Vulnerables los datos del ciudadano en manos del gobierno
Senado investiga contratos de tecnología que incumplen leyes para proteger data del ciudadano.
El presidente del Senado, José Luis Dalmau, presentó la Resolución del Senado 926 con el propósito de ordenar a la Comisión de Jurídico y Desarrollo Económico del Senado de Puerto Rico, realizar una investigación que permita corroborar que los datos de los ciudadanos están debidamente custodiados y protegidos por las entidades privadas que han sido contratadas por el gobierno.
La resolución ordena que, como aspecto principal de la investigación, se debe evaluar el cumplimiento con la normativa que requieren que “toda transacción electrónica o formulario disponible en línea deben estar accesible a través del portal de gobierno ‘pr.gov’ y que prohíben publicar en portales externos transacciones que no hayan sido incluidas previamente en el portal del gobierno”.
Como fundamento de la resolución, el senador Dalmau señala que “la vulnerabilidad de estos sistemas externos al gobierno y la falta de supervisión de estos supondría un riesgo en cuanto a la información del ciudadano, así como la data almacenada en las agencias, situación que incumpliría con la ley y la política pública vigente”. La resolución no especifica las compañías que pudieran estar violando la ley, ni los oficiales a cargo de tecnología que serían investigados, hace referencia a que el Departamento de Salud, el Departamento de Asuntos del Consumidor y el Negociado de Transporte, tienen en la actualidad o han mantenido en el pasado, contratos de este tipo.
Por años, el gobierno ha venido aprobando leyes, órdenes ejecutivas, reglamentos internos y protocolos para proteger tanto al ciudadano como al propio gobierno de los recurrentes ataques cibernéticos. Las políticas de ciberseguridad están diseñadas para proteger los derechos de los ciudadanos en el entorno digital, y para fomentar la confianza de los ciudadanos en las tecnologías digitales, de modo que se promueva el acceso a dichas soluciones. El Senado busca asegurar que se está cumpliendo específicamente con la Ley 75-2019, la Orden Ejecutiva 2021-007, la Orden Administrativa 2021-001, la Orden Administrativa ATI-006, la Orden Administrativa 2023-001 y de la Carta Circular 2021-004 que regulan estas prácticas.
Entes privados en control de los datos del ciudadano
Las largas filas en las oficinas de gobierno, y los lentos procesos de renovación de permisos provocaron la búsqueda de modelos digitales de obtención de certificaciones del gobierno, y renovación de licencias y permisos. La solución fue privatizar estos sistemas mediante modelos que facilitaron al gobierno agilizar el manejo de formularios, y mejorar los servicios al ciudadano. La consecuencia ha sido que, por años, estas entidades privadas han colectado data confidencial de los ciudadanos, y accedido a información privilegiada del gobierno para cumplir con los propósitos de sus contratos. El senador Dalmau Santiago entiende que este tipo de contratación se está otorgando al margen de la ley.
La resolución describe como algunas de estas entidades intentan brindar confianza al usuario al mencionar que algunas de estas plataformas realizan “cuestionables representaciones al utilizar como titular en la página que es el ‘Sistema Oficial del Gobierno de Puerto Rico’ e incluyen un despliegue de los logos y emblemas gubernamentales cuando en realidad es un negocio privado”.
Las disposiciones legales vigentes requieren entre otras cosas, que toda transacción electrónica o formulario disponible en línea deben estar accesible solo a través del portal de gobierno ‘pr.gov” y se prohíbe publicar en portales externos transacciones de ciudadanos que no hayan sido incluidas previamente en el portal oficial del gobierno. No obstante, este requerimiento, Dalmau entiende que el gobierno ha continuado contrando entes privados que no operan a través del portal ‘pr.gov’ y que el ciudadano pudiera acceder entendiendo que cumplen con las leyes y los reglamento.
La resolución de investigación establece que “uno de los aspectos más preocupantes de estas contrataciones es la seguridad de la información del ciudadano”. La resolución concluye que existen “plataformas privadas que manejan información privilegiada de los ciudadanos y que han demostrado ser vulnerables a criminales que logran acceso a las mismas con el propósito de adquirir información confidencial del ciudadano, extorsionar al gobierno o sencillamente obstaculizar el servicio a la ciudadanía”.
Real la vulnerabilidad de los datos del ciudadano
Por años Noticel ha reportado la vulnerabilidad de los datos que custodia el gobierno. En el 2011, Héctor Xavier 'Sabu' Monsegur, fue arrestado por el FBI y se convirtió en informante para procesar a otros 'hackers' y revelar al menos 31 ataques a páginas y servidores del gobierno. En 2016, el sistema de Colecturía Virtual de Hacienda fue objeto de un intento de ataque que no resultó en perdida o divulgación de información de los contribuyentes. En el 2018, Luis Arrocho, quien fungía como Principal Oficial de Informática del gobierno, dijo en una vista pública cameral que la Autoridad de Energía Eléctrica, el Banco Gubernamental de Fomento, la Junta de Calidad Ambiental y el Departamento de Hacienda habían sufrido ciberataques. De hecho, el Departamento de Hacienda informó una pérdida de 20 millones de dólares por estos eventos. En al año 2019, la Administración de Servicios Generales informaron también haber sido víctima de ataques, o intentos de ataque, cibernéticos en dos ocasiones.
En abril del 2023, la Oficina de Innovación y Servicios de Tecnología (PRITS), reportó que en la isla se habían detectado 340,915,578 intentos de ataques cibernéticos a pesar de una inversión millonaria para aumentar la seguridad cibernética. Como parte del esfuerzo para identificar estos ataques y mitigar sus consecuencias, el gobierno mantiene una estricta política de ciberseguridad a la que las agencias deben adherirse y que, según la resolución, se está violando. La resolución concluye que en la actualidad “agencias gubernamentales mantienen contratación con entidades cuyas plataformas no residen en el gobierno, entes privados que manejan procesos de seguridad cibernética y son contratadas sin cumplir necesariamente con lo dispuesto en la Ley 75-2019”.
Funcionarios incumplen órdenes del Gobernador
El Senado busca investigar también a aquellos funcionarios que hayan incumplido con las leyes y órdenes ejecutivas vigentes. La resolución instruye a la Comisión a que “las actuaciones de los oficiales de la rama ejecutiva a cargo del desarrollo de plataformas seguras y confiables, que han aprobado y permitido la contratación de empresas que custodian datos personales de los ciudadanos sin exigir estrictas medidas de seguridad cibernética, situación que puede afectar la eficiente operación digital gubernamental, y quebrantando el principio básico de que los datos de los ciudadanos estén centralizados y debidamente protegidos”.
El gobernador Pedro Pierluisi, firmó la Ley Núm. 40 de 2024, también conocida como la Ley de Ciberseguridad del Estado Libre Asociado de Puerto Rico (“Ley de Ciberseguridad”). Esta ley impone una serie de condiciones de seguridad significativas para proteger la data del ciudadano. El estatuto aprobado, pretendía organizar en una sola ley, legislaciones previamente aprobadas, órdenes ejecutivas y reglamentos internos relacionadas con la protección al ciudadano, y a imponer severas multas por cada incidente que vulnere la confiabilidad del sistema de datos gubernamentales. La aprobación de esta ley se presentó en momentos en que el propio gobierno mantiene contratación entidades privadas en el ámbito digital que, según la resolución senatorial, incumple varias leyes.
Historias relacionadas:
Más de un 100% de aumento en ciberataques en Puerto Rico
En 2022 se detectaron sobre 600 ciberataques que pasaron la primera línea de defensa