Home Entrevistas Raúl Millán, experto en tecnología de la información: “Existe una guerra fría...

Raúl Millán, experto en tecnología de la información: “Existe una guerra fría cibernética”

Por Jorge González.

(ESPECIAL). El especialista en Servicios y Tecnología de la Información, el panameño Raúl Millán, dijo que “existe una guerra fría cibernética” en el mundo, y destacó respecto de la seguridad informática que “Panamá, al igual que muchos otros países, está luchando para encontrar la fórmula adecuada entre regulación e innovación”.

“Esta búsqueda constante hace que el estado de los estándares de seguridad, en esta materia, sea muy incipiente, especialmente cuando se nos compara con otras economías más desarrolladas”, expresó Millán a Ciberseguridad LATAM.

El experto, que fue supervisor especialista en sistema de seguridad del Canal de Panamá, manifestó que la realidad panameña se agrava “cuando entendemos que la tecnología que genera la necesidad de dichos estándares es importada y el país como tal no tiene control sobre la misma”.

¿Cuál es el estado de los estándares de seguridad informática en la que se encuentra Panamá, respecto de los países más desarrollados del mundo?

Panamá, al igual que muchos otros países, esta luchando para encontrar la formula adecuada entre regulación e innovación. Esta búsqueda constante hace que el estado de los estándares de seguridad, en esta materia, sea muy incipiente, especialmente cuando se nos compara con otras economías más desarrolladas.

Esta realidad se agrava cuando entendemos que la tecnología que genera la necesidad de dichos estándares es importada y el país como tal no tiene control sobre la misma.

Creo que la industria de la seguridad cibernética es bastante joven; un efecto indeseado de esta realidad es un estado de madurez inadecuado, a través de casi todos los sectores de la economía. Existen algunas excepciones donde se han realizado más avances, especialmente en el sector financiero, que cuenta con ciertas regulaciones vigentes, en la forma del acuerdo 6 y acuerdo 7 del año 2011.

Fuera del ámbito financiero, se han dado los primeros pasos para impulsar una Ley de Protección de Datos Personales, mientas que el borrador de Ley de Delitos Cibernéticos no ha tenido mucha actividad durante el último quinquenio.

“La nube pública sea una mejor opción para el aseguramiento de los datos”.

¿Qué desafíos enfrenta la región en materia de ciberseguridad?

El mayor reto tiene que ser confianza, seguido muy de cerca por educación. La seguridad cibernética tiene como fin generar confianza en el uso de plataformas electrónicas para llevar a cabo trámites que hagan más fácil comunicarse con el gobierno, generar riquezas y en términos generales facilitar la vida de la población en genera.

Hoy en día tenemos una crisis de confianza, en parte generada por la falta de educación sobre el tema. Los riesgos inherentes al uso de nuevas tecnologías no son comunicados de manera apropiada, ni oportunamente, generando muchísimas dudas sobre el uso que se le da a la información personal que recolectan los gobiernos y entidades privadas.

Desde el punto de vista técnico, la falta de adopción e implementación de estándares mínimos de seguridad por parte de los gobiernos, hace que se desconfié mucho en el uso de las plataformas electrónicas del Estado, sin mencionar los problemas de interoperabilidad y burocracia, que son trasladados a las plataformas electrónicas, por tratar de replicar procesos existentes e ineficientes, en dichas plataformas.

¿Existe la posibilidad de una ciberguerra?

Creo que ya existe una guerra fría cibernética, que no recibe suficiente cobertura en los medios, ya que es una guerra de información. Las señales son evidentes, así como a principios de siglo se utilizó la tecnología para llevar a cabo movimientos revolucionarios en algunos países, tales como las elecciones del 2008 en EEUU (primera vez que se utilizaban redes sociales como plataforma) y la primavera árabe.

Lo que se vive hoy en día con el tema de las noticias falsas (fake news) y las múltiples acusaciones de interferencia en elecciones del oeste, no son más que una escalada en el conflicto; mismo que hasta ahora ha quedado relegado a una guerra de información, más que a un ataque directo a las infraestructuras criticas, por lo menos no de manera masiva, ya que se han dado casos puntuales como STUNEX y sus derivados, donde claramente un Estado utilizo las plataformas tecnologías para afectar a otro país.

El ataque directo a las infraestructuras críticas es más complejo debido al problema de la atribución; es muy difícil realizar ataques sin dejar rastros, aunque vemos como los arsenales digitales (Eternal Blue) si existen y contienen herramientas avanzadas, por lo que debemos asumir que las mismas son utilizadas de manera regular.

“Creo que la industria de la seguridad cibernética es bastante joven”.

En caso de recibir algún ataque a infraestructuras críticas, ¿tiene el gobierno panameño una respuesta rápida a esa intrusión?

El tema de respuesta a incidentes en Panamá se encuentra bastante fraccionado. Hoy en día se cuenta con el Centro Nacional de Respuesta a Incidentes. Sin embargo, dicho centro opera desde el ámbito meramente civil. La comunicación con los estamentos de seguridad física del Estado (Policía, Ministerio Público, Consejo de Seguridad) puede ser problemática, dependiendo del tipo de incidentes que se atienda.

Recientemente se han implementado diferentes iniciativas, como el centro de operaciones C5 de la Policía Nacional, aunque este es eminentemente enfocado a seguridad ciudadana. Sin embargo, se han iniciado conversaciones para incorporar el tema de respuesta a incidentes cibernéticos.

“Los riesgos inherentes al uso de nuevas tecnologías no son comunicados de manera apropiada”.

¿Con qué tipo de herramientas cuenta la sociedad panameña para protegerse en internet? ¿Existe alguna ley que penalice la identidad robada?

Con respecto al tema de suplantación de identidad, la misma se encuentra regulada en el artículo 221, numeral 4 del Código Penal y conlleva una penalidad de cinco (5) a diez (10) años, versus la sanción que contemplaría el artículo 221 A, que sería de cuatro (4) a seis (6) años.

Dicho artículo fue tomado en consideración al momento de redactar el último borrador de la ley de delitos informáticos, misma que aún no ha sido considerada para aprobación por parte de la Asamblea Nacional de Diputados.


La forma en que se protegen los datos personales en Panamá

El especialista en ciberseguridad, Rául Millán, también se refirió a la forma que se protegen los datos personales en Panamá. Al respecto, dijo que “existe el proyecto de ley 655 del 20 de agosto del año 2018, que especifica el tema de protección de datos personales”.

Al respecto, consideró que la ley parece dedicar más atención a explicar sus limitaciones, que las medidas de protección que se le brindan a la personal natural. También aseguró que no se entra en detalle a explicar que son datos personales y/o qué norma internacional se utilizara para su clasificación y que se restringe, o más bien, se deniega el derecho al olvido. Existe una cantidad de “leyes especiales” que limitan la aplicación de esta ley, sin embargo, en ningún momento se nombran cuales son dichas leyes especiales, dejando muchas posibilidades abiertas, haciendo que sea muy difícil, sino imposible, a las personas naturales el ejercicio del derecho a la privacidad, en contravención a lo establecido en la “exposición de motivos”.

¿Cómo se puede evitar la intercepción de mensajes por parte de delincuentes informáticos?

La única opción es una disciplina de uso de cifrado robusto, aunque las opciones son muchas y gratuitas, el mantener la disciplina requiere de algo de educación y la curva de aprendizaje no es sencilla. Opciones para correo electrónico, tales como PGP siguen siendo la opción de más fácil acceso, hay opciones libres y derivados pagados. Estas herramientas pueden ser usadas para cifrar cualquier dato, pero su uso más común es para el cifrado de correo electrónico. Otra buena opción, para los que quieran utilizar un servicio, en vez de tener que instalar herramientas, es utiliza Protonmail (es el que yo uso).

De ahí, las opciones para mensajería instantánea también existen, sin embargo, también hay muchos temas de confianza que los usuarios depositan en los operadores; por ejemplo, Whatsapp implementa muy buena tecnología de cifrado, sin embargo, el operador (Facebook) tiene un registro muy pobre en cuanto protección de datos personales.

Las opciones más populares, cuando la privacidad es primordial son Telegram y Signal, sin embargo, el primero enfrenta cuestionamientos sobre el uso de protocolos propietarios (mproto) y el segundo tiene ciertas limitantes (por ejemplo, no backup en iCloud o Google) en su usabilidad para mantener la privacidad de los usuarios.

¿Cuál es la más segura, la nube pública o privada?

Un sistema solo es tan seguro como su configuración lo permita. Lo cierto es que la velocidad de implementación, así como la economía de escala, hace que la nube pública sea una mejor opción para el aseguramiento de los datos.

Usando siempre la criptografía como base de todas las soluciones, hoy en día hay opciones para cifrar hasta base de datos en la nube, así como los discos duros virtuales de las máquinas que se crean en dichas plataformas, sin mencionar los datos que se almacenan en los servicios de mensajería, tales como Office 365.

Todo esto es posible hacerlo, hasta con la propia llave privada de las organizaciones, eliminando el temor al acceso autorizado, por parte de los operadores de los servicios de nube.



Asado o pasta, las comidas preferidas de Raúl Miillán

¿Una comida preferida? Estoy entre el asado o pasta, en cualquier presentación.
¿Una ciudad? Estrasburgo, en Francia.
¿Le gustan los deportes? ¿Cuáles? Sí, la verdad es que estoy practicando Crossfit y es el único donde estoy concentrado ahora mismo.