Subgrupo 2
- Moderadora: Fabiana Santellán, Agesic.
- Relatora: Sofía Lopes, ICD.
- Participaron 8 (ocho) personas de 7 (siete) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.
Ronda 1. Intercambio sobre el borrador
Parte A. Aportes generales sobre la propuesta borrador
URCDP (Institución Pública) - Flavia Baladan
Resalta la importancia de desarrollar las capacidades de la Estrategia, haciendo hincapié en la educación. Cree que las actividades deben de estar coordinadas considerando que hay competencias que aplican a más de una temática.
También destaca que se deben definir diferentes niveles estratégicos de trabajo: el nivel estratégico, el nivel práctico y el nivel operativo.
Nombrando la línea de acción iii del Objetivo 2 del Pilar “Gobernanza y Marco Normativo”, comenta que hay que revisar algunas repeticiones que se dan a lo largo de la Estrategia.
Agesic (Institución pública) - Sebastián González
Se enfoca en la educación como línea de acción transversal a cibercrimen, mediante campañas de concientización de cibercrimen.
Concuerda con la importancia de definir diferentes niveles estratégicos de trabajo. También resalta la importancia de la cooperación entre entes del Estado y otros actores.
UCU (Academia) - Sandra Silveira
Remarca la necesidad de generar una cultura en materia de ciberseguridad para las empresas, ya que la percepción del riesgo no es alta y no hay conciencia hasta después de ocurrido un ciberataque. También está de acuerdo con que se deben definir los tres niveles estratégicos de trabajo.
Opina que, si bien el marco normativo está previsto en la Estrategia, Uruguay se encuentra atrasado en el tema. Este tipo de normativa es una premisa para poder implementar cualquier Estrategia; debe haber una forma de amparar a los actores involucrados y a la Estrategia en sí misma. Resalta la necesidad de trabajar en la prevención y poner estándares mínimos como exigencia.
Agesic (Institución pública) - Nicolás Correa
Ve importante que se generen los espacios para que la educación sea transversal. La educación dará sus frutos a largo plazo, por lo que es un tema urgente para enfrentar los desafíos de ciberseguridad futuros, especialmente porque los problemas relacionados al cibercrimen aumentarán a medida que las tecnologías sigan creciendo con rapidez. Destaca la necesidad de elaborar un glosario.
Además, concuerda con la importancia de definir diferentes niveles estratégicos de trabajo.
BCU (Institución pública) - Isabel Maroñas
Percibe el tema de la cultura y la educación como transversal a toda la Estrategia, ya que sin ellas no es posible avanzar en ciberseguridad. Pone especial énfasis en sensibilizar y educar a los decisores para lograr que se destinen recursos a cuestiones de ciberseguridad.
Concuerda con que se deben definir un nivel estratégico, un nivel práctico y un nivel operativo, y añade que estos niveles deben ser a nivel nacional y a nivel internacional, considerando casos como el de Costa Rica para aprender.
MIEM (Institución pública) - María José Franco
Muestra preocupación por la falta de regulación de Internet. Entiende que la regulación total no es posible y no espera eso, pero sí busca que surjan leyes más específicas de ciberseguridad para que no se tengan que utilizar leyes generales de funcionalidad comparativa.
Comenta que la prevención no solo se da a través de la educación formal, sino que también a través de ciertos actores que ya pasaron por el sistema educativo sin recibir concientización, y ahora no acceden a los recursos ni a los conocimientos. En este contexto, la parte presupuestal cobra gran importancia para llegar a actores que no tienen el mismo acceso a mecanismos de protección y educación. Destaca las PYMES como este tipo de actores que se encuentran en mayor vulnerabilidad.
Coincide con la necesidad de que haya un glosario con definiciones de los distintos términos.
Parte B. Aportes específicos sobre el pilar a analizar en la mesa
En general, hubo un consenso de que los Objetivos y líneas de acción del pilar de cibercrimen son correctos. Algunos de los aportes específicos son los siguientes:
MIEM (Institución pública) - María José Franco
Percibe como crucial que se identifiquen correctamente los actores para cada línea de acción. Además, apoya mantener el pilar en una perspectiva general, ya que ser abarcativo en varias cuestiones específicas es contraproducente a la urgencia del tema. Las especificaciones deben de concretarse más adelante.
UCU (Academia) - Sandra Silveira
Comenta que se podrían destacar otras dimensiones dentro del enfoque de cibercrimen, como la defensa de los derechos humanos y de la soberanía.
Sin embargo, otros participantes de la mesa le responden que esto ya se encuentra integrado a la Visión y Principios rectores de la ENC, por lo que sería repetitivo.
URCDP (Institución Pública) - Flavia Baladán
Encuentra importante evaluar el impacto de las exigencias y requisitos en los diferentes actores, ya que es común pensar en base a los problemas de aquellos más grandes como los bancos, sin percibir la realidad de otros actores como las pymes, que no cuentan con las mismas capacidades.
Varias personas participantes mostraron preocupación por delitos de fraude a través de plataformas como Marketplace o Mercado Libre. Además de los altos niveles de captación, es muy difícil de detectar, no existe regulación de fraude específica, no hay protocolos determinados y no hay una cultura de denunciar este tipo de crímenes. A la vez, la denuncia a veces no se concreta porque las víctimas no quieren proporcionar los datos personales calificados como evidencia o porque no se encuentra estandarizado qué datos son relevantes como evidencia. Por este motivo, es crucial la regulación no solo en cuestiones de delitos informáticos, sino también para definir protocolos y procedimientos en el marco de lo procesal. A la vez, se resalta la necesidad de la educación financiera y de cibercrimen para prevenir.
MI (Institución pública) - Javier Jaureguiberry
Recuerda que existen muchos aspectos vinculados al cibercrimen que se deben considerar, no solo el fraude.
MIEM (Institución pública) - María José Franco
A raíz de esta preocupación por el fraude, comenta que el aumento del comercio electrónico aumenta la vulnerabilidad de las personas. Estas vulnerabilidades hay que tratarlas de forma específica a través de verticales.
Sostiene que el cibercrimen, en vez de ser un pilar, debería ser un tema transversal. Defiende que mientras que la inclusión del cibercrimen en la Estrategia es crucial, es un tema muy amplio que la Estrategia no podrá cubrir en su totalidad y tendrá necesariamente que recurrir a otras herramientas. El cibercrimen necesita de normativa, protección de datos, colaboración entre actores, educación, y muchos otros aspectos que lo vuelven un eje transversal a todos los otros pilares de la Estrategia. Además, Uruguay se encuentra en un contexto donde está evaluando su adhesión al Convenio de Budapest, que regula el cibercrimen y será una de estas herramientas que fortalecerán el funcionamiento de la Estrategia. Por lo tanto, no le encuentra sentido que sea un pilar propio, y cree que debería de encontrarse en la Estrategia de forma general y transversal; otras herramientas del marco regulatorio uruguayo deberían de encargarse de los detalles del cibercrimen que permitan abarcarlo en su totalidad.
MI (Institución pública) - Javier Jaureguiberry
Manifiesta su desacuerdo con este punto y sostiene que el cibercrimen debe ser un pilar, remarcando la importancia y la especificidad del combate contra el cibercrimen.
UCU (Academia) - Sandra Silveira
Comenta que, actualmente, Uruguay se encuentra en un contexto en el cual el marco regulatorio no está definido, por lo que marcar el cibercrimen como pilar enfatiza la urgencia del tema a nivel nacional y la necesidad de crear un marco regulatorio.
A la vez, comenta que la educación mostrará resultados a largo plazo, por lo que es razonable tener el cibercrimen como pilar hasta que otros pilares como el de Cultura y Ecosistema cobren mayor fuerza, ya que no se puede esperar que los actores actúen por su propia voluntad, sino que se requiere de exigencia con correspondiente apoyo.
URCDP (Institución Pública) - Flavia Baladán
Comparte que darle este valor al cibercrimen fomenta la colaboración y la participación de los diferentes actores.
CSIRT Chile (Institución pública) - Cristian Bravo
Cree que los elementos constitutivos para la Estrategia son el marco regulatorio, la capacitación y concientización, y la protección de los derechos, mientras que cibercrimen es un aspecto específico que cruza transversalmente todos los otros temas fundamentales. Como ya hay un pilar que aborda el marco normativo dentro de la Estrategia y la concientización también está presente de forma transversal, cuestiona el alcance del cibercrimen como pilar. Sin embargo, en consideración del estado actual de Uruguay mencionado en la Mesa, donde aún no hay un marco regulatorio, ve positiva la iniciativa de darle un nivel de pilar al cibercrimen, ya que le daría un nivel prioritario a la regulación del cibercrimen.
Agesic (Institución pública) - Sebastián González
Si bien opina que debería ser un pilar, también comenta que tiene que encontrarse transversalmente en las líneas de acción del pilar de Cultura y Ecosistema.
El debate finalizó en un consenso donde se decidió que actualmente, debido al contexto en el cual Uruguay no cuenta con un marco regulatorio que integre el cibercrimen, tiene sentido que el cibercrimen se mantenga como un pilar en la Estrategia, ya que le enfatiza la importancia y urgencia del tema, potenciando así la regulación del cibercrimen. Se espera que para ediciones futuras de la Estrategia Uruguay ya cuente con adelantos en este marco regulatorio sobre cibercrimen, por lo que el cibercrimen podría pasar a ser un eje transversal en vez de un pilar.
CSIRT Chile (Institución pública) - Cristian Bravo
Sugiere agregar la frase “con foco a la protección de los derechos de las personas” en algunas líneas de acción de cibercrimen. Lo comenta en base al caso de Chile, donde información fue hecha pública sin salvaguardar la privacidad y los derechos de las personas.
Ronda 2. Aportes estratégicos, priorización e identificación de actores para el pilar de la mesa
Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa
De manera general, se aprobaron los objetivos planteados, y se apoyó su carácter amplio para tratar los diversos temas planteados.
Se sugirió que el primer objetivo (“Desarrollo de las capacidades relativas al cibercrimen”) debería enmarcarse en una ley específica de ciberdelito en vez de ser un objetivo general dentro de la Estrategia. Esto se debe a que requiere de varias cuestiones específicas que quizá no puedan abordarse de manera total a través de la Estrategia. Sin embargo, en la Estrategia se debería de hacer referencia a la importancia de este objetivo, pero sin abordarlo.
También se propuso añadir el desarrollo y fortalecimiento del marco regulatorio como un objetivo para darle la importancia y urgencia que merece. Sin un marco regulatorio es difícil abordar el resto de los objetivos y líneas de acción.
Se comentó que debería de existir algún organismo que tenga las capacidades de ente regulador en materia de cibercrimen, ya que hay esfuerzos de múltiples actores diferentes que capaz no encuentran punto de unión para coordinar y colaborar. En base a esta idea, se propuso un nuevo objetivo: “Identificar una institución que sea un ente coordinador de los esfuerzos de ciberseguridad y fomentar su crecimiento”. De crearse este objetivo, habría que analizar la normativa, ya que actualmente Agesic es el responsable por ley, pero el tema a tratar es demasiado amplio para que Agesic pueda cumplir este rol en su totalidad.
Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa
Se hicieron aportes sobre dos líneas de acción:
Línea de acción i del Objetivo 1: Además de “investigación y gestión”, que implica ya combatir el problema del cibercrimen, deberían de también incluirse la “detección y prevención” como capacidades que deben generarse en etapas anteriores.
Respecto a la línea de acción iii del Objetivo 1, se sostuvo que las “carreras de especialización vinculadas a la temática” no es el mejor enfoque, ya que les da mucha prioridad a las carreras cuando hay otros públicos de importancia que también deben de ser capacitados, como los altos cargos y la población, que deberían de contar con la educación necesaria para poder identificar cuestiones de cibercrimen como fraude o phishing.
También se propuso agregar las estrategias de apoyo a las víctimas del cibercrimen como una línea de acción, ya que no se encuentran contempladas. El “apoyo” incluiría la orientación, prevención y apoyo posterior como asesoramiento. Esta idea fue un punto de debate, ya que otras personas participantes consideraron que el apoyo a las víctimas es más un aspecto de cultura que de cibercrimen.
También se sugirió definir una línea de acción en apoyo al fortalecimiento de una fiscalía especializada en cibercrimen, añadiéndose que si el establecimiento de una fiscalía especializada en cibercrimen se da por ley, su funcionamiento se verá facilitado y mejorado. Sin embargo, se advirtió sobre la delicadeza del tema, ya que la amplitud de los posibles ciberdelitos, que pueden ir desde extorsión por fraude hasta delitos por contenido sexual, llevan a que el abordaje y trabajo de cada delito sea muy diferente; por lo tanto, habría que ver si el rol recaería totalmente en un único actor como la fiscalía especializada o en diferentes canales.
Se destacó la importancia de la creación del laboratorio forense como ente unificador.
Además de las propuestas mencionadas directamente vinculadas a ciertos objetivos y líneas de acción, surgieron las siguientes ideas para integrar y considerar en Cibercrimen.
Respecto a la regulación de cibercrimen, se comentó que existen distintas categorizaciones. Por ejemplo, la clasificación de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) divide a los ciberdelitos en tres tipos:
Tradicionales: Delitos que se cometían antes de Internet y que ahora también se cometen a través de Internet, pero la escala en la que se cometen no ha crecido debido al nuevo canal. El fraude es un ejemplo de esto.
Transicionales: Delitos que se cometían antes de Internet y que ahora también se cometen a través de Internet, pero la escala en la que se cometen sí ha crecido debido al nuevo canal. Los delitos de contenido sexual son ejemplo de esto.
Digitales: Delitos que no existían antes de Internet, por lo que son digitales propiamente dicho. El phishing es un ejemplo de esto.
Se comentó que se debe comenzar a identificar todo lo que pueda ser definido como “ciberdelito” y luego jerarquizarlo en base al impacto y al riesgo. Por ejemplo, si es un riesgo al país, riesgo a empresa o riesgo a la persona.
También se destacó la colaboración y coordinación como aspectos fundamentales debido a la cantidad de actores involucrados.
Se recomendó hacer más explícito el enfoque de apuntar a la capacidad de resiliencia frente al cibercrimen.
Se hizo hincapié en establecer garantías dentro de la regulación procesal para que haya un equilibrio.
Además, se trajo a la mesa la necesidad de encontrar el debido incentivo para el sector privado. En base a esto, se comentó sobre la certificación de la ciberseguridad en EE.UU. como un estándar que funciona como beneficio, y se mencionó ofrecer exoneraciones impositivas como beneficio.
Finalmente, todos destacaron la importancia de llevar los temas de ciberseguridad al Poder Legislativo con las visiones de todos los actores que han participado de estas Mesas de Diálogo.
Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados
No se llegó a trabajar este punto.