CIBER CUIDADOS (publicado en El Cohete a la Luna)

https://www.elcohetealaluna.com/ciber-cuidados/

CIBER CUIDADOS

Sergio A. Rossi

El 5 de octubre se publicó en el Boletín Oficial que el Ministerio de Defensa compró a Israel software, equipos y capacitación para ciberdefensa. Lo hizo sin licitación, mediante una contratación directa por algo más de u$s 5.000.000.

Se trata -señalan- de la adquisición de un núcleo de CERT/CSIRT para prevenir y gestionar incidentes de seguridad cibernética. La confidencialidad y el secreto militar que alcanzan a componentes de la decisión dan pie a dudas y cuestionamientos.

Una es que el consorcio adjudicatario sería proveedor de servicios informáticos a los ingleses en Malvinas, y su software, los equipos y el entrenamiento de personal se desplegarán en las instalaciones del MD y las FFAA. ¿Cuáles son los resguardos legales para asegurar que el software no dejará abiertas “puertas traseras” por las que datos sensibles de la defensa nacional puedan ser vulnerados en su disponibilidad, integridad y confidencialidad?   ¿Alcanza con resguardos legales?

Otra es el apuro, señalado en uno de los considerandos. Se alega que la inminencia de la reunión del G20 impone plazos perentorios, aunque por las características y el objeto del contrato cuesta creer que pueda resultar operativo, útil y eficaz de cara a dicha Cumbre.

Algo había adelantado en julio el ministro Aguad, cuando buscó justificar el decreto 683/2018 que modificó la reglamentación de la Ley de Defensa eliminando el atributo de estatal para la agresión externa que deben conjurar las Fuerzas Armadas. Afirmó entonces sobre EEUU “que Rusia intervino en el resultado electoral de la pasada campaña y eso tiene que ver con un ciberataque”, contradiciendo a Putin y a Trump. Antes de desdecirse anunció que para conjurar el peligro “el aparato que se va a adquirir es de origen israelí, no tiene que ver con la política de seguridad, tiene que ver con un ciberataque que comprometa nuestro sistema tecnológico”.

Información periodística señala que, además de la instalación de un núcleo de Equipo de Respuesta ante Emergencias Informáticas CSIRT, se constituirían centros operativos en distintas dependencias del ministerio de Defensa y las Fuerzas Armadas para “el monitoreo de fuentes abiertas Web y DarkWeb, toda vez que permite la captura de información y análisis de foros, blogs, redes sociales, sitios no estructurados, el TOR (The Onion Router) y comprender las acciones que grupos delictivos y hackers pudieren planear contra el Ministerio de Defensa o el país”.

No queda claro el motivo de la compra. La misma oferta de las empresas israelitas habría sido desestimada durante la gestión del anterior ministro, el ahora senador nacional Julio Martínez.

La ciberdefensa se invoca para explicar que las fronteras entre defensa nacional y seguridad interior son borrosas, que los tiempos han cambiado y que pasaron cosas.

Los europeos, en vez de consagrar la confusión, elaboraron el manual Tallin, para contar con una herramienta que permita definir y precisar cuándo un ataque cibernético constituye una agresión militar, estatal y externa, que amerite represalias convencionales contra ese Estado atacante.

La ciberdefensa se exhibe como nuevo desafío, pretexto que amerita la reforma. El Ministro anuncia que se creará un Comando Conjunto de Ciberdefensa (CCC), obviando que fue  creado en mayo de 2014 (resolución MD 344/14). Se obvia decir que es un tema que se venía abordando a nivel del Ministerio, del EMCO y de cada FFAA desde por lo menos el año 2010. Se soslayan las inversiones realizadas y los planes en ejecución.

Si se analiza la importancia que da CAMBIEMOS a tema tan relevante, se encuentra que la única normativa dictada desde que asumió el gobierno fue la que convirtió la Dirección General de Ciberdefensa en una Subsecretaría con exactamente las mismas misiones y funciones. Contradictoriamente, la ejecución de partidas presupuestarias hasta mayo de 2018 fue nula, cero.

También se puede observar que dispusieron (decreto 227/2017) la venta de la sede del CCC, en Puerto Madero. No hay información sobre cuándo ni a dónde se trasladaría, pero el actual edificio, inaugurado en 2015, será demolido para que desarrolladores inmobiliarios construyan torres residenciales destinadas al segmento más rico de población. Se destruirá un edificio en pleno uso y funcionamiento que fue diseñado por el personal militar del Comando Conjunto de Ciberdefensa, tanto en sus aspectos edilicios como en los de infraestructura tecnológica, redes, servicios y medidas de seguridad. Cualquier nuevo emplazamiento implicará repetir inversiones y demoras para el plan de desarrollo de las capacidades de ciberdefensa.

Ese remate de tierras va en línea con el anuncio modernizador de la venta de inmuebles asignados en uso a las Fuerzas Armadas. El año pasado se remataron campos en pleno uso y producción en Córdoba y Mendoza, así como terrenos junto a la cancha de polo en Palermo. También se cedieron gratuita y directamente instalaciones aéreas en Moreno para una empresa de cargas, y en El Palomar para que operen Flybondi y otras empresas low cost. El destino de Campo de Mayo es incierto, entre un área logística privada, la expansión del relleno sanitario y una reserva natural cercana a emprendimientos inmobiliarios. Las ventas parecen ir más rápido que las definiciones, y las ideas de cierre de unidades y relocalización parecen salidas de viejos borradores del año 2001.

En vez de apostar al desarrollo tecnológico propio, en una materia en que los argentinos en general y nuestros militares en particular se han destacado, dispone la adquisición de paquetes enlatados.

La variable temporal, en materia de ciberseguridad, incide de modo distinto que –por ejemplo- sobre las exigencias de desarrollo del plan nuclear, donde se necesitan decenas de años en formación de recursos humanos, investigación científica, ensayos y desarrollo productivo. En ciberdefensa y ciberseguridad, alcanzar un nivel adecuado a nuestras necesidades actuales resulta mucho más accesible para la Argentina, que cuenta con recursos humanos formados, profesionales, centros de investigación, empresas tecnológicas nacionales y carreras universitarias orientadas a la especialidad.

Las Fuerzas Armadas, además y particularmente, llevan décadas formando recursos propios en materia de informática, liderando sectores como el de  formación y aplicaciones criptográficas. Nuestro país cuenta, además, con una ley de promoción de industria del software orientada a la innovación tecnológica, como sería el caso de la adquisición de estas capacidades.

Aplicar cinco millones de dólares a potenciar los recursos propios sería mejor que comprar soluciones llave en mano, y se tendría control soberano del proceso y de las herramientas, que si en materia de seguridad informática es importante, en materia de defensa resulta esencial.

En nuestro país hay sobrados ejemplos de tecnologías de avanzada diseñadas, desarrolladas e implementadas por argentinos, desde los sistemas de la AFIP hasta los utilizados en energía atómica, desarrollo de satélites y radares. Existe la capacidad necesaria para llevar adelante la planificación, el diseño y la implementación de un centro de ciberseguridad. Desde 2010 se recorrió un camino que, partiendo de adaptar soluciones de software libre, permitió el funcionamiento de distintos CSIRTs. Luego, según las necesidades y el desarrollo se fue mejorando la performance -sin perder el control- adquiriendo productos de tipo SIEM, IPS, sistemas contra APT, sistemas de OSInt y otros productos más eficientes para el manejo de incidentes.

Esa línea de trabajo quedó sin respaldo institucional ni presupuestario tras el cambio de gobierno. Volvieron a fojas cero e invirtieron dos años en planificar la adquisición de soluciones al extranjero, para finalmente decidirse por la actual compra directa. Resumiendo, tres años y cinco millones de dólares sustraídos al desarrollo soberano. Demasiado tiempo perdido, expuestos ante amenazas cibernéticas, que crecen día a día y se multiplican por miles en el mundo interconectado de la red. La web del Ejército fue hackeada dos veces en ese lapso.

Tiempo y dinero perdido, además, que contradice lo mismo que escribe el gobierno, que en la nueva Directiva de Política de Defensa Nacional (decreto 703/2018) dice: “El Sistema de Investigación y Desarrollo de la Defensa, integrado al esfuerzo del Sistema de Investigación y Desarrollo Nacional, privilegiará aquellos desarrollos tecnológicos multiplicadores de las aptitudes operacionales del Instrumento Militar, conforme las operaciones previstas, en las áreas de Ciberdefensa, Alerta Estratégica y Sistema de Comando, Control, Comunicaciones, Computación, Inteligencia, Vigilancia y Reconocimiento (C4ISR)”.

Tiempo y dinero perdido que bien habrían valorado las Fuerzas Armadas y el sistema universitario y científico nacional, que sufren recortes persistentes de fondos para investigación y desarrollo, fondos que irán a subsidiar técnicos y militares extranjeros.

Lo que no se puede negar es cierta coherencia de la decisión, ya que va en línea con una serie de resignaciones de soberanía en la materia.

Este año la AFIP anunció la creación de un área nueva para la seguridad informática, y designó a su cargo a un ex ejecutivo de Equifax, empresa estadounidense de la que depende Veraz y que fue hackeada recientemente en lo que resultó una de las más grandes filtraciones de información personal de carácter financiero. Para llevar tranquilidad a los argentinos esa decisión se complementa con un Consejo Consultivo de siete miembros, también del sector privado, que trabajará ad honorem y "no tendrá acceso a las bases de datos de la AFIP".

En su debut en Davos de enero de 2016, Macri se reunió con la vicepresidente de Facebook, anunció cooperación y al poco tiempo dijo que usarían el sistema Facebook at Work (FAW) para “mejorar” la gestión de la administración pública, usando el soporte de esa plataforma corporativa. Primera vez que un gobierno planteó usar la plataforma social para su organización y comunicación interna.

Por esos días se puso a disposición del Jefe de Gabinete la base de datos de la ANSES para una mejor comunicación institucional hacia los beneficiarios del sistema; y se anunció el alojamiento de los correos electrónicos del Ministerio del Interior en la nube de Microsoft.

Más tarde supimos que con Facebook y con la también multinacional Cambridge Analytica la esfera de cooperación era mucho más estrecha y promiscua. CAMBIEMOS no podía estar ausente de ninguna mala causa, y no sólo es uno de los gobiernos sindicados como consumidor de los servicios ilegales de campañas sucias, sino que sube la apuesta con obscena constancia. El mismo día que estallaba el escándalo, anunció la resolución 46/2018, que creó la Unidad de Opinión Pública para "conocer y analizar las demandas de la población". Se trata de un eufemismo tan burdo para jerarquizar y cubrir sus ciber-militantes partidistas pagados por el Estado, que la propia resolución fija su disolución para diciembre de 2019, una manera de evitar la mirada de otro gobierno.

No debe llamarnos la atención que, en este regreso pleno y sin complejos a las relaciones carnales y al Sistema Interamericano de Defensa, los planes estratégicos en materia de ciberseguridad sean remitidos a la OEA para verificar su alineamiento con las recomendaciones y prescripciones emanadas desde allá.

Hace más de 60 años Arturo Jauretche publicó su libro “Ejército y Política”. Preguntaba allí, retórica y astutamente, por qué han de ser secretos para nuestra dirigencia y para nuestro pueblo ciertos acuerdos técnicos de cooperación militar si se escriben con asesores extranjeros.