Por Oscar Niss *
En pocos meses el Ministerio de Seguridad y Presidencia de la Nación, con tres actos administrativos relacionados en una zigzagueante línea que une distintos organismos del Estado, condicionarían la conducta ciudadana en el Ciberespacio. Esto con el despliegue desordenado de tecnologías de observación, vigilancia y anticipación (?).
Las tres normas giran razonablemente en torno a la creciente preocupación de muchos gobiernos por las actividades ofensivas en Internet, capaces de producir daños significativos a la sociedad, llegando incluso en ocasiones a producir efectos físicos sobre infraestructuras críticas. Sin embargo, la aplicación de políticas que minimicen los riesgos frente a esas amenazas, no tienen el mismo derrotero internacional, sobre todo en las naciones vecinas. Las tres medidas:
CIBERPATRULLAJE
La Resolución 428/2024 del MINISTERIO DE SEGURIDAD de la NACIÓN, establece pautas para la prevención y tratamiento de delitos cibernéticos por parte de las Fuerzas Policiales y de Seguridad Federales en Argentina. En ese sentido, considera pertinentemente, que la Ley Nº 26.388, de delitos informáticos, en línea con el Convenio sobre Cibercrimen del Consejo de Europa, ha incorporado al sistema penal argentino las siguientes modalidades delictivas: a) Daño informático; b) Fraude informático; d) Difusión de imágenes de abuso sexual infantil; e) Violación de Secretos y de la Privacidad; f) Delitos contra la seguridad pública e interrupción de las comunicaciones; g) Falsificación de documentos electrónicos; delitos que necesitan ser investigados.
En esa línea, el Artículo 183 del CÓDIGO PROCESAL PENAL DE NACIÓN dispone que las Fuerzas de Seguridad deberán investigar, por iniciativa propia, en virtud de denuncia o por orden de autoridad competente, de manera preventiva, a fin de impedir que los hechos cometidos sean llevados a consecuencias ulteriores. Además el Artículo 235 establece que la investigación de un hecho que revistiera carácter de delito se podrá iniciar a consecuencia de la prevención por parte de alguna de las Fuerzas de Seguridad. Y dispone que los actos investigativos deberán limitarse a sitios de internet de acceso público, especialmente en redes sociales de cualquier índole, fuentes, bases de datos públicas y abiertas, páginas de Internet, DarkWeb y espacios de relevancia de acceso público.
Entre los temas a investigar, resuelve incluir las amenazas y otras formas de intimidación o coacción. Si unimos ahora, la instrucción de realizar patrullajes preventivos, con la detección de amenazas, entramos a un terreno discrecional que permitiría a las Fuerzas de Seguridad, inspeccionar de manera constante todo tipo de información que se encuentre en la red, ni que hablar con la figura del Agente Revelador, infiltrado en redes sociales, aunque aclara que deberá contar con autorización judicial.
Y desde ahí vamos a la figura del patrullaje, entendido como un móvil policial recorriendo el territorio, que reviste cierto efecto disuasivo y otorga a priori una sensación de tranquilidad al ciudadano. Sin embargo, en el terreno del Ciberespacio, esa tranquilidad pasaría a ser inquietud, ya que el móvil policial cibernético, no se puede observar. Cabe preguntarse aquí ¿cuál sería el efecto disuasivo del patrullaje cibernético?; ninguno.
el móvil policial cibernético, no se puede observar…
Ahora bien, lo resuelto por el Ministerio de Seguridad, podría ser utilizado de diversas maneras, dependiendo de la voluntad de quien gestione. Por lo que la resolución en cuestión puede entrar en conflicto con varias normas y derechos, dependiendo de cómo se implemente. Por caso, la Ley N° 25.326 de Protección de Datos Personales establece principios para el tratamiento de datos personales, incluyendo la confidencialidad y el consentimiento.
Sin embargo, la resolución permitiría a las Fuerzas de Seguridad acceder a fuentes digitales abiertas pero también de la DarkWeb, lo que podría implicar la recopilación y tratamiento de datos personales y sensibles que allí se encuentren. Lo mismo ocurriría con el derecho consagrado en la Constitución Nacional sobre la Libertad de Expresión y los Derechos Humanos, que incluyen el derecho a la privacidad. ¿Cuándo se consideraría que una expresión constituye una potencial amenaza?
Finalizando, lo que sin duda queda claro es que se haga lo que se haga, será un patrullero invisible que puede ingresar a nuestras redes sin la menor advertencia al usuario. Si la intención es vigilar la red, habría que buscar transparencia en el patrullaje, para evitar sean violentados los derechos personales de cada usuario.
AGENCIA FEDERAL DE CIBERSEGURIDAD
La modificación del Sistema Nacional de Inteligencia a partir del Decreto 614/2024, promovió la creación de la AGENCIA FEDERAL DE CIBERSEGURIDAD (AFC) dependiente de la SECRETARÍA DE INTELIGENCIA DE ESTADO (SIDE). Dice la normativa que la AFC será el órgano con competencia sobre la Ciberdelincuencia, las Infraestructuras Críticas y objetivos de valor estratégico tecnológicos y de la Información.
Aquí comenzamos con la poca claridad que la norma arroja y los solapamientos de funciones entre organismos. En ese sentido, la competencia en derecho administrativo, supone la “…facultad que tiene un órgano público para actuar válidamente en los asuntos que la ley ha puesto en su esfera de atribuciones”. El problema está en que no queda claro qué organismo entiende en la materia. Veamos un poco qué dice el derecho administrativo sobre estas capacidades. Los términos entender, intervenir y participar se han adoptado para determinar el grado de competencia que a cada Ministerio le corresponde en la atención de los negocios de la Nación. Dichos conceptos, deben ser interpretados de la siguiente forma: a) Entender: ocuparse directamente de un asunto con responsabilidad primaria; b) Intervenir: tomar parte de un asunto, interponiendo su autoridad sin ser el responsable primario de ese asunto; c) Participar: tomar parte de un asunto determinado.
Volviendo ahora al decreto, si bien la AFC tiene competencias en la materia, no queda claro en qué grado, ni quién tiene la responsabilidad primaria constituyéndose en autoridad de aplicación en la materia ¿es el Ministerio de Seguridad o la AFC quién entiende sobre Ciberdelincuencia? Este tipo de desprolijidades, lejos de ser cuestiones teóricas y académicas, ocasionan a la postre graves inconvenientes en la gestión y en la rendición de cuentas de los funcionarios. No se entiende el por qué de estos errores normativos.
La AFC, continúa el decreto, estará facultada para: “Proveer los servicios de inteligencia a través de medios técnicos, informáticos, de señales, telecomunicaciones, espectro radioeléctrico y ciberseguridad, a través de la adquisición, intercepción, recolección, procesamiento, evaluación y análisis de toda información relevante para el Sistema de Inteligencia Nacional”. Este enorme conjunto de actividades inconexas y multidisciplinarias parecerían abarcar a mucho más que las funciones clásicas de una agencia de ciberseguridad.
En este punto es bueno dejar en claro de qué trata la Ciberinteligencia. Dependiendo del alcance de las actividades de recopilación de información, los medios empleados para llevarlos a cabo y el propósito final al que sirven, hay dos maneras de mirar o interpretar la Ciberinteligencia, a saber:
Lato Sensu: que deviene en el PARA. Lo que califica este tipo de inteligencia como Ciber es el propósito para el cual es elaborado, este es para apoyar la toma de decisiones sobre cuestiones relacionadas con las amenazas y todas sus implicancias en el Ciberespacio. En este sentido, la inteligencia PARA lo cibernético también puede incluir (o basarse en) inteligencia DESDE la cibernética. Puede extraer de cualquier disciplina de la inteligencia que le proporcione conocimiento crucial, independientemente de la fuente, método o medio empleado para elaborarlo. Como tal, la Ciberinteligencia puede resultar de la combinación de inteligencia de código abierto (OSINT), inteligencia de señal (SIGINT), Inteligencia geoespacial (GEOINT), Social Media Intelligence (SOCMINT) e Inteligencia humana (HUMINT). Desde este punto de vista, la Ciberinteligencia es menos una disciplina en sí misma que una práctica analítica basada en información / inteligencia recogida también a través de otras disciplinas y destinada a informar a los tomadores de decisiones sobre cuestiones relacionadas con las actividades en el dominio del ciberespacio.
Strito Sensu: que deviene en el DESDE. Refiere a la información producida a través del análisis de cualquier información valiosa recolectada «dentro» o «a través» del Ciberespacio. De acuerdo con esta interpretación, Ciberinteligencia puede, en principio, apoyar la toma de decisiones en cualquier dominio y no solo para contrarrestar las amenazas cibernéticas. Puede soportar una amplia variedad de misiones en el gobierno, la industria y la academia, incluida la formulación de políticas, la planificación estratégica, negociaciones internacionales, gestión de riesgos y comunicación estratégica en áreas más allá Ciberseguridad.
Por lo que, la primera de las facultades de la AFC “…Proveer los servicios de inteligencia a través de medios técnicos…”, resulta cuando menos confusa, desencajando con las funciones reconocidas a cualquier Agencia de Ciberseguridad.
En la tercera de las facultades, la AFC debe “…garantizar, conforme a la clasificación, los niveles de acceso a la información y las medidas de seguridad correspondientes, la disponibilidad de la información obtenida y facilitar su explotación por parte del Sistema de Inteligencia Nacional…”, convirtiéndose aquí en una suerte de administrador y custodio de la información obtenida no sólo por la propia agencia, sino por la de las agencias pares.
Continúan en el decreto, facultando a la AFC para desarrollar tecnología y a realizar tareas de capacitación “… junto a los organismos correspondientes, a los miembros del Sistema de Inteligencia Nacional y al Sector Público Nacional, cuando así lo requiera, en el uso y aplicación de los medios utilizados en el marco de su competencia”.
En definitiva, suena un decreto hecho a las apuradas, sin analizar ni mucho menos debatir la misión y funciones, con falta de rigor técnico y con funciones que se solapan con otros organismos como el Ministerio de Seguridad y con la Dirección Nacional de Ciberseguridad, dependiente de Jefatura de Gabinete de Ministros, que entre sus funciones tiene la de las Infraestructuras Críticas. Veamos: “Las acciones primarias que tiene la Dirección Nacional de Ciberseguridad comprenden tanto aquellas que fueron creadas para entender en los aspectos relativos a la ciberseguridad y a la protección de las infraestructuras críticas de información, así como también a la generación de capacidades de prevención, detección, defensa, respuesta y recupero ante incidentes de seguridad informática del Sector Público Nacional”.
un decreto hecho a las apuradas, sin analizar ni mucho menos debatir la misión y funciones, con falta de rigor técnico …
Si vemos las demás experiencias en la región, podemos observar el caso de Chile, donde el proyecto de ley que contenía la creación de la Agencia de Ciberseguridad[1], fue presentado a finales del segundo mandato del expresidente Sebastián Piñera (2018-2022) y recibió el apoyo transversal en ambas Cámaras y fue aprobado en la gestión del actual mandatario Gabriel Boric (2022). Un proyecto sin duda debatido y consensuado. ¿Y cuáles son las funciones de esa agencia? Proteger la infraestructura crítica del Estado y el sector privado; desarrollar capacidades nacionales en ciberseguridad; coordinar la respuesta a incidentes cibernéticos a nivel nacional; implementar la política nacional de ciberseguridad; realizar auditorías y evaluaciones de riesgo cibernético; fomentar la cooperación internacional en ciberseguridad. Funciones típicas de las agencias, pero nada se menciona de inteligencia Lato Sensu.
El caso de Colombia, presenta características similares a la anterior. La Agencia Nacional de Seguridad Digital y Asuntos Espaciales sería un organismo de carácter técnico, especializado, que “…tendrá como objeto planificar, articular y gestionar los riesgos de seguridad digital en Colombia, con el objetivo de prevenir amenazas internas o externas contra el ecosistema. También trabajará por fortalecer la confianza y seguridad de todas las partes interesadas en el ámbito digital, y establecer la gobernanza e institucionalidad de una política Espacial”[2]. De nuevo, presentación como proyecto de Ley y ocupándose de lo que las demás agencias de Ciberseguridad.
La Agencia Argentina, nace así con dudosas funciones, con presupuesto y fondos reservados y ubicada estructuralmente en el área de Inteligencia, lo que no pocos profesionales ponen en cuestión.
UNIDAD DE INTELIGENCIA ARTIFICIAL APLICADA A LA SEGURIDAD (UIAAS)
El Ministerio de Seguridad, a través de la resolución 710/2024, vuelve a la carga con más acciones de vigilancia en el Ciberespacio. Ahora conformando una unidad especial cual serie de Netflix. Cabe aclarar que este acto administrativo es posterior a la creación de la AGENCIA FEDERAL DE CIBERSEGURIDAD. Dicho esto cabría preguntarse ¿es esta unidad una respuesta a la Agencia? De mínimo habilita al Ministerio la adquisición de tecnología necesaria y quizá redundante, para las operaciones habilitadas.
Comenzando la lectura de esta norma, es muy interesante ver que en su primer considerando menciona que “…países como Estados Unidos de América, China, Reino Unido, Israel, Francia, Singapur, India, entre otros, son pioneros en la utilización de la Inteligencia Artificial en sus áreas de gobierno y Fuerzas de Seguridad”. Y que utilizan la Inteligencia Artificial en Análisis de Video y Reconocimiento Facial, Predicción de Crímenes, Ciberseguridad, Análisis de Datos, Análisis de Redes Sociales y Detección de Anomalías.
Allí, la normativa se atreve a un poco más mencionando como ejemplo a China. Repasemos como administra China el Ciberespacio. El Estado gestiona Internet mediante un sistema de control y censura altamente sofisticado, donde la identificación de usuarios es obligatoria y cada actividad en línea puede ser rastreada y monitorizada. Aunque los usuarios pueden no tener una IP fija o personal, la estricta regulación y supervisión de las direcciones IP y otros datos de registro permiten al gobierno mantener un control estrecho sobre la actividad en línea de cada individuo.
El otro ejemplo tomado por la normativa, Singapur, administra Internet a través de un enfoque de regulación y supervisión que busca equilibrar la libertad de acceso con la necesidad de mantener la seguridad y la estabilidad social. El país ha implementado un marco legal sólido para regular el contenido, y aunque el control no es tan estricto como en China, Singapur mantiene un sistema efectivo de supervisión y censura para preservar los valores y la seguridad del Estado.
Volviendo a la Argentina y la resolución del Ministerio de Seguridad, la Unidad, tiene como misión la prevención, detección, investigación y persecución del delito y sus conexiones mediante la utilización de la inteligencia artificial. Y detalla a continuación que deberá utilizar algoritmos de aprendizaje automático a fin de analizar datos históricos de crímenes y de ese modo predecir futuros delitos y ayudar a prevenirlos. Una suerte de Minority Report, la película de Ciencia Ficción dirigida por Steven Spielberg sobre la novela de Philip K. Dick, donde los crímenes son prevenidos antes de que ocurran gracias a ciertos personajes conectados a una tecnología que les permite anticipar el futuro.
deberá utilizar algoritmos de aprendizaje automático a fin de analizar datos históricos de crímenes y de ese modo predecir futuros delitos…
Siguiendo con lo instruido en la norma, la Unidad, deberá Identificar patrones inusuales en las redes informáticas y detectar amenazas Cibernéticas antes de que se produzcan ataques; procesar grandes volúmenes de datos de diversas fuentes para extraer información útil y crear perfiles de sospechosos o identificar vínculos entre diferentes casos; analizar actividades en redes sociales para detectar amenazas potenciales, identificar movimientos de grupos delictivos o prever disturbios. No queda claro a qué se considera disturbios, ni cuáles serían los métodos de vigilancia previa.
Además, por si no fuera poco, la Unidad deberá detectar transacciones financieras sospechosas. Cabe aquí preguntarse cómo podría la Unidad detectar operaciones financieras sospechosas sin avanzar sobre datos que no suelen registrarse en fuentes abiertas.
Con todo esto, la Unidad, parecería ir en sentido contrario a los “…estándares para una Internet libre, abierta e incluyente… “que promueve la ONU y que argentina adhirió en su Estrategia Nacional de Ciberseguridad. También advertir sobre la libre expresión consagrada en la Constitución Nacional, donde en su Informe Anual 2013 la Relatoría Especial para la Libertad de Expresión de la CIDH ha reconocido que los derechos humanos y, en particular, el derecho a la libertad de expresión, encuentran en Internet un instrumento único para desplegar su enorme potencial en amplios sectores de la población.
En ese sentido, por estos días se debate en diputados sobre los proyectos de ley presentados sobre Inteligencia Artificial, siete en total. Internacionalmente se ha legislado al respecto, siendo la de la UE quizá la más estricta o restrictiva, dependiendo del interés. La Unidad viene a desafiar todas esas normas, violando lo que justamente Europa denomina como prohibido, calificación social, vigilancia masiva, entre otras cuestiones. Bien lo explica Martín Becerra en su nota Regulación europea, patrullaje argentino.
El principio precautorio, ante esta nueva tecnología parecería pertinente, habida cuenta del potencial avasallamiento, de mínima, a los derechos individuales y la libertad de expresión.
CONCLUSIÓN
Actos administrativos, con algunas dudas sobre las funciones que se solapan con la de otros organismos y con una aparente falta de definición sobre quién es la autoridad de aplicación en materia de Ciberseguridad. En un mundo donde la cuestión del Ciberespacio demanda de políticas claras, precisas y que se supongan efectivas, se requieren soluciones pensadas y preferentemente con apoyo que trascienda la gestión de un gobierno, por ejemplo con una ley de Ciberseguridad como han aprobado países de la región.
Finalmente, tironeo en puerta (?), habrá que ver quién ejecuta el crédito que el BANCO INTERAMERICANO DE DESARROLLO (BID) otorgó a la Argentina por un monto de hasta DÓLARES ESTADOUNIDENSES TREINTA MILLONES (USD 30.000.000), destinado a financiar el “Programa de Ciberseguridad para Infraestructuras Críticas de Información (ICI)”[3].
* Oscar Niss es Licenciado en Administración Pública, maestrando en Derecho Internacional y fue Subsecretario de Ciberdefensa en Argentina (2019-2023)
[1] https://www.bcn.cl/leychile/navegar?idNorma=1202434
[2] https://www.mintic.gov.co/portal/inicio/Sala-de-prensa/Noticias/281222:Proyecto-del-MinTIC-para-la-creacion-de-la-Agencia-Nacional-de-Seguridad-Digital-y-Asuntos-Espaciales-pasa-el-primer-debate
[3] https://www.boletinoficial.gob.ar/detalleAviso/primera/287208/20230529