El pasado domingo se instaló en Cartagena un taller sobre “ciberterrorismo”, a instancias del Ministerio del Interior y de la Oficina de Naciones Unidas contra la Droga y el Delito. El evento pasó prácticamente desapercibido, a excepción de unas escuetas en las que se resaltó la intención del Ejecutivo de penalizar dicha actividad. Para ser más precisos, el Ministro Vargas Lleras destacó el con la regulación de “las Tecnologías de Información y Comunicaciones, para impedir que el terrorismo ponga en peligro las Instituciones, la vida y la seguridad de los colombianos”.
 
Se trata de un tema oportuno, sin duda, pero ajeno al debate público. Valga entonces dedicarle un par de líneas a su discusión, comenzando por algunos conceptos básicos. Como en tantas otras facetas del “terrorismo”, persiste un amplio respecto de qué exactamente constituye una acto de “ciberterrorismo”. Para los efectos de esta entrada, podemos definirlo como una modalidad de terrorismo que depende del uso de tecnologías de información para fines operativos u organizativos. Bajo esta óptica, tanto del uso de celulares para detonar bombas de manera remota como el envío de órdenes a través de correo electrónico por parte del Mono Jojoy cabrían bajo la definición de “ciberterrorismo”.
 
En el caso colombiano, la penalización de dicha actividad podría tener dos desarrollos básicos. En primera instancia, se podría declarar ilegal el empleo de TICs para transmisión, ejecución o difusión de actos terroristas, tema que probablemente no influya en el modus operandi de los grupos armados ilegales, pero que sí podría alimentar los procesos judiciales en su contra. En segunda instancia, la penalización del ciberterrorismo podría derivar en nuevas obligaciones por parte de los proveedores de servicios de información y comunicaciones. Los operadores celulares podrían instalar nuevos mecanismos de monitoreo de llamadas, y los proveedores de internet tendrían que vigilar más de cerca la información que transita por sus redes, .
 
En aras de alimentar el debate sobre la norma, bien haría Colombia al tener en cuenta discusiones similares que se vienen dando en el escenario internacional. Es cada vez mayor el número de democracias cuyos líderes civiles y militares se muestran preocupados por los riesgos de seguridad nacional que conlleva el ciberterrorismo. Ello, por no hablar de casos como el de China, cuyas diferencias con Google son bien conocidas. En Estados Unidos, el subsecretario de defensa, William Lynn, advirtió hace unos días que los ataques cibernéticos serán “”.
 
El comentario de Lynn abre la puerta a una discusión más amplia, y quizás más útil como marco de referencia para el debate nacional que la estrecha visión del combate al “ciberterrorismo”. En este sentido, además del uso de TICS para la conducción de actos terroristas, el funcionario esboza una discusión sobre las vulnerabilidades del gobierno y la infraestructura crítica de dicho país a incursiones cibernéticas. El raciocinio es simple: el gobierno y la sociedad norteamericana son altamente dependientes de las TICs, de tal forma que una interrupción en el funcionamiento de sus redes pondría en peligro al país.
 
Para algunos, el concepto de un ciberataque tiene más cabida en que en una discusión seria. Sin embargo, desde mediados de los 90’s diversos analistas han venido señalando que supone la explotación de vulnerabilidades informáticas por parte de actores hostiles. Y años recientes varias de sus predicciones se han hecho realidad. En el 2007 y 2008 la Federación Rusa lanzó ataques cibernéticos contra los sistemas de comunicaciones de . China es rutinariamente acusada por Washington y otros países occidentales de tratar penetrar sus redes de comunicación militar. Más recientemente, acusó a los “servicios de inteligencia occidentales” de atacar su infraestructura nuclear con un virus informático.
 
En Colombia es poco lo que se ha hablado del tema, pero no por ello estamos exentos de riesgo. Versiones extraoficiales indican que las redes de comunicación de las FFMM presentaron “dificultades” durante las maniobras de los dos que visitaron Venezuela a finales de 2008. Más recientemente, se ha acusado a funcionarios del DAS de alterar y vender información de las bases de datos de la entidad a capos del narcotráfico. Unos años antes, acusaciones similares rondaron al Ejército. Ello, por no mencionar la susceptibilidad a interceptación de las comunicaciones de altos funcionarios.
 
No queda duda, por ende, de la vulnerabilidad de la infraestructura de información y comunicaciones del Estado frente a ataques cibernéticos y humanos. No sobraría, por lo tanto, aprovechar el debate sobre la penalización del ciberterrorismo para plantear medidas serias de protección a la información estatal. Ya se han dado algunos pasos en este sentido. En octubre del año pasado el Ministerio de Defensa divulgó una nota de investigación sobre . Más recientemente, se incluyó una sobre el tema en el marco de la Feria Internacional de Seguridad de Bogotá. Pero se trata de pasos tímidos. Se necesita mucho más. Y pronto.