La legislación brasileña enfocada en la seguridad de datos está avanzando, pero los aparatos conectados a internet siguen siendo vulnerables
Léo Ramos Chaves / Revista Pesquisa FAPESP
Existen buenas razones para temer que la información personal o de empresas pueda filtrarse desde el teléfono móvil o desde la computadora y pueda ser utilizada sin el control de sus propietarios. En Brasil, la llamada seguridad cibernética aún necesita mejoras, aunque la legislación nacional está avanzando, con la participación de expertos de universidades, empresas y centros de investigación. La ciberseguridad, que se define como un conjunto de acciones para proteger a dispositivos y personas contra las intrusiones, impone una mejora continua en el campo de la regulación, la tecnología y los procesos por parte de los gobiernos, los usuarios y el sector privado.
En el mes de agosto, el ingeniero electricista Edmar Gurjão, de la Universidad Federal de Campina Grande (UFCG), en el estado de Paraíba, presentará a la Agencia Nacional de Telecomunicaciones (Anatel), en Brasilia, propuestas de medidas legales para reducir la vulnerabilidad de la tecnología 5G, la internet de quinta generación, que ya está empezando a implementarse en Brasil. Gurjão dirige un estudio que reúne a 52 investigadores brasileños cuyo objetivo es suministrar aportes para que la agencia evalúe la necesidad de crear medidas legales específicas referentes a este tipo de tecnología. Una de las recomendaciones que pretende hacer es que Anatel exija la certificación de fábrica del software instalado en los dispositivos capaces de funcionar con 5G, garantizando que los parámetros de seguridad estén actualizados. “La alta velocidad y la conexión entre los dispositivos 5G dejan a los usuarios más expuestos los ciberataques”, dice el investigador.
Aún queda mucho por hacerse. Entre los países latinoamericanos, las redes y los dispositivos conectados a internet en Brasil están se encuentran los más vulnerables. Según un estudio de la empresa estadounidense de ciberseguridad Fortinet, en 2022 el país registró 103.000 millones de intentos de ciberataques, siendo superado solamente por México (con 187.000 millones). En comparación con 2021, la cantidad de ataques en el país aumentó un 16 %. A nivel mundial, según ese mapeo, el 82 % de los ataques que intentaron sustraer dinero a usuarios e instituciones se valió del empleo e programas de ransomware, que secuestran datos y cuentas, que solo son restituidas a sus dueños tras el pago de un rescate.
Aun así, de 2018 a 2020, el país saltó del 70º puesto al 18º en el último Índice Global de Ciberseguridad, elaborado por la Unión Internacional de Telecomunicaciones (UIT), que evalúa las acciones de los países mejor preparados para hacer frente a los ataques de los hackers. El avance se debe probablemente a las mejoras en la legislación, uno de los puntos evaluados por la UIT, en el que el país obtuvo la puntuación más alta. Aunque sean fundamentales, los instrumentos legales por sí solos no bastan, advierten los expertos.
“El principal reto de Brasil no es tener buenas medidas regulatorias, sino implementarlas y monitorearlas”, dice la abogada Ana Luíza Calil, quien realiza un doctorado en Derecho Administrativo en la Universidad de São Paulo (USP). En un artículo publicado en mayo de 2022 en la revista científica International Cybersecurity Law Review, ella y el abogado Roberto Carapeto, de la Universidad de Nagoya, en Japón, analizaron la legislación brasileña y la de otros cuatro países latinoamericanos: Argentina, Chile, Colombia y México. Según ellos, todos han creado sus propios mecanismos legales para reforzar la ciberseguridad, pero se encuentran en fases diferentes. “De los cinco países, Brasil es el que tiene el conjunto de regulaciones más avanzado, seguido por Chile”, dice Calil. Según ella, México aún se encuentra en una fase inicial.
El Marco Civil de Internet, aprobado en abril de 2014, allanó el camino para otras regulaciones importantes. Entre las más recientes, cabe destacar la Ley General de Protección de Datos (LGPD), vigente desde agosto de 2020, que regula el tratamiento de los datos personales (por ejemplo, el nombre, apellido, CPF [en Brasil, Registro de Personas Físicas, Identificación Fiscal], RG [en Brasil, Cédula de Identidad], domicilio e identificación de la computadora). “Es la única en Brasil que prevé objetivamente multas por filtración y almacenamiento inadecuado de datos personales”, dice el ingeniero informático Roberto Gallo, director de la empresa de criptografía Kryptus y presidente de la Asociación Brasileña de la Industria de Materiales de Defensa y Seguridad (Abimde).
Alexandre Affonso / Revista Pesquisa FAPESP
“La LGPD deja claro que los datos personales deben protegerse porque la empresa responsable de ellos responderá por las filtraciones”, comenta Gallo. “Sería importante ampliarla o crear una ley para proteger otros tipos de datos, tales como los comerciales, los industriales y los de los sistemas críticos”.
Una forma importante de que el sector avance, además de contar con una normativa estructurada, consiste en garantizar que las empresas inviertan en seguridad informática. En 2020, Gallo había calculado que, en Brasil, la inversión no llegaba al 4 % del presupuesto del área de tecnología de la información de las empresas, mientras que en países más desarrollados ese valor era del 10 % al 15 %. Según él, la Abimde todavía no dispone de datos actualizados sobre este promedio en el país, pero estima que no hubo grandes cambios. Según proyecciones de la consultora estadounidense de inteligencia de mercado IDC, el gasto en soluciones de seguridad en Brasil alcanzará un valor de 1.300 millones de dólares en 2023, un 13 % más que el año anterior.
Otro hito legislativo importante es la Estrategia Nacional de Ciberseguridad (E-Ciber), aprobada como decreto en febrero de 2020, con directrices y acciones estratégicas para la ciberseguridad, como el incentivo a la investigación. “La Estrategia Nacional busca armonizar los objetivos de quienes se ocupan de la ciberseguridad, pero falta claridad sobre las atribuciones de cada participante y las formas de monitorear las acciones, incluyendo la interacción de la Unión con los estados y municipios”, dice Calil.
Con todo, la abogada destaca los despliegues de este plan, como una resolución de abril de 2021 del Banco Central, que establece directrices de ciberseguridad para las instituciones financieras. En junio de ese año, el Consejo Nacional de Justicia (CNJ) dio a conocer las normas de ciberseguridad de los organismos del Poder Judicial para proteger la información de más de 77 millones de expedientes digitalizados.
La Estrategia estará vigente hasta finales de 2023. Consultado sobre los planes para actualizar el decreto, el Gabinete de Seguridad Institucional (GSI) de la Presidencia de la República, responsable de la redacción del documento, señaló, en una nota enviada a Pesquisa FAPESP, que desde 2022 viene evaluando puntos que deben mejorarse.
El organismo informó que también analizará las contribuciones “de la comunidad de seguridad cibernética y aquellas que surjan de la consulta pública”, señalando que, así como en la formulación de la Estrategia actual, presentará el proyecto del documento para su evaluación previa por la sociedad. Empero, no reveló cuándo lo hará.
Gurjão, de la UFCG, hace hincapié en la importancia de la creación de un centro unificado de registros de incidentes cibernéticos, previsto en la Estrategia. A su juicio, este centro podría permitir acciones de defensa conjunta más rápidas entre las instituciones responsables de servicios esenciales como el suministro de agua, energía, telecomunicaciones y seguridad pública, en caso de ataques.
Alexandre Affonso / Revista Pesquisa FAPESP
“Es importante montar una coalición que incluya a los distintos sectores del gobierno y de la sociedad civil, ya que la ciberseguridad lidia simultáneamente con una amenaza difusa e híbrida, que puede afectar a cualquier persona, empresa o institución”, dice Raquel Jorge de Oliveira, analista de inteligencia de la startup de ciberseguridad Harpia Tech, de Río de Janeiro.
En su maestría, concluida en 2021 en la Universidad de Brasilia (UnB), comparó la política brasileña con la de cuatro países europeos –Finlandia, Suecia, Dinamarca y Noruega– considerados como modelos internacionales en ciberseguridad. En los cuatro hay un diálogo permanente entre las instituciones y los internautas, algo que, según ella, no ocurre en Brasil. Jorge de Oliveira detalló las conclusiones en un artículo publicado en febrero de 2022 en la revista Brasiliana: Journal for Brazilian Studies.
“En Brasil, la legislación sobre ciberseguridad prevé la interacción entre sectores del gobierno y la sociedad civil, pero siempre bajo el mando del GSI o del Ministerio de Defensa, sin estructuras de coordinación e interacción permanentes entre los organismos gubernamentales y los usuarios”, dice la analista.
La licenciada en Relaciones Internacionales Louise Marie Hurel, estudiante de maestría en la London School of Economics del Reino Unido, tiene una visión similar. En un análisis publicado por el Instituto Igarapé, una organización no gubernamental de Río de Janeiro dedicada a la seguridad climática y digital, comentó: “Aunque el GSI ya desempeña una función de coordinación y facilitación en la administración pública federal, su relación con la sociedad civil sigue siendo frágil, con grupos que a menudo apuntan la falta de transparencia y la militarización de la agenda del Departamento de Seguridad de la Información del GSI”.
Al preguntársele por esta militarización, el GSI informó, en un comunicado, que la ciberdefensa nacional figura efectivamente entre las incumbencias del Ministerio de Defensa. Pero la ciberseguridad del país, según el organismo, “es mayoritariamente responsabilidad de las organizaciones civiles”. Como instituciones civiles importantes en esta área, el GSI cita el Centro de Atención de Incidentes de Seguridad (Cais) de la Red Nacional de Enseñanza e Investigación (RNP), y el Centro de Estudios, Respuesta y Tratamiento de Incidentes de Seguridad en Brasil (Cert.br), a cargo de la gestión de incidentes en redes del Comité Gestor de Internet en Brasil (CGI.br). Estas entidades están articuladas con el Centro de Prevención, Tratamiento y Respuesta ante Incidentes Cibernéticos Gubernamentales (CTIR Gov).
Para Calil, la Anatel contribuye a equilibrar esta relación de fuerzas, ampliando la participación social. En 2021, la agencia creó el Grupo Técnico de Ciberseguridad y Gestión de Riesgos de Infraestructura Crítica (GT-Ciber), que agrupa a las empresas de telecomunicaciones. El grupo emitió el Acta 77 de Anatel, de julio de 2021, que establece requisitos de ciberseguridad para los aparatos de telecomunicaciones y dispositivos conectados a internet, tales como enrutadores, módems, teléfonos móviles, cámaras de seguridad y televisores.
“Ahora, estamos a la espera de la interacción con el nuevo gobierno y de una participación más intensa en la actualización de la estrategia nacional”, dice Gustavo Santana Borges, superintendente de control de obligaciones de la agencia y miembro del GT-Ciber.
This article may be republished online under the CC-BY-NC-ND Creative Commons license. The Pesquisa FAPESP Digital Content Republishing Policy, specified here, must be followed. In summary, the text must not be edited and the author(s) and source (Pesquisa FAPESP) must be credited. Using the HTML button will ensure that these standards are followed. If reproducing only the text, please consult the Digital Republishing Policy.
