La fragilidad del Estado peruano frente a la fuga de datos

En el Perú, la falta de estándares y trazabilidad en plataformas como la PIDE expone información sensible al acceso indebido, advierte el Dr. Ernesto Cuadros. La ausencia de arquitectura tecnológica común y la centralización sin controles efectivos permiten que datos críticos, como historias clínicas, sean vulnerables. En contraste, modelos exitosos como el X-Road de Estonia y la gobernanza de datos en Singapur demuestran que es posible garantizar la seguridad mediante estándares claros, trazabilidad y capacitación. El Perú enfrenta un desafío urgente: adoptar medidas tecnológicas y normativas para proteger su información pública y recuperar la confianza ciudadana.

“La fragilidad del Estado peruano frente a la fuga de datos: desafíos y lecciones internacionales”

La solución exige voluntad política, inversión tecnológica y una ciudadanía consciente de la importancia de proteger sus datos. Solo así se podrá construir un Estado digital seguro y confiable.

(americasistemas.com.pe. Lima, Perú – 20 de noviembre 2024) En el Perú, la digitalización de los servicios estatales ha traído avances significativos, pero también expone una preocupante fragilidad en la gestión y protección de los datos. Según el Dr. Ernesto Cuadros, reconocido experto en Ciencia de la Computación y miembro de Directorios a nivel mundial, la falta de estándares y una arquitectura sólida en las plataformas de interoperabilidad, como la PIDE (Plataforma de Interoperabilidad del Estado), generan una puerta abierta a múltiples vulneraciones. El reportaje busca indagar sobre el problema, muestra casos internacionales de éxito en gestión de datos y propone una reflexión sobre el camino que debe seguirse.

El problema estructural del Perú: entre la interoperabilidad y la inseguridad
La PIDE, diseñada como un puente para facilitar la interoperabilidad entre entidades del Estado, opera sin rastrear ni registrar el intercambio de datos. Esto significa que no existe trazabilidad, dejando los datos expuestos a accesos no autorizados. A ello se suma la inexistencia de estándares técnicos que generan una torre de babel tecnológica. Cada entidad desarrolla su tecnología de manera independiente, creando brechas y vulnerabilidades. Imaginemos que en una casa cada enchufe fuese distinto en forma, voltaje y amperaje. ¿Cuál es la solución?¿ Comenzar a crear adaptadores para cada aparato que quiera conectarse o uniformizar los conectores? Lo ideal es que los enchufes fueran estándares. En vez de poner orden en este escenario, el estado ha propuesto crear conectores para cada nueva pieza digital que quiera conectarse. Eso es la PIDE..

Casos ilustrativos señalados por el Dr. Cuadros: 

1. Sin arquitectura ni estándares comunes: Cada institución construye sus plataformas sin coordinación, lo que complica la seguridad de los datos.
2. Acceso excesivo a través de la PIDE: Usuarios normales en cualquier institución estatal pueden acceder a datos de otras entidades sin restricciones claras.
3. Credenciales expuestas en páginas públicas: Contraseñas de usuarios se han encontrado en sitios web de instituciones gubernamentales, facilitando el acceso a datos sensibles.

Consecuencias reales de esta fragilidad 
El panorama descrito por el Dr. Cuadros es alarmante: “Basta un usuario público que se dé cuenta de que puede acceder a cualquier información y estamos vulnerados al 100%”. Por ejemplo, historias clínicas, información tributaria y otros datos confidenciales podrían ser extraídos generando un problema muy delicado.

El Decreto Supremo N.º 1310, que obliga a todas las instituciones a usar la PIDE, agrava la situación al centralizar procesos sin garantizar mecanismos de control ni trazabilidad.

Casos internacionales: ¿dónde se están haciendo bien las cosas?

1. Estonia: el modelo X-Road

– Arquitectura: Basada en estándares abiertos, la plataforma X-Road garantiza la interoperabilidad segura entre entidades gubernamentales.

– Trazabilidad: Cada intercambio de datos queda registrado y puede ser auditado, protegiendo la privacidad de los ciudadanos.

-Seguridad: Los datos no se almacenan centralmente, sino que se distribuyen, minimizando riesgos de fuga masiva.

2. Singapur: tecnología y gobernanza de datos

-Enfoque integral: El gobierno combina tecnología avanzada con estrictas normativas de protección de datos.

-Capacitación: Los funcionarios públicos reciben formación constante en ciberseguridad.

-Acceso limitado: Se implementan controles estrictos para limitar el acceso a datos sensibles.

3. Unión Europea: el RGPD como base normativa

-Protección de datos por diseño: Toda plataforma debe cumplir con estándares de seguridad desde su concepción.

– Multas severas: Las instituciones que incumplen enfrentan sanciones económicas significativas.

Propuestas para el Perú 

1. Estandarización: Implementar una arquitectura común y estándares claros para todas las entidades del Estado.
2. Si todas las instituciones siguieran un estándar seguro y distribuido no habría necesidad de pasar por un ente centralizado.
3. Fortalecimiento de la ciberseguridad: Si el estándar es seguro y guardamos el rastro de las transacciones sería factible saber quien hizo mal uso de los accesos de información .
4. Legislación actualizada: Revisar y ajustar normativas como el DS 1310 para incluir medidas de control y sanciones.

El Perú necesita entender que la herramienta digital que el estado proponga debe tener algunos principios fundamentales:

1. Debe ser un acelerador. No basta que nos ayude a avanzar. El artefacto que tenemos que tener en el estado debe permitirnos acelerar.
2. Debe ser transversal. Significa que debe ser útil en todos los sectores productivos del país.
3. Dado que somos un país con más de 30 millones de ciudadanos y celulares, debe estar proyectado para funcionar para millones de datos por segundo. Es decir, debe ser escalable
4. Debe funcionar con centros de datos y procesamiento distribuidos en todo el territorio nacional y no solo en Lima.
5. Debe permitirnos controlar nuestros datos en territorio nacional. Eso significa que debemos tener soberanía sobre nuestros datos.
6. Debe ser independiente del vaivén político y debe ser proyectada a mediano y largo plazo. Es decir que debe ser sostenible
7. Toda la información debe ser almacenada de forma segura con estándares.

Es decir, podemos resumir nuestra propuesta a la necesidad de crear un Acelerador, transversal, escalable, distribuido, soberano, sostenible y seguro. En la actualidad no cumplimos uno solo de estos principios fundamentales.

El panorama actual de la gestión de datos en el Perú es insostenible, pero no irreversible. Casos internacionales como Estonia y Singapur demuestran que, con estándares, gobernanza y tecnología adecuadas, es posible proteger la información pública sin sacrificar la eficiencia. Como indica el Dr. Cuadros, el primer paso es reconocer el problema: la interoperabilidad descontrolada no es un avance, sino una vulnerabilidad que debe corregirse con urgencia.