Hablar de ciberseguridad en Colombia es cambiar la perspectiva de las diferentes definiciones que hay de la seguridad digital. Y es así porque desde la concepción del Estado existe una definición concreta de ciberseguridad. Y habla de esa capacidad del Gobierno colombiano para minimizar el nivel de riesgo que afrontan los ciudadanos ante las amenazas y los incidentes que tienen que ver con el ciberespacio y las tecnologías de la información y la comunicación (TIC).
Obviamente, este nivel de definición ha llevado años. Podría afirmarse que la Policía Nacional de Colombia empezó a trabajar en 2006 para poder interactuar o recibir denuncias en línea. Una labor que culminó en lo que hoy llamamos CAI Virtual, que es una gran herramienta para poder recibir no sólo denuncias formales, sino también reportes de incidentes informáticos. El CAI Virtual permite a la Policía Nacional tener una información preliminar y poder adelantar unas actividades de prevención, de disuasión y de contención del delito informático, del cibercrimen y del comportamiento desviado en el ciberespacio.
Enfoque académico
Hay tres grandes enfoques en la forma de gestionar la ciberseguridad en Colombia: el académico, el institucional y el de la cooperación internacional. En el caso del primero, la ciberseguridad se está tratando desde un escenario multifactor, ya que, como comentaba anteriormente, hay diferencias entre el delito informático, el cibercrimen y el comportamiento desviado en el ciberespacio.
Esto está haciendo mella entre los investigadores, quienes, cada vez más, son conscientes de separar esas definiciones. Y sobre esa conceptualización generar líneas de acción, generar investigación académica aplicada con el objetivo de conocer el perfil de un cibercriminal y las diferentes formas de materializar o tipificar un delito informático. Esa gran diferencia entre el campo de acción del delito informático y el cibercrimen. Y luego, obviamente, otras conductas que todavía no han sido tipificadas en la norma pero que es necesario ponerlas sobre la mesa de los hacedores de leyes para empezar a regularlas.
Sabemos que la tecnología avanza más rápido que la forma de normar la interacción del hombre con ella. Por ello, el comportamiento desviado de los seres humanos empieza también a jugar una parte importante en el campo de la investigación académica.
Colombia gestiona la ciberseguridad a través de tres grandes enfoques: el académico, el institucional y el de la cooperación internacional
Un gran avance en ese escenario es definir cinco grandes categorías de las ciberamenazas. La primera es la de las amenazas que atentan contra la seguridad de las infraestructuras críticas informáticas. La segunda son todas esas amenazas en línea que generan una victimización económica en el ciberespacio.
La tercera es la referente a los incidentes informáticos de carácter interpersonal. Hablamos de todo lo que afecta a los niños y adolescentes, del ciberacoso, del sexting, del morphing, del catfishing… En definitiva, de todos esos comportamientos que pueden llegar a victimizar a los seres humanos, atentando contra su intimidad o, de una manera cercana, sus relaciones sociales.
La cuarta categoría se integra mucho en la protección de la privacidad desde el ámbito de la información, son las ciberamenazas que atentan contra la confidencialidad y la integridad de la información. Y la quinta categoría agrupa a todas las ciberamenazas que vienen inmersas en las nuevas tecnologías y en el desarrollo de nuevas aplicaciones.
Enfoque institucional
En cuanto al segundo gran enfoque, Colombia ha sancionado un plan nacional en el que hay un pacto concreto sobre la innovación y el desarrollo. Esto indica que las instituciones deben desarrollar capacidades de seguridad para proteger esas líneas de acción sobre las cuales se están dinamizando más mercados en Internet, otras oportunidades de desarrollo tecnológico, otras oportunidades de innovación… Y, lógicamente, si no existe un marco de trabajo ciberseguro es muy difícil que el desarrollo económico del país basado en este nuevo plan se genere.
En esta parte institucional se puede retomar lo que comentaba sobre los esfuerzos de la Policía Nacional de Colombia desde 2006. En 2008 se creó el CAI Virtual. En 2009 se aprobó una ley que tipificaba los delitos informáticos. En 2011 llegaron los lineamientos de política para la ciberseguridad y la ciberdefensa (documento CONPES 3701). En 2016 apareció una segunda versión con mayores capacidades para las instituciones. Con el CONPES 3854 ya existe una política nacional de seguridad digital.
Entre otras iniciativas, Colombia se ha adherido a la Academia Global de Interpol, siendo el primer país de América Latina en hacerlo
Obviamente, las instituciones vienen trabajando en estar alineadas con ciertos organismos internacionales y en tener sus centros de respuesta a incidentes informáticos (CERT). El Ministerio de Defensa tiene su colCERT, las Fuerzas Armadas cuentan con el Comando Conjunto Cibernético (CCOC), la Policía Nacional dispone de su CSIRT y del Centro Cibernético Policial, que tiene todas las capacidades para dar respuesta a las denuncias de los ciudadanos y para desplegar operaciones en el ciberespacio. Podemos hablar de más de 1.300 capturados por delitos informáticos desde el año 2009. Estamos hablando de una capacidad de respuesta gigante, como lo demuestra el que haya más de 360 cibercriminales detrás de las rejas.
Teniendo en cuenta lo especificado en los CONPES, se puede afirmar que los lineamientos no se han quedado en algo teórico, sino que han permitido a la Policía Nacional, y a las autoridades que administran justicia en el país, poder llegar a materializar operaciones contra los cibercriminales.
Cooperación internacional
Por lo que respecta al tercer gran enfoque, Colombia está adherida y ha ratificado el Convenio de Budapest. Además, el pasado mes de mayo se adhirió a la Academia Global de Interpol, siendo el primer país de América Latina en hacerlo. En la Escuela de Postgrados de Policía vamos a poder entrenar y colaborar con otros cuerpos policiales para poder generar capacidades contra el cibercrimen. Y la Policía Nacional de Colombia también viene trabajando con Europol.
Ese enfoque internacional le ha permitido al Estado colombiano tener aliados fuertes, suscribir convenios, generar labores de inteligencia y de actuación policial y desplegar operaciones que permiten o ayudan a mantener esa idea de la ciberseguridad en Colombia: la capacidad del Estado para minimizar los niveles del riesgo.