En dos años, los uruguayos podrán hacer todos los trámites estatales en línea. Habrá un usuario único para todas las ventanillas digitales del Estado. La Agencia de Gobierno Electrónico y Sociedad de la Información y el Conocimiento (AGESIC) está mapeando todo el país para hacer catastro, pero también para convertir al territorio en una serie de capas informativas que permitan gestionar desastres naturales o de la información que los organismos públicos manejan. Esta agencia es la que mide y actúa ante ataques cibernéticos. La administración central es continuamente atacada. Nadie se salva. Todos somos vulnerables. ¿Qué tanto nos puede proteger una agencia que dice que todos somos vulnerables?
José Clastornik dirige la AGESIC hace diez años. Entiende la tecnología de la información como un “removedor”, como una forma de cambiar hábitos. Como una forma “de encarar las cosas para hacer, sabiendo que tenés que convivir con paciencia, porque no se puede cambiar todo de una manera, al instante”.
¿Cuál es la situación de la ciberseguridad en el Estado? ¿Qué tan seguras son nuestras redes?
Como ciudadano, tenés el derecho de que te den las mayores garantías. Y tenerlas es lo que genera la confianza para que las uses. Hay más de un pilar de trabajo, no es sólo ciberseguridad pura: hay un tema de protección de datos que es un capítulo enorme en todo esto. Cómo se manejan tus datos y cómo consentís el uso de esa información. Incluso temáticas relacionadas con la ciberseguridad, como la identidad electrónica. Tu derecho es que el Estado te proteja lo más que pueda, y también los organismos, como un banco o una empresa que hace comercio electrónico. Si compraste pasajes y tu información, tu tarjeta, está disponible, tu derecho es que te garanticen que la información sea guardada de la mejor forma posible. La obligación es de todos. No es que tengas una garantía de que no te va a pasar nada. Lo que tenés son determinados niveles de certeza que se están trabajando bien.
¿Cuáles son esas garantías?
La comparación fácil que hacemos es con los bomberos. Hay una actividad previa: enseñarte cómo tenés que conducirte, cómo apagar el fuego en determinado lugar, cómo tenés que actuar cuando hay un accidente y cómo se trabaja después del incidente. Los más comunes son que la gente deja un sticker con el password disponible en la computadora. O cómo te manejás cuando sacás dinero de un cajero. En un ataque, lo importante es cómo te defendés contra él.
¿Uruguay es atacado?
Obvio. Estamos siendo continuamente atacados.
¿Por quién?
Hay distintos ataques. Algunos específicos, que apuntan a vos, y otros que son al barrer, que tratan de encontrar debilidades. Algo típico es que, cuando una empresa de software específica encontró una vulnerabilidad y sacó un parche para esa vulnerabilidad, hay hackers que usan esa información para escanear el universo y ver si alguien estuvo lento para aplicar el parche y, a partir de eso, entrar en esos servidores, para hacer alguna actividad más o menos dañina. Es una actividad genérica. Alguien puede tratar de entrar a tu máquina probando tu password, tratando de afectarte de alguna forma. Hay formas fáciles de afectarte: podés juntar máquinas esclavas y que vayan a un sitio en determinado momento. No te están corrompiendo o robando la información, pero están evitando que estés en el aire en la medida en que el volumen de acceso supere las capacidades de tu servidor o el ancho de banda con el que trabajes.
¿La administración pública ha sido atacada?
Siempre. En los sitios de los ministerios aprovechamos la instalación de software para trámites en línea para poner lo que se llama web application firewalls, que ayudan a detectar y tener información sobre los intentos de ingreso, que se envían a un centro operativo que toma toda esa información, la filtra y la lleva a un análisis que permite una actuación preventiva.
Los números dicen que en 2017 se multiplicaron los incidentes respecto de 2016. ¿Por qué?
El Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay [CERT] tiene toda la información disponible sobre los incidentes. El aumento no se debe necesariamente a que aumentara la actividad de incidentes, sino a que estamos teniendo más medidas proactivas, o sea que estamos teniendo más información sobre esos incidentes. No puedo decir que aumentó el volumen de incidentes: aumentó el volumen de conocimiento sobre el tipo de acciones que estamos teniendo. Entre las medidas preventivas que estamos trabajando, podemos saber si alguien hizo diez intentos de entrar, aunque no haya entrado. Es un tipo de información distinta a cuando el incidente te hizo daño. Después de que se hizo, tenés la actividad forense para entender el nivel de daño y evaluar las pistas disponibles en las trazas que eventualmente hayan quedado en el ataque, a los efectos de una eventual participación de la Policía en lo que es un delito.
¿Todos somos vulnerables?
Somos. Todos. El tema es cuál es la dificultad para vulnerar. No podés decir que no sos vulnerable, porque no es lógico, es un tema de cuánto levantás la dificultad para ser vulnerado.
En los últimos tiempos hay acusaciones entre gobiernos por interferencia en procesos electorales, incluso. Hay ejércitos de bots trabajando también a nivel de la opinión pública…
Sí. A nivel de la opinión pública estás entrando en el terreno de qué es un delito, qué tenés que detectar, prevenir y castigar. Están apareciendo nuevos tipos de delitos, que no siempre son encuadrados o quizá sea difícil encuadrarlos en un delito del Código Penal.
¿Qué análisis hacen de los bots?
Hay bots buenos y bots malos. No es fácil la respuesta. Nosotros estamos trabajando con chatbots para la respuesta en trámites y servicios automatizados; no es un bot con el que puedas enojarte. Toda la tecnología trae usos positivos y negativos; tenés que capitalizar los positivos y ver cómo cuidar los derechos de las personas con los negativos. Hay, sí, discusiones sobre la ética: no tenés un delito necesariamente, pero sí un problema ético.
¿Una afectación al derecho de la información?
Por ejemplo. No son temas sencillos. Hay gráficas con liebres y tortugas. La liebre como la tecnología y la tortuga como la regulación. Todavía hay que agregar las dificultades para encuadrar las acciones de regulación que tenés que hacer. Hay dificultades, pero son parte del mundo que estamos viviendo.
¿Por qué es necesario crear un centro de seguridad informática?
El CERT lo estamos trabajando. Se concentraba más en ayudar cuando el accidente estaba pasando y en el análisis forense cuando había sucedido. El Centro de Operaciones de Seguridad busca mayor prevención, tener alertas activas y centros de monitoreo las 24 horas del día que permitan tener más información de lo que está pasando y ponerle inteligencia. Hay herramientas de análisis que detectan actividades sospechosas, y a partir de eso poder generar una acción. Si prevenís, es mejor que actuar después.
Uno de los desafíos que se planteó la AGESIC a 2020 es que haya un usuario único para todas las ventanillas digitales del Estado. ¿Llegan?
Tecnológicamente, ya está. Hay dos etapas importantes para hacerlo: una es tener la tecnología; la otra, tener la opción. Como ingeniero, podés pensar que cumpliste porque está disponible, pero la respuesta es negativa, porque no se está usando. La temática es cómo se usa. Nosotros hicimos dos cosas: un software que te permite entrar con tu cédula de identidad como medio de identificación: usás la cédula física y con ella entrás en un lugar específico; y la single sign-on: un acceso unificado que permite entrar a un lado y seguir navegando como lo hacés cuando entrás a Google y navegás por todas sus aplicaciones. Tenemos disponibles las dos tecnologías. Y hay más del mecanismo de single sign-on que puede usarse con la cédula o con el usuario y el password. Estamos avanzando en que se puedan usar apps. Esperemos que este año puedas entrar con celulares. Esa plataforma existe y está aplicada. Adentro del Estado la estamos usando en el expediente electrónico y en todos los trámites y servicios digitales. La proyección es que todos los trámites estén disponibles a 2020. La plataforma ya está. Más allá de que evolucione en el tiempo con los celulares y las apps, la adopción es un proceso que se da en función de cada institución.
No es sólo hacer el single sign-on. Tenemos una herramienta de comunicaciones electrónica para que tengas todas las comunicaciones y las notificaciones del Estado en una bandeja. Hay que generar un lugar donde puedas tener tus datos y que no te los pidan todas las veces, una carpeta del ciudadano. Facilita mucho el armado, el trámite, facilita la digitación, hace que los datos sean consistentes. Porque si en cada lugar tenés que escribir los datos, podés tener errores de tipeo, inconsistencias en lo que estás escribiendo.
Las plataformas las hicimos y estamos avanzando en distintos proyectos que incorporan esa tecnología y la hacen disponible en los tiempos de cada organización y circunstancia.
¿La idea es que estén todos los servicios del Estado en una app?
Hay una lógica de buena práctica que se llama omnicanalidad. Significa que tenga múltiples canales independientes, que puedas empezar un trámite en un canal y seguirlo en otro, volver al primero o seguir en un tercero. Me refiero a cualquier canal: atención presencial, ventanilla web, llamar por teléfono al call center, chatbots, conexión vía redes sociales –que estamos camino a hacer– o celulares. No es uno, es la totalidad de los canales.
¿La AGESIC está participando en la confección de un inventario de predios inmuebles del Estado?
Sí, en realidad hay información que se integra. Cuando querés saber toda la info de los inmuebles del Estado, no es tan sencillo como puede parecer. De repente hiciste una ruta, quedaron pedazos de terrenos expropiados y hay que hacer un análisis de eso. Es información que tenés que ir y tomar; alguna es más estructurada, otra menos. Es una iniciativa de la Oficina de Planeamiento y Presupuesto, que integramos con otras instituciones. Se está tratando de tener toda la información claramente explicitada y gestionar esos activos del Estado. Quizá se escapa alguno y puede haber una acción que redunde en beneficios, como vender un pedazo de tierra al lado de la ruta que no se está usando.
Hace algunos años se hizo un acuerdo con el Banco Interamericano de Desarrollo y la Corporación de la Información Territorial y Geoespacial de Corea del Sur para actualizar el catastro con tecnología geoespacial. ¿Cómo se viene avanzando?
Estamos trabajando con la infraestructura de datos espaciales que actualiza la información geográfica del país. Llevamos el nivel de error en el campo, de 30 centímetros, a nivel de ciudad: diez centímetros. Lo que se hace es generar determinadas capas de información. Relevamos todo lo que está debajo del Río Negro y se está avanzando en todas las capas.
¿Cuáles son las capas de la información geoespacial que se priorizan?
Las básicas son relieves y ríos. Se agregó el catastro nacional y se está agregando una capa relacionada con los cursos de agua. Se llegó a un nivel de precisión y se encontraron cañadas que no sabíamos que lo eran. Estamos en una etapa de visualización.
Con las capas de información cada organismo puede decidir las suyas y hacer un análisis. Por ejemplo, para gestionar riesgos ambientales, saber cuántos habitantes hay en una cuadra y su nivel educativo, hacer un mapeo muy fuerte de la sociedad. Es mucha información sensible. ¿Cómo se protege tanta información si todos somos vulnerables?
Desde que nació la AGESIC generamos varios grupos. Uno fue sobre la privacidad de los datos. Se generó el marco legal sobre privacidad y protección de datos. Uruguay es el único país que desde la comunidad europea está reconocido como autoridad equivalente. Las mayores garantías que podemos dar las estamos dando. Es nuestra preocupación, porque es generar confianza. No es hacer un programa: tenés que generar consensos. En el Parlamento todas las leyes salieron por consenso; aunque no es explícito, es una política de Estado.