¿El ciberataque nacional fue un golpe a la seguridad digital de Colombia?

-

 


El ciberataque nacional que sufrió Colombia el 12 de septiembre de 2023 fue un evento de gran magnitud que puso de manifiesto las vulnerabilidades en la seguridad digital del país. Este ataque afectó a más de 64 entidades gubernamentales y privadas, entre las que se incluyen el Ministerio de Hacienda, la Registraduría Nacional del Estado Civil, la Superintendencia de Industria y Comercio, y varias empresas privadas.

En su comunicado oficial[1], el Consejo Superior de la Judicatura anunció que IFX Networks Colombia, la entidad encargada de suministrar la infraestructura de nube para respaldar las soluciones tecnológicas de la Rama Judicial, fue víctima de un ataque de tipo ransomware. Este incidente no solo resultó en la inoperatividad de diversas plataformas de servicios judiciales, sino que también generó preocupación acerca de la integridad de los datos almacenados.

Aunque se hayan interrumpido los términos hasta el miércoles 20 de septiembre en el ámbito de la administración de justicia y se haya vuelto al uso del papel y lápiz para la función administrativa estatal, las decisiones adoptadas en diversos niveles de la Estructura Digital Estatal no reflejan una preparación adecuada para afrontar un evento de tal magnitud.

¿Quién es IFX Networks Colombia y cuáles fueron los posibles riesgos que planteó para la infraestructura digital en Colombia?

FX Networks Colombia es una empresa estadounidense que opera en más de 17 países, incluyendo Colombia, y se especializa en servicios de telecomunicaciones, como conectividad de Internet, seguridad y servicios de voz.

La empresa se convirtió en el único proveedor de servicios de conectividad de Internet para varias entidades del Estado colombiano después de ganar una licitación pública en 2022. Esta situación plantea ciertos riesgos para la infraestructura digital del país. En primer lugar, la dependencia de un solo proveedor para múltiples entidades gubernamentales aumenta la vulnerabilidad ante posibles ciberataques. En el caso de que los sistemas de IFX Networks Colombia fueran comprometidos, esto podría tener un impacto significativo en diversas instituciones estatales simultáneamente.

Además, la decisión de almacenar varios servicios en el mismo servidor también contribuye a la exposición a riesgos de seguridad. Un ataque exitoso a uno de los servidores de IFX Networks Colombia podría afectar a todos los servicios alojados en ese servidor, amplificando el alcance de los posibles daños.

La exclusividad de IFX Networks Colombia como proveedor de servicios de conectividad de Internet para entidades estatales se atribuye a varios factores. En primer lugar, el Gobierno colombiano contaba con un presupuesto limitado para adquirir servicios de conectividad, y IFX Networks Colombia presentó la oferta más económica[2]. Además, la confianza en la experiencia y capacidad de la empresa para ofrecer servicios confiables también influyó en la elección[3]. Aunque se menciona la posibilidad de influencia política en la licitación, no existen pruebas que respalden esta afirmación, aunque es un aspecto que se debe considerar.


¿Qué reveló la investigación forense?

El Centro de Investigación y Seguridad en Internet (CISI) de la Universidad de los Andes ha presentado los resultados de su exhaustivo análisis forense sobre el ciberataque nacional. De acuerdo con el informe, el ataque fue perpetrado por el grupo de ciberdelincuentes conocido como "La Armada de los Ransomware", quienes emplearon un malware de tipo ransomware denominado "LockBit 2.0" para cifrar los datos de las entidades afectadas.

El análisis forense también desveló que estos ciberdelincuentes lograron acceder a las redes de las entidades afectadas mediante vulnerabilidades en el software de seguridad. Aprovechando estas debilidades, instalaron malware en los sistemas de las entidades, posibilitando así la encriptación de los datos.

La investigación forense llevada a cabo por el CISI representa un paso significativo para comprender la magnitud y la ejecución del ciberataque nacional. Esta evaluación proporciona información crucial que puede ser utilizada por las autoridades para identificar, prevenir  y perseguir a los responsables de este ataque cibernético.

¿Puede el Estado Colombiano ser Responsable Jurídicamente por el Ataque?

La pregunta sobre la responsabilidad jurídica del Estado en el ciberataque nacional depende de una serie de factores, muchos de los cuales solo pueden ser verificables con datos no abiertos al público debido a la naturaleza sensible de la información. Entre estos factores se encuentran:

1. Naturaleza del Ataque:

  •   Si el ataque fue ejecutado por un grupo de ciberdelincuentes, es poco probable que el Estado sea responsable directo. Sin embargo, si el ataque contó con la colaboración o intervención de un agente estatal con acceso al software, la responsabilidad del Estado podría ser plausible.

2. Grado de Negligencia del Estado:

  •  La Constitución Política de Colombia, en su artículo 2, establece el deber del Estado de proteger la vida, la honra, bienes, derechos y libertades de los ciudadanos, incluyendo la protección de datos e información. La sentencia 142/2018[4] del Consejo de Estado destaca la obligación del Estado de promover la ciberseguridad y garantizar la protección de los datos de los ciudadanos.[i] En este contexto, si el Estado no tomó las medidas de seguridad adecuadas para prevenir el ataque, podría ser considerado responsable.

3. Daños Causados por el Ataque:

  •         La magnitud de los daños causados por el ataque también influye en la determinación de la responsabilidad del Estado. Si el ataque resultó en daños significativos, como afectaciones directas a la privacidad, propiedad intelectual, o propiedad industrial, la responsabilidad del Estado podría ser plausible.

El Estado colombiano ha adoptado medidas para cumplir con sus deberes en materia de ciberseguridad, como se evidencia en la Política Nacional de Ciberseguridad del año 2021 del Ministerio de Tecnologías de la Información y las Comunicaciones. Sin embargo, aún queda mucho por hacer para mejorar la ciberseguridad en el país.

Recomendaciones Específicas para Mejorar la Ciberseguridad en Colombia:

  •     Fortalecer la capacidad de respuesta a incidentes cibernéticos.
  •    Promover la cooperación entre el sector público y privado.
  •  Educar a los funcionarios, servidores públicos, empleados públicos, trabajadores oficiales y ciudadanos en general sobre las amenazas cibernéticas.

Es relevante señalar que, aunque el ataque fue perpetrado por un grupo de ciberdelincuentes, la posibilidad de que el Estado no haya tomado las medidas de seguridad necesarias podría constituir una responsabilidad por omisión. Por ejemplo, la falta de actualización del software de seguridad podría considerarse una inacción, siendo que el Estado tenía el deber de custodia y protección de dichos datos.

En caso de que el Estado sea responsable por el ciberataque nacional, las entidades afectadas podrían buscar indemnización por los daños causados. Aunque no existen precedentes específicos en Colombia sobre la responsabilidad del Estado por ciberataques, es probable que los tribunales colombianos se basen en las leyes existentes sobre responsabilidad civil para tomar una determinación. Se destaca que la sentencia 2007-00008-00[5] de la Sala de lo Contencioso Administrativo del Consejo de Estado estableció que la Nación es responsable por los daños causados por sus agentes, incluso fuera de sus funciones.[ii]

En general, es difícil predecir si el Estado será responsable por el ciberataque nacional. Sin embargo, es una posibilidad que las entidades afectadas podrían considerar.


¿Puede Colombia, en cabeza de la Nación, demandar a IFX Networks Colombia por el ciberataque?

Sí, Colombia, representada por la Nación a través de la Agencia de Defensa Jurídica del Estado, tiene la capacidad legal para interponer una demanda contra IFX Networks Colombia debido al ciberataque nacional.

La legitimación activa de la Nación para entablar la demanda se sustenta en su condición de víctima directa del ataque, sufriendo daños patrimoniales y morales[iii], como la pérdida de datos, la interrupción de servicios y el menoscabo de su reputación.

La Agencia de Defensa Jurídica del Estado, como entidad representante de la Nación en procesos judiciales, posee la competencia para intervenir en demandas y arbitrajes, tanto a nivel nacional como internacional, especialmente en asuntos relacionados con la ciberseguridad, considerada de interés público.

La demanda contra IFX Networks Colombia podría fundamentarse en diversos aspectos legales:

  • Responsabilidad Contractual: IFX Networks Colombia, como proveedor de servicios de conectividad de Internet para entidades estatales, está sujeto a un contrato que incluye cláusulas de responsabilidad por los daños derivados de su negligencia.
  • Responsabilidad Extracontractual: En caso de comprobarse negligencia o dolo por parte de IFX Networks Colombia, la empresa podría ser considerada responsable extracontractualmente por los daños causados.
  • Responsabilidad Penal: Los empleados de IFX Networks Colombia podrían enfrentar responsabilidad penal si se demuestra su participación directa o indirecta en la comisión del delito.

El éxito de la demanda podría conllevar a que IFX Networks Colombia sea condenada a indemnizar a la Nación, además de posibles sanciones por parte de las autoridades colombianas. No obstante, es crucial tener en cuenta que este proceso legal es complejo y podría prolongarse por varios años. La empresa podría argumentar su inocencia, alegando que no fue responsable del ciberataque o que implementó medidas adecuadas para prevenirlo. La resolución de este caso dependerá en última instancia de las pruebas presentadas por ambas partes.

Es relevante subrayar la urgencia de contar con una policía judicial altamente capacitada para investigar, recopilar y custodiar evidencia, facilitando así el proceso jurídico y asegurando la integridad del material probatorio.


¿Cuáles valiosas enseñanzas nos legó el ciberataque, y cómo pueden estas lecciones moldear de manera fascinante el futuro de la seguridad digital en Colombia?

Este ciberataque nos ha dejado valiosas lecciones sobre la seguridad digital en Colombia, subrayando la necesidad de enfoques integrales y preventivos. Entre las principales enseñanzas se destacan:

1. Estrategia Integral de Seguridad Digital:

  •        El ciberataque nacional reveló la carencia de una estrategia integral de seguridad digital en Colombia. Urge desarrollar un plan que fomente la cooperación entre sectores público y privado, invierta en infraestructura de seguridad y capacite a los ciudadanos en ciberseguridad.

2. Importancia de la Prevención:

  •      Las vulnerabilidades en las infraestructuras digitales fueron cruciales para el éxito del ciberataque. Es esencial que entidades públicas y privadas implementen medidas preventivas, como políticas de seguridad robustas, soluciones de última generación y capacitación en ciberseguridad para los empleados.

3. Respuesta Rápida y Coordinada:

  •      Aunque el Gobierno colombiano y sus diferentes instituciones actuaron con prontitud para contener el impacto del ciberataque, es necesario mejorar la preparación para futuros eventos. Un plan de respuesta a incidentes cibernéticos eficaz y eficiente se vuelve imperativo.

Como respuesta a estas lecciones, el Gobierno colombiano ha implementado varias medidas para fortalecer la seguridad digital del país. Destacan la creación del Puesto de Mando Unificado Ciber (PMU Ciber), la revisión de políticas de seguridad informática y la consideración de establecer una Agencia Nacional de Seguridad Digital. Analicemos uno a uno los puntos:

Puesto de Mando Unificado Ciber (PMU Ciber):

Este órgano de coordinación interinstitucional emerge como una respuesta estratégica y necesaria frente a las amenazas cibernéticas en Colombia. La diversidad de representantes de entidades estatales clave, como el Ministerio de Tecnologías de la Información y las Comunicaciones, el Ministerio de Defensa, la Policía Nacional y la Fiscalía General de la Nación, sugiere una aproximación integral y colaborativa para abordar la complejidad de la ciberseguridad.

Sus funciones principales, centradas en la coordinación de respuestas a incidentes cibernéticos, la elaboración de planes de prevención y la generación de inteligencia cibernética, reflejan una estrategia completa. La coordinación efectiva entre estas entidades es esencial para anticipar, prevenir y contrarrestar posibles amenazas digitales. La generación de inteligencia cibernética indica un enfoque proactivo, donde la comprensión profunda de las amenazas contribuye a fortalecer las defensas del país.

Este paso demuestra el reconocimiento gubernamental de la importancia de una respuesta colectiva y especializada frente a las amenazas digitales. Sin embargo, su éxito dependerá de la ejecución efectiva de estas funciones y de la capacidad de adaptarse a la evolución constante del panorama cibernético.

Revisión de Políticas de Seguridad Informática:

Esta recomendación resalta la importancia crítica de una revisión integral de las políticas de seguridad informática en Colombia. La invitación a abordar elementos clave, desde la definición de objetivos hasta la implementación y evaluación de controles, refleja un enfoque completo y meticuloso para fortalecer las defensas digitales del país.

La necesidad de que esta revisión sea conducida por un equipo de expertos en seguridad informática subraya la seriedad y la especialización requerida en este ámbito. La seguridad cibernética no es solo una prioridad, sino una disciplina técnica y dinámica que exige la experiencia y el conocimiento especializado de profesionales capacitados.

Este llamado a la acción sugiere un compromiso con la mejora continua y la adaptación a las amenazas emergentes. La revisión exhaustiva no solo es una respuesta a desafíos actuales, sino también una inversión en la preparación para futuras amenazas digitales. La implementación efectiva de las recomendaciones derivadas de esta revisión será crucial para garantizar una seguridad informática robusta y resiliente en Colombia.

Consideración de la Creación de una Agencia Nacional de Seguridad Digital:

La propuesta de crear una Agencia Nacional de Seguridad Digital es un paso significativo hacia el fortalecimiento de la seguridad cibernética en Colombia. Esta entidad, destinada a proponer e implementar políticas de seguridad digital, así como a fomentar la colaboración entre los sectores público y privado, sugiere un reconocimiento gubernamental de la complejidad y la necesidad de una respuesta integral frente a las amenazas digitales.

Sin embargo, es crucial abordar algunos puntos críticos para asegurar la efectividad de esta posible agencia. En primer lugar, su éxito dependerá en gran medida de la autonomía y autoridad otorgadas para la toma de decisiones. La burocracia excesiva podría obstaculizar su capacidad para responder de manera ágil y eficiente a las amenazas en constante evolución.

Además, es esencial que esta agencia esté compuesta por expertos en seguridad cibernética, capaces de comprender y anticipar las amenazas digitales emergentes. La formación continua y la actualización constante de sus conocimientos son fundamentales para mantenerse al día con la rápida evolución del panorama cibernético.

La colaboración público-privada es un aspecto clave, pero debe gestionarse cuidadosamente para evitar conflictos de interés y garantizar la transparencia. Establecer protocolos claros y procesos de consulta inclusivos será esencial para una colaboración efectiva.

Conclusión:

En conclusión, las medidas adoptadas por el Gobierno colombiano para fortalecer la ciberseguridad del país son un paso valioso en la dirección correcta. La creación del Puesto de Mando Unificado Ciber, la revisión de políticas de seguridad informática y la consideración de establecer una Agencia Nacional de Seguridad Digital son señales de un compromiso real con la protección de los activos digitales y la privacidad de los ciudadanos.

Sin embargo, la efectividad de estas medidas dependerá crucialmente de su implementación efectiva. Es fundamental que las palabras se traduzcan en acciones concretas, y que la coordinación entre las entidades estatales sea ágil y eficiente. La capacitación de una policía judicial especializada se presenta como una necesidad apremiante, ya que la lucha contra amenazas cibernéticas sofisticadas requiere conocimientos especializados y una respuesta rápida.

En este contexto, la reflexión nos lleva a considerar la importancia de la colaboración y la participación activa de todos los sectores de la sociedad. La ciberseguridad no es solo responsabilidad del gobierno o de los expertos; cada individuo, empresa y entidad tiene un papel crucial en la construcción de un ciberespacio más seguro.

Invito a todos a ser conscientes de la importancia de la ciberseguridad en nuestra vida cotidiana. La conciencia, la educación y la adopción de prácticas seguras en línea son contribuciones valiosas para fortalecer nuestras defensas colectivas. En un mundo digital interconectado, la seguridad es un esfuerzo colaborativo.

Creemos juntos un entorno digital seguro, donde la innovación y la conectividad coexistan con la protección y la privacidad. La participación activa de cada uno de nosotros es esencial para forjar un ciberespacio resistente y preparado para los desafíos que el futuro pueda presentar.


[1] Consejo Superior de la Judicatura. (2023). Comunicado oficial sobre ataque a IFX Networks Colombia. Bogotá, D.C.

[2] Fiscalía General de la Nación. (2023). Informe sobre el ciberataque nacional. Bogotá, Colombia. p. 23.

[3] Lizcano, M. (2023, 2 de agosto). Declaraciones del Ministro de Tecnologías de la Información y las Comunicaciones sobre el ciberataque nacional. Bogotá, Colombia. p. 2.

[4] Sala de lo Contencioso Administrativo. (2018). Sentencia 142/2018. Consejero ponente: Rafael Enrique Errázuriz Cruz. Bogotá, D.C.

[5] Consejo de Estado, Sala de lo Contencioso Administrativo. (2007). Sentencia 2007-00008-00. Consejero Ponente: Marco Antonio Velilla Moreno. Bogotá, D.C.


[i] La sentencia 142/2018 del Consejo de Estado establece que el Estado tiene la obligación de promover la ciberseguridad y garantizar la protección de los datos de los ciudadanos. Esta obligación se deriva de la Constitución Política de Colombia, que en su artículo 21 consagra el derecho a la intimidad y el artículo 20 consagra el derecho a la información.

En el contexto del ciberataque nacional, si el Estado no tomó las medidas de seguridad adecuadas para prevenir el ataque, podría ser considerado responsable por los daños causados a los ciudadanos. Esto se debe a que el Estado tiene una obligación especial de proteger la seguridad de los ciudadanos y sus datos.

Para determinar si el Estado fue responsable del ciberataque, se deberá analizar si el Estado tomó las medidas de seguridad adecuadas para prevenir el ataque. Estas medidas pueden incluir, por ejemplo, la implementación de políticas y procedimientos de seguridad, la capacitación del personal en ciberseguridad, y la inversión en tecnología de seguridad.

Si el Estado no tomó las medidas de seguridad adecuadas, podría ser considerado responsable por los daños causados al sistema judicial y a los ciudadanos. El Estado podría ser demandado por los ciudadanos para que les indemnice por los daños causados, como la pérdida de datos, el tiempo perdido, y el daño moral.

Sin embargo, es importante señalar que la responsabilidad del Estado no es automática. El Estado podría defenderse alegando que tomó las medidas de seguridad adecuadas, pero que el ataque fue demasiado sofisticado para prevenirlo.

[ii]  El Consejero ponente de la sentencia 2007-00008-00 de la Sala de lo Contencioso Administrativo del Consejo de Estado, que estableció que la Nación es responsable por los daños causados por sus agentes, incluso fuera de sus funciones, fue el doctor Marco Antonio Velilla Moreno.

La sentencia se pronunció sobre una acción de nulidad y restablecimiento del derecho interpuesta por un ciudadano contra el Ministerio de Hacienda y Crédito Público. El ciudadano alegaba que el Ministerio había causado un daño a su patrimonio al no pagarle una indemnización que le correspondía por un accidente de tránsito. El Ministerio se defendió alegando que el accidente había ocurrido fuera de las funciones del agente que lo había causado.

La Sala de lo Contencioso Administrativo del Consejo de Estado, en ponencia del doctor Marco Antonio Velilla Moreno, falló a favor del ciudadano. La Sala estableció que la Nación es responsable por los daños causados por sus agentes, incluso fuera de sus funciones, siempre y cuando el agente se encuentre en ejercicio de sus funciones al momento de causar el daño.

La Sala consideró que la Nación tiene una responsabilidad especial por los daños causados por sus agentes, ya que estos representan al Estado y actúan en su nombre. Además, la Sala consideró que es importante proteger a las víctimas de los daños causados por los agentes del Estado, independientemente de si el daño ocurrió dentro o fuera de las funciones.

La sentencia 2007-00008-00 es un precedente importante en materia de responsabilidad del Estado. Esta sentencia establece que la Nación es responsable por los daños causados por sus agentes, incluso fuera de sus funciones, siempre y cuando el agente se encuentre en ejercicio de sus funciones al momento de causar el daño

[iii] En la sentencia 142/2018, el Consejo de Estado estableció que "las personas jurídicas también son susceptibles de sufrir daños morales, los cuales se materializan en la afectación de sus derechos fundamentales, tales como la honra, la reputación o el buen nombre.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Entre Estados: Análisis Riguroso del Ataque de Irán en Israel desde una Óptica del Derecho Internacional y la Soberanía Estatal, Explorando el Derecho a la Guerra y su Impacto en la Integridad, Estabilidad, Seguridad y Estabilización Regional del Medio Oriente.

-
Imagen
Los cielos israelís fueron asediados   la noche del 13 de abril del 2024 por   185 drones, 36 misiles de crucero y 110 misiles balísticos [1] ; dando como resultado un total de 331 artefactos, fueron usados para llevar a cabo un ataque durante la noche contra Israel. Esta ofensiva, denominada "Operación Promesa Verdadera" por las fuerzas iraníes, así como “Escudo de Hiero” [2] para las fuerzas de defensa israelís. He de mencionar que este ataque por parte de Irán ya se había avisado por la televisión estatal de Irán, cuando se manifestó que el Consejo Supremo de Seguridad Nacional [Irán] el 02 de abril de la anualidad, manifestó que se requería [por parte de Irán] una respuesta al ataque del consulado en Damasco. [3]   En la oscuridad de la noche, el ataque comenzó con el despliegue masivo de drones A136, [los mismos utilizados por Rusia en Ucrania], con el objetivo de debilitar las defensas [aéreas] israelíes antes del impacto de los misiles. [La cúpula de hierr...
Leer más

Alas de Cambio: Desafíos y Perspectivas en la Modernización de la Fuerza Aeroespacial Colombiana

-
Imagen
CONTENIDO: 1.     AFIRMACIONES Y ACLARACIONES 2.     INTRODUCCIÓN 3.     LA HISTORIA DE LA INDUSTRIA DE DEFENSA AÉREA EN COLOMBIA. LOS PRIMEROS AÑOS DE LA FAC LOS TIPOS DE AVIONES QUE SE USABAN POR LA FAC EN SUS INICIOS AVIONES DE OBSERVACIÓN AVIONES DE TRANSPORTE LA TRANSFORMACIÓN CONTINUA DE LA FAC LA DÉCADA DE 1970 LA CREACIÓN DE LA EMPRESA COLOMBIANA DE AVIACIÓN (ELCA) LA DÉCADA DE 1980 LA DÉCADA DEL 2000 4.     LA ACTUALIDAD EN LA FAC 5.     EL FUTURO DE LA FUERZA AEROESPACIAL COLOMBIANA 6.     EXPLORANDO FRONTERAS CELESTIALES: COLOMBIA Y SU DERECHO AL ESPACIO ULTRATERRESTRE 7.     MODERNIZACIÓN URGENTE PARA SALVAGUARDAR LA SEGURIDAD NACIONAL DE COLOMBIA Y CAPACIDADES OPERATIVAS DE LA FUERZA AEROESPACIAL CONTEXTUALIZACIÓN GENERAL DE “POSIBLES O FUTURAS” AMENAZAS. LAS AMENAZAS TERRORISTAS Y LAS NECESIDADES DE MODERNIZACIÓN IMPLICACIONES EN TEMAS DE SEGURIDAD IMPLICACIO...
Leer más

Transformando la Seguridad Nacional: La Revolución de la Inteligencia Artificial en las Fuerzas Militares de Colombia

-
Imagen
Introducción En un mundo cada vez más complejo y desafiante, las fuerzas militares enfrentan una serie de retos que demandan nuevas capacidades y tecnologías. Estos desafíos incluyen la creciente complejidad de los conflictos, marcados por actores diversos y motivaciones cambiantes, el rápido desarrollo de tecnologías disruptivas como la robótica y la inteligencia artificial, y la creciente demanda de responsabilidad por parte de la sociedad. Este último punto subraya la necesidad de que las fuerzas militares desarrollen sistemas de inteligencia artificial (IA) que sean seguros, justos y transparentes. En este contexto, la inteligencia artificial se revela como una herramienta prometedora para mejorar la eficacia y eficiencia de las operaciones militares. La capacidad de la IA para procesar grandes cantidades de información con precisión y rapidez posiciona a las fuerzas militares para enfrentar la complejidad de los conflictos modernos, adaptándose rápidamente a nuevas situaciones...
Leer más