Pagar los impuestos u operar una cuenta bancaria a través de Internet significa asumir un riesgo importante. Argentina no tiene un marco legal que penalice delitos informáticos y, salvo alguna honrosa excepción, ningún sistema de seguridad público ni privado cuenta con el respaldo de una certificación internacional. Así lo explica ante Cash Martín Trabucco, titular de la Asociación de Seguridad de la Información de la República Argentina, una ONG habilitada para dar aquella certificación y que trabaja sobre frecuentes y disimulados casos de sabotaje a redes empresarias.

¿La seguridad es un problema tecnológico?

–La seguridad de la información no es un problema tecnológico. También importan las características de la organización, la concientización de los usuarios en el uso de los sistemas y el cuadro legal apropiado. En Argentina directamente no hay una ley que defina y castigue los delitos informáticos y por eso es difícil distinguir lo legal de lo ilegal.

¿Significa que si se viola la intranet de una empresa o el mail de una persona no hay posibilidad de penar a quien lo haga?

–Primero es harto complicado identificar quién fue. Nosotros trabajamos en inteligencia informática, investigando los delitos corporativos como fraude, chantaje o espionaje y nuestra principal fortaleza es el conocimiento técnico. Algo de lo que no disponen las fuerzas de seguridad.

¿Y ustedes pueden trabajar para las fuerzas de seguridad?

–Podemos prestar nuestro servicio como empresa de seguridad al sector privado, pero no al sector público, salvo en un caso. El año pasado hicimos una presentación en la Cámara de Apelaciones en lo Correccional de la Capital Federal y propusimos que la inteligencia informática sea una nueva disciplina en el peritaje en el fuero penal. Desde entonces, soy perito de esa Cámara. Aquí sí podemos actuar por pedido del fiscal en una investigación oficial, porque nos integramos al Estado.

¿Es seguro operar a través de Internet para practicar movimientos en la cuenta bancaria o hacer pagos?

–Para nada. El home banking no reúne las condiciones de seguridad y mucho menos la iniciativa del Gobierno para el pago de impuestos por vía electrónica, donde lo que se pone en riesgo son los datos personales de los ciudadanos. El trabajo de los bancos se resuelve relativamente bien y su nivel de seguridad es mayor que el del Estado. Del mismo modo que es más seguro operar con un banco internacional que en otro nacional, ya que los primeros invierten más en seguridad, generalmente ajustados a la ISO 27001. El problema es que los sistemas no se certifican y esto hace que cada entidad interprete las reglas de seguridad según su criterio.

¿Quiere decir que los sistemas son vulnerables?

–Los sistemas son muy vulnerables.

...Y por una doble vía: son técnicamente inseguros y nada garantiza que un delito cometido con estos recursos sea penado.

–Exactamente. Las empresas invierten muy poco en la seguridad de su información. El caso del home banking es crítico y si un delito se investiga y se encuentra al culpable es difícil actuar por el vacío legal.

¿Hay casos de delitos que no pudieron ser penalizados?

–En el 2002 se desfaseó el web site de la Corte Suprema de Justicia de la Nación. Se identificó a los culpables pero el juez dijo que no se podía generar un fallo condenatorio porque el Código Penal no contemplaba como objeto de delitos cosas intangibles como un soft informático.

¿Esa vulnerabilidad se extiende a los pagos telefónicos?

–Exactamente. De la misma forma que son intervenidas las líneas telefónicas, todos los sistemas de información lo son. Todo lo que uno teclea en su máquina puede estar siendo reproducido en otra.

¿Por mecanismos remotos o para eso es necesario tener acceso a la máquina espiada?

–Por ambas vías. Hay correos espías que a veces se difunden enmascarados con el membrete de una entidad bancaria e inducen al cliente a proporcionar su clave. Eso hace que, finalmente, la entidad financiera pueda después eludir toda responsabilidad: si el usuario se autenticó como tal, al banco no se le puede imputar nada.

¿Hay alguna empresa que exceptúe la regla y opere de un modo seguro en la Argentina?

–Telefónica Data está certificada y se ajusta a las normas internacionales. Es la única.

¿Esta cuestión facilita el espionaje industrial, por ejemplo?

–El espionaje industrial es permanente. Una vez vulnerada la seguridad de un sistema, la información se puede aprovechar para sí, como el caso de un competidor que espía a otro, o para venderla. Argentina es el terreno propicio para el tráfico de información, porque no hay un marco legal y porque los sistemas jurídicos son muy inseguros. Bancos y grandes laboratorios fueron víctimas de sabotajes, pero invierten más en el silencio que en la seguridad y por eso no se conocen estos episodios. No es buena prensa para ellos reconocer que sus sistemas fueron vulnerados por algún grupo.