acceso y uso de tecnologías de la información y la comunicación. EPH Cuarto trimestre de 2023. https://www.indec.gob.ar/uploads/informesdeprensa/mautic_05_24F87CFE2258.pdf

^[7] Presidencia de la Nación Argentina. Informe de la estructura del Estado Nacional, 2023. https://www.argentina.gob.ar/sites/default/files/2020/06/iesen_2023.pdf

^[8] Optimicemos la ciberseguridad. Modelo de Madurez de Capacidad de Ciberseguridad para las Naciones. Panorama Nacional de Ciberseguridad. Argentina 2023. https://www.argentina.gob.ar/sites/default/files/2023/04/optimicemos_la_ciberseguridad_cmm_argentina_2023_reporte.pdf

^[9] Página oficial de Comisión Económica Para América Latina y El Caribe (CEPAL) https://biblioguias.cepal.org/gobierno-digital/un-egovernment-survey

^[10] Optimicemos la ciberseguridad. Modelo de Madurez de Capacidad de Ciberseguridad para las Naciones. Panorama Nacional de Ciberseguridad. Argentina 2023. https://www.argentina.gob.ar/sites/default/files/2023/04/optimicemos_la_ciberseguridad_cmm_argentina_2023_reporte.pdf

^[11] El índice mide el compromiso de los países con la ciberseguridad a nivel mundial, para crear conciencia sobre la importancia de la materia y sus diferentes dimensiones.

^[12] Índice de ciberseguridad. Medir el compromiso con la ciberseguridad. Un Internacional de Telecomunicaciones, 2020. https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2021-PDF-s.pdf

^[13] Optimicemos la ciberseguridad. Modelo de Madurez de Capacidad de Ciberseguridad para las Naciones. Panorama Nacional de Ciberseguridad. Argentina 2023. https://www.argentina.gob.ar/sites/default/files/2023/04/optimicemos_la_ciberseguridad_cmm_argentina_2023_reporte.pdf

^[14] Optimicemos la ciberseguridad. Modelo de Madurez de Capacidad de Ciberseguridad para las Naciones. Panorama Nacional de Ciberseguridad. Argentina 2023. https://www.argentina.gob.ar/sites/default/files/2023/04/optimicemos_la_ciberseguridad_cmm_argentina_2023_reporte.pdf

^[15] Informe de gestión 2019-2023 de la Secretaría de Innovación Pública de la Jefatura de Gabinete de Ministros página 33 https://www.argentina.gob.ar/sites/default/files/2023/12/informe_de_gestion_2023_0.pdf

^[16] En el período analizado el Estado Nacional registró 304.000 personas usuarias activas en la plataforma integral de Gestión Documental Electrónica (GDE) dentro de la Administración Pública Nacional lo que implica un crecimiento del 37 %.

^[17] Información que fue remitida mediante IF-2024-78145141-APN-DNSD#JGM en el marco del EX-2024-69522728-APN-DNPAIP#AAIP iniciado por una solicitud de Acceso a la Información Pública del 3 de junio de 2024. Se entiende por organismo digitalizado a aquellos que implementaron los módulos de Comunicaciones Oficiales (CCOO), Generador Electrónico de Documentos Oficiales (GEDO) y Expediente Electrónico (EE).

^[18] Información que fue remitida mediante NO-2024-78128402-APN-DNDE#JGM en el marco del EX-2024-69522728-APN-DNPAIP#AAIP iniciado por una solicitud de Acceso a la Información Pública del 3 de junio de 2024.

^[19] Informe de gestión 2019-2023 de la Secretaría de Innovación Pública de la Jefatura de Gabinete de Ministros página 33 https://www.argentina.gob.ar/sites/default/files/2023/12/informe_de_gestion_2023_0.pdf

^[20] Informe de gestión 2019-2023 de la Secretaría de Innovación Pública de la Jefatura de Gabinete de Ministros página 36 https://www.argentina.gob.ar/sites/default/files/2023/12/informe_de_gestion_2023_0.pdf

^[21] De acuerdo a la documentación que fue remitida mediante NO-2024-78128402-APN-DNDE#JGM en el marco del EX-2024-69522728-APN-DNPAIP#AAIP iniciado por una solicitud de Acceso a la Información Pública del 3 de junio de 2024, el Estado Nacional Argentino informó que el 100 % de los datos generados en el Sistema de Gestión Documental Electrónica del Estado Nacional Argentino se encuentran alojados en los servidores públicos de la empresa Empresa Argentina de Soluciones Satelitales S.A. (ARSAT).

^[22] https://oecd-opsi.org/wp-content/uploads/2021/02/Argentina-National-AI-Strategy.pdf

^[23] Del relevamiento del portal oficial de la Cámara de Diputados y Senadores de la Nación Argentina durante los años 2019 y 2023 se pudieron identificar los siguientes proyectos: 4626-D-2023; 1805-S-2023; 1785-S-2023; 1713-S-2023; 7200-D-2022; 0994-S-2022; 0393-D-2022; 5644-D-2020; 2285-S-2020; 4750-D-2020; 2126-S-2020 y 4516-D-2020.

^[24] Según la investigación realizada de Home Security Heroes en abril de 2023. https://www.securityhero.io/ai-password-cracking/

^[25] https://www.argentina.gob.ar/sites/default/files/2023/02/informe_cert_2022.docx.pdf

^[26] De acuerdo a la última publicación del mapa de amenazas globales de Check Point presentado en marzo de 2024. https://threatmap.checkpoint.com/. A la Argentina lo siguen de cerca Perú (56,8 %), Colombia (55,4 %), Ecuador (51,9 %), Guatemala (50,4 %) y México (48,8 %).

^[27] La encuesta global sobre habilidades digitales de Salesforce en 2022, relevó la situación de 23.000 trabajadores de entre 18 y 65 años en 19 países. De la Argentina, participaron 1.389 personas.

^[28] Informe del Instituto Interamericano de Cooperación para la Agricultura (IICA), Conectividad Rural en América Latina y el Caribe. Estado de situación, retos y acciones para la digitalización y el desarrollo sostenible (2022) https://repositorio.iica.int/bitstream/handle/11324/21350/BVE22118792e.pdf?sequence=1&isAllowed=y

^[29] https://chequeado.com/balance-alberto-fernandez/

^[30] De acuerdo al reporte anual Cost of Data Breach publicado por IBM Security (2023) https://www.ibm.com/reports/data-breach

^[31] Según datos de CertiSur de enero de 2024 https://www.certisur.com/

^[32] De acuerdo a las estimaciones realizadas por Cybersecurity Ventures. https://cybersecurityventures.com/

^[33] https://cybersecurityventures.com/cybercrime-damage-costs-10-trillion-by-2025/

^[34] La información proviene de la NO-2024-105452403-APN-DAJI#MRE incorporada al EX-2024-90063500-APN-DNPAIP#AAIP donde le requerí información al Ministerio de Relaciones Exteriores, Comercio Internacional y Culto de la Nación.

^[35] https://www.fiscales.gob.ar/wp-content/uploads/2023/12/UFECI_informe-de-Gestion_23_15-12.pdf

^[36] Según el estudio anual publicado en 2023 por Cybersecurity Workforce Study (ISC).

^[37] El estudio de Kaspersky de 2024 se basó en encuestas a más de 1.000 profesionales de InfoSec de todo el mundo. https://latam.kaspersky.com/

^[38] https://www.iprofesional.com/management/410094-el-jugoso-sueldo-que-cobra-un-analista-de-ciberseguridad-en-argentina

^[39] Información remitida en el marco del - EX-2024-93878536- -APN-DNPAIP#AAIP iniciado en el marco de la Solicitud de Acceso a la Información Pública requerida con fecha del 18 de septiembre de 2024.

^[40] Información remitida en el marco del - EX-2024-93878536- -APN-DNPAIP#AAIP iniciado en el marco de la Solicitud de Acceso a la Información Pública requerida con fecha del 18 de septiembre de 2024.

^[41] Ministerio de Ciencia, Tecnología e Innovación; Ministerio de Economía; Ministerio del Interior; Secretaría de Innovación Pública; Centro Nacional de Respuesta a Incidentes Informáticos (CERT.ar); Ministerio de Seguridad; Policía Federal Argentina; Ministerio de Defensa; Comando Conjunto de Ciberdefensa; Agencia Federal de Inteligencia; Ministerio de Relaciones Exteriores y Culto; y Ministerio de Justicia y Derechos Humanos.

^[42] https://www.boletinoficial.gob.ar/detalleAviso/primera/293377/20230904

^[43] Informe de FortiGuard Labs, Fortinet (2023) https://drive.google.com/file/d/1VW2NxoZwBJI8dhNwo0rsj2AckpclJgdG/view

^[44] Información obtenida en el marco de la Solicitud de Acceso a la Información Pública requerida en el marco del expediente EX-2024-73369614- -APN-DNPAIP#AAIP.

^[45] https://www.clarin.com/tecnologia/ministerio-salud-denuncio-filtracion-datos-ciudadanos-argentinos-investigan-caso-phishing_0_L6Hk5ZHyi.html#:~:text=La%20filtraci%C3%B3n%20que%20preocup%C3%B3%20al%20Gobierno&text=Este%20fin%20de%20semana%2C%20el,los%2045%20millones%20de%20argentinos.

^[46] https://www.clarin.com/tecnologia/hackeo-pami-ciberdelincuentes-publican-informacion-robada-historias-clinicas-estudios-datos-personales_0_oVEAPipTS0.html?srsltid=AfmBOoqqhdLNLc9Gb6sRs6uBuG7DSayPi4jrzzI74zreiADlFEnbPG3Z

^[47] https://www.first.org/

^[1] https://www.argentina.gob.ar/noticias/el-renaper-detecto-el-uso-indebido-de-una-clave-otorgada-un-organismo-publico-y-formalizo

^[2] https://www.argentina.gob.ar/sites/default/files/mensajeyproyecto_leypdp2023.pdf