El Convenio de Budapest llega al Perú

Una breve historia de la ciberseguridad importada

Es necesario mirar con ojo crítico la forma en que la adhesión y acondicionamiento al Convenio de Budapest modifica las estructuras que juegan algún rol dentro de la ciberseguridad en Perú. Este proceso debe ser construido sobre evidencia empírica, con participación amplia de diferentes sectores y no simplemente emular modelos que se superpongan a la realidad nacional.

El día 28 de setiembre, el Poder Ejecutivo de Perú remitió al Congreso de la República los documentos relacionados al Convenio de Budapest con el fin de que sean revisados y puestos en agenda para su ratificación. Esta adhesión, que viene gestándose desde hace varios años, concluye el largo camino que recorre el país en materia de seguridad digital e impulsa otra agenda pendiente: la creación de un Plan Nacional de Ciberseguridad. Pero, ¿qué es este convenio y por qué es importante para nuestro país?

Antecedentes

A inicios de los años 90, diferentes voces en múltiples espacios de discusión internacional comenzaron a reclamar atención sobre la necesidad de encarar conjuntamente los problemas derivados del uso de las tecnologías de información y comunicación. Sobre todo en los países desarrollados, en donde estas tecnologías habían alcanzado un grado mayor de avance y penetración, el abuso por parte de los usuarios producía efectos negativos cada vez más relevantes para la economía y la sociedad.

El ciberespacio, término ambiguo y escurridizo, era un campo nuevo en donde muchas nociones perdían el sentido cuando se trataba de prevenir conductas indeseadas, identificar delitos y perseguirlos. Especialmente las ideas de jurisdicción (quién juzga) y competencia (dónde se juzga) eran insuficientes para combatir, por ejemplo, el fraude bancario perpetrado a través de medios electrónicos. Lo mismo con aquellas conductas sin consecuencias directas en el mundo físico, como la intrusión en servidores informáticos o el hurto de bases de datos.

Los primeros esfuerzos por crear cuerpos legales y mecanismos de respuesta frente a estas amenazas fueron locales. Un ejemplo es la temprana Computer Fraud and Abuse Act (CFAA) aprobada en Estados Unidos en 1986. Sin embargo, por su propia naturaleza, la efectividad de estas medidas estaba limitada al ámbito doméstico y perdieron vigencia cuando el crimen transfronterizo se incrementó, como consecuencia de la masificación de internet y la sofisticación de la tecnología computacional.

En ese contexto y ante la necesidad de crear un marco común de trabajo, el Consejo de Europa tomó la iniciativa en 1995 y creó un comité de expertos en delitos informáticos para producir recomendaciones sobre este tema, lo que llevó eventualmente a la redacción y aprobación del Convenio sobre Ciberdelincuencia, mejor conocido como Convenio de Budapest. Este tratado, consensuado durante más de cinco años, fue aprobado en 2001 y reflejaba no solo las preocupaciones del momento, sino también dos aspiraciones europeas muy concretas: la necesidad de estandarizar los sistemas penales de justicia y, más importante aún, la urgencia de crear mecanismos de cooperación internacional contra la cibercriminalidad.

Pese a que existieron otros esfuerzos paralelos, el éxito del Convenio de Budapest lo ha convertido en una suerte de paradigma en el ámbito de la ciberseguridad. Quizás parte de ese éxito se debe a que este instrumento es fiel reflejo del contexto donde surgió y fue implementado: dentro de un bloque grande de países que compartían una visión similar del desarrollo en términos económicos y culturales. Por ello ha sido desde el inicio un punto de referencia para otros países, razón por la cual varios estados no miembros de la Unión Europea lo han suscrito, como Panamá y Chile.

Pero el Convenio también ha servido para reforzar la idea de que hace falta más control sobre el ciberespacio. Esto ha generado que, junto con las normas penales, se aglutinen también otros intereses y prioridades adyacentes, como la ciberdefensa, la protección de la infraestructura crítica y la seguridad de la información estatal. Todas estas, que comparten entre sí espacios comunes, han terminado casi siempre engarzadas en directrices, estrategias y planes de ciberseguridad de alcance institucional o nacional.

Latinoamérica y el Perú

Este proceso, que en el norte global ha durado décadas, ha sido bastante más corto en otras regiones como América Latina, en donde, luego de la implementación (tardía) de leyes de delitos informáticos o la suscripción del Convenio de Budapest, se ha empezado inmediatamente a trabajar en Planes Nacionales de Ciberseguridad. Muchas veces esto responde no solo a las necesidades apremiantes que produce el crimen globalizado, sino también al hecho de que en muchos casos la organización institucional que soporta el plan se ha tenido que replantear porque la anterior no estaba centralizada, era obsoleta o inexistente.

El escenario latinoamericano en materia de ciberseguridad es particular también porque, pese a que la mayoría de los países poseen una visión económica y cultural más o menos similar, no ha tenido tiempo para generar sus propios procesos ni llegar a consensos a través de organismos regionales, como la Organización de Estados Americanos (OEA). Esto hace que surjan muchas interrogantes con respecto a la forma en que estos procesos se están encarando y en qué medida otros factores como la idiosincrasia, el pasado común y las necesidades particulares están jugando un rol que ayude a diferenciarlos del modelo europeo en lo necesario para lograr un sistema eficiente y verdaderamente útil.

En el caso específico del Perú, decíamos al inicio que el proceso de ratificación del Convenio de Budapest está en su última etapa, a la que se ha llegado luego de muchos años de contar con normas contra los delitos informáticos. Sin embargo, actualmente el escenario no es del todo claro pues durante todo este tiempo no han existido análisis de situación o líneas de base que permitan conocer cuál es el estado de la ciberseguridad en el país y las necesidades locales con respecto a los beneficios que ofrece el Convenio.

Si bien existen reportes internacionales y de sectores muy específicos, e incluso propuestas para crear planes nacionales en torno a la ciberseguridad, ninguna ha profundizado en la problemática peruana. No se conoce lo básico, por ejemplo, qué tipo de delito informático es el más común en el país y quiénes son los principales afectados. Tampoco se sabe cuáles son las urgencias con respecto a la cooperación internacional, teniendo en cuenta que el Perú ya participa de varios foros internacionales relacionados al ciberespacio, a través del PeCERT y la Policía Nacional (Interpol). Menos aún se sabe sobre las amenazas para la Defensa Nacional, si es que existen en realidad más allá de las proyecciones de partes interesadas como vendedores de antivirus o firmas de consultoría en seguridad informática.

Por todo ello, es necesario mirar con ojo crítico la forma en que la adhesión y acondicionamiento al Convenio de Budapest modifica las estructuras que juegan algún rol dentro de la ciberseguridad en nuestro país. En general, es más lo que se debe hacer que lo hay que modificar, pero este proceso debe ser construido sobre evidencia empírica, con participación amplia de diferentes sectores y no simplemente emular modelos que se superpongan a la realidad nacional. Solo así será posible aprovechar este instrumento internacional para mejorar nuestra situación, algo que ciertamente va a tomar mucho más tiempo después que el Convenio se ratifique.

¿Estamos preparados para acometer esa tarea? El tiempo y las acciones de quienes impulsan esta y otras iniciativas lo dirán.

***

Esta columna es la primera de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además una serie de investigaciones desarrolladas por las mismas organizaciones. En el caso de Hiperderecho, la publicación se titula “De Budapest al Perú: análisis sobre el proceso de implementación del convenio de ciberdelincuencia. Impacto en el corto, mediano y largo plazo” y puede ser desacargada aquí.

Hiperderecho es una organización civil peruana sin fines de lucro, dedicada a investigar, facilitar el entendimiento público y promover el respeto de los derechos y libertades en entornos digitales.