Hacia la Matrix bonaerense

El Gobierno bonaerense busca entrar de lleno al S. XXI, sin embargo no es todo color de rosas. Riesgos y ventajas de alojar los datos del Estado provincial y sus municipios en una nube digital.

De la mano de la Subsecretaría de Gobierno Digitalla gestión de Axel Kicillof busca dar un salto hacia la modernización del Estado y el manejo de sus datos. En este contexto, como informó Sandra D´Agostino (titular de Gobierno Digital) en conferencia de prensa, la provincia de Buenos Aires será la primera en el país en tener su propia “nube digital”, un sistema que permitirá centralizar y agilizar la operación informática de todos los organismos del Estado bonaerense y también de los municipios.

No obstante, el mundo del ciberespacio tiene sus claros y oscuros. Este mismo año, el 17 de abril, se publicó información personal de ciudadanos y ciudadanas argentinas, almacenada en el Registro Nacional de las Personas (Renaper), en un foro de compra y venta de datos personales. La información contenía documentos de identidad, fotos y huellas dactilares. Este hecho, uno de los tantos de carácter similar en el último tiempo, enciende las alarmas respecto a los peligros que supone el manejo de información sensible.

Como informó la funcionaria, el datacenter bonaerense»cuenta con capacidad para dar servicio a todos los organismos provinciales y municipales, y marca un hito en la transformación digital y la soberanía tecnológica bonaerense». Este espacio físico, donde se encuentra la estructura necesaria para el almacenamiento de datos, se desarrolla a partir de una inversión de 5 millones de dólares con financiamiento del Banco Interamericano de Desarrollo (BID).

Hacia la Matrix bonaerense

El proyecto, que comenzó en 2020, inicialmente fue pensado para uso interno de la Provincia y sus organismos, pero también podrá ser en un futuro un repositorio de servicios para municipios. Según se informó, cinco municipios ya se anotaron para empezar a utilizar la nube; La Plata, Berisso, Necochea, General Alvarado y Escobar, pero habría alrededor de 30 en lista de espera.

Respecto a la ubicación, estará instalado en el predio que la Comisión de Investigaciones Científicas (CIC) tiene en la localidad de Gonnet. El edificio ya cuenta con 42 racks (estanterías especiales) donde se ubicarán los servidores que ya adquirió la Provincia. A su vez, funcionará con baterías de litio y tendrá paneles solares, además de implicar un ahorro de alojamiento de casi 3 millones de dólares para el Estado provincial.

Cabe señalar que un data center es un espacio donde se concentra la infraestructura (elementos de red, almacenamiento y sistemas de computación) que se necesitan para procesar, organizar, asegurar y conservar la información de una organización, en este caso de un Estado.

Sin embargo, existen una serie de incógnitas que aun no fueron respondidas por el ente provincial sobre este proyecto:

¿Qué medidas de seguridad tendrá? ¿Qué sistemas de defensa se van a usar? ¿Los datos van a ser transparentes o es una caja negra? ¿Se va a designar un Delegado de Protección de Datos Personales (DPO), como lo establece la Resolución 40/2018 de la Agencia de Acceso a la Información Pública (AAIP)? 

Como señalaron a La Tecla los especialistas, la poca información brindada al público podría deberse a un hermetismo para prevenir posibles ataques cibernéticos. Si bien hubo intentos de comunicación por parte de este medio, no hubo respuesta desde la cartera.

Sandra D´Agostino en el 49 Simposio de Informática en el Estado, fundamentó: “La Administración Pública Provincial no es ajena a los cambios tecnológicos, pero los mismos deben ser razonables en cuanto a la inversión, tener una mirada respecto al impacto ambiental y asegurar la protección y confidencialidad de los datos de la ciudadanía”.

Hacia la Matrix bonaerense
Sandra D´Agostino, subsecretaria de Gobierno Digital.

En la misma línea, agregó: “La solución adecuada para la APB es contar con una Nube Privada capaz de brindar servicios a los organismos públicos y a la ciudadanía en general”.

Resta saber si este futuro centro de datos se regirá de acuerdo a leyes nacionales y estándares internacionales que deben cumplir. No obstante, los especialistas observan con escepticismo un espacio de alojamiento que puede ceder como sucedió con el, ya mencionado, RENAPER, el Registro del Automotor, el Colegio de Abogados, el Vacunate del Ministerio de Salud o el municipio de Morón.

“Toda nube de datos, que no esté encriptada, puede ser robada”

Hacia la Matrix bonaerense
Adrián Rodríguez Díaz, Abogado especialista en derecho penal, cibercrimen y criminalidad económica.

En diálogo con La Tecla, el abogado especialista en cibercrimen Adrián Rodríguez Díaz destacó las ventajas de poseer un data center y, al mismo tiempo, advirtió sobre las consideraciones que debería tener el Estado provincial al momento de procesar datos.

¿Hay riesgos de ataques informáticos? 

-Sí, por dos motivos. Primero porque en el ámbito de los datos vos tenés que empezar a pensar en un dispositivo que tenga un sistema de protección en tiempo real. Entonces, a partir de ahí tiene que ver todo con una centralidad que va a tener la estructura administrativa, que no sabemos todavía qué tipo de protecciones le van a dar.

El robo de información es algo que es imposible prevenir al 100%. Va desde un empleado infiel que con ingeniería social colabora con un equipo de hackers de sombrero negro, es decir, los que se dedican a robar datos y vender datos, hasta un backdoor o un error en el sistema que se pueda utilizar para ingresar al mismo de forma registrada pero anónima o con usuarios falsos. Puede suceder, es un prueba y error.

Si bien es cierto que les va a hacer ahorrar un montón de plata, lo importante es contar con los sistemas de defensa lo suficientemente efectivos, en el ámbito de la seguridad es bastante peligroso. Ese es uno de los aspectos de las vulnerabilidades.

Después está el tema de la transparencia de los datos, hay que ver si cumplen con el convenio de Budapest, que tiene que ver con la disponibilidad de los datos para los usuarios finales.

Y finalmente, bueno, es un riesgo la privatización de la información pública a través de la manipulación de los datos. Con un gobierno federal de signo opositor, es posible que haya información duplicada o no cotejada en el futuro. En el mismo Ciudadano, por ejemplo. Entonces, está inscrito dentro de este capítulo una suerte de balcanización que estamos sufriendo a nivel nacional por temas políticos.

¿Tiene alguna ventaja poseer un datacenter?

Es una medida acertada tener su propio datacenter. Le va a dar centralidad y celeridad a la gestión administrativa del Gobierno en muchos términos. Entendemos que esto viene con el BID en la espalda, con un préstamo de mucho dinero, y a partir de ahí se puede esperar que este bien aplicado.

Lo complejo es que como va a ser una nube extensa hay que ver si cumplen con el paradigma de seguridad y transparencia o si se convierte en una red opaca, donde no sabemos lo que hay adentro. 

Por ejemplo, Brasil tiene una experiencia similar en varios estados ya hace varios años. La corte de San Pablo, que es una de las cuatro ciudades más grandes del mundo, ya tiene un datacenter propio hace muchos años y ha mejorado increíblemente la gestión. Pero eso no quiere decir que vaya a pasar lo mismo. Es decir, en la medida en que se respeten los protocolos en materia de ciberseguridad y se respeten las leyes de protección de datos personales, seguramente, sí.

¿Puede suceder algo parecido a lo que pasó con el RENAPER? 

-Depende de la encriptación, si los datos están o no encriptados, del contenedor o sistema de almacenamiento digital y la codificación que le den. Lo de RENAPER fue más una cuestión de ingeniería social, que vendría a ser algo así como personas que le dieron la información a quien la pudo aprovechar.

Toda nube de datos que contenga información, que no esté fertilizada y fragmentada de una manera tal que se pueda considerar encriptada, es susceptible de ser robada. Esa información no la recuperarás más. La información, una vez que está liberada en la red, es como una pelotita de ping-pong, rebota por todos lados. Se viraliza, se reproduce, y tiene un costo commodity cuando es fresca.

Después surgen muchas preguntas: ¿Qué pasa si los servidores vienen ya pinchados? ¿Quién es el dueño de los datos que juntan? ¿Cuántos años pueden guardar esos datos? ¿Y para qué los pueden usar? Son preguntas que todavía ni siquiera las empezaron a contestar. O sea, la Provincia todavía está muy atrasada. Y quizás ahora, con esta nueva implementación, se ponga a tiro.

Cabe destacar que, a su vez, hay una balcanización de la información en función de los colores políticos en todo momento.

¿Qué consideras de las empresas con las que se trabaja el datacenter?

-Ambas, Red Hat y Obirthson líderes a nivel mundial en materia de sistemas operativos de grandes redes. La primera opera con una seguridad y una falta de opacidad total porque son sistemas de código abierto que te permiten personalizar mucho el tipo de sistema operativo que tenés. Eso puede ser bueno a nivel seguridad, porque te permite una seguridad escalable. Y la otra empresa también es, digamos, de punta en términos de aplicaciones de datos en términos de infraestructura. Y es considerado (Red Hat) probablemente uno de los mejores, si no el mejor en materia de estabilidad. Linux es uno de sus productos más conocidos, compite con Windows.

En esto la Provincia ha tomado una decisión balcánica. Porque Microsoft tiene la herramienta Azure, que es básicamente una nube con inteligencia artificial, diseñada para darle servicio a los datacenters.

Sin embargo ellos se van con Red Hat, que es la competencia. Entonces, ahí te das cuenta que están queriendo generar algo así como una suerte de guerra fría. Se compró la competencia asegurándose que la va a poder actualizar y que no va a poder meter los ganchos ningún tipo amigo del Gobierno nacional.

«El foco hay que ponerlo sobre las otras empresas que participan»

En tanto, el especialista en seguridad infórmatica Julio Lopez advirtió sobre los riesgos de poseer un datacenter y la composición del mismo.

Hacia la Matrix bonaerense
Julio Lopez, especialista en seguridad infórmatica y tech columnist.

¿Puede haber una filtración de datos?

-Tienen que fallar un montón de cosas para que suceda, no es que falla una cerradura. O sea, falla una mala arquitectura, mal pensada y con malos proveedores. Es un stock de cosas las que sostienen la seguridad de algo, por eso se necesitan de múltiples factores.

¿Qué riesgos existen?

-Red Hat es una empresa hiper conocida, pero de nuevo, vos tenés que ver qué empresa cumple qué rol. La otra empresa nunca la escuché en mi vida. Entonces ahí es donde hay que leer bien exactamente qué función va a tener cada uno para entender si está habilitado.

Pero yo digo, Red Hat es un sistema operativo, una distribuidora de Linux, entonces Red Hat es la parte de soporte corporativo de una distribución, es como decir Microsoft Windows, está bien, pero ¿quién lo implementa? ¿Quién lo securiza? ¿Quién se hace cargo del 7×24? Todas esas son las cosas que importan.

O sea, yo puedo hoy en este momento ir a comprar Red Hat con mi tarjeta de crédito y se acabó. Eso no significa que esté Red Hat metido en la operación. Simplemente compré eso. El foco hay que ponerlo sobre las otras empresas que participan. Ahí es donde hay que observar.

LA TECLA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *