El Dr. Erick Iriarte Ahon, además de dirigir eBIZ y ser socio fundador del estudio Iriarte&Asociados (IA Law), es presidente del Capítulo Perú del Internet Society Perú (ISOC), presidente del Tribunal de Ética del Consejo de la Prensa Peruana, secretario del Directorio de LACTLD, entre otras múltiples actividades orientadas a impulsar el desarrollo de un Perú digital. En la siguiente entrevista comenta, como experto en ciberseguridad, los avances y pendientes en la materia.
Según la Fiscalía, en los últimos años hay una tendencia creciente de denuncias por ciberdelitos ¿Por qué siguen elevándose los incidentes y denuncias en ciberseguridad? ¿Qué urge hacer para frenar su crecimiento?
Se debe crear una consciencia desde la más tierna infancia, en las escuelas, en materia de protección de datos personales y de ciberseguridad, esto acompañado de acciones concretas en la formación especializada en la materia y de instrumentos para la persecución del delito cuando se sobrepasan las medidas de ciberseguridad. De igual manera deben crearse instrumentos para la investigación forense y la adecuada sanción del cibercrimen.
¿Cuánto se ha avanzado -legalmente hablando- en ciberseguridad en los últimos años? ¿Qué normas han sido dictadas y cuáles están aún pendientes?
Si bien una forma de medir es la construcción normativa, resulta siendo de mayor efectividad el mirar la cantidad de ataques que se han realizado. Si bien tenemos pendiente el Reglamento del Decreto de Urgencia N.° 007-2020 (DU 007), sobre seguridad digital y pendiente la adhesión a convenios complementarios de Budapest o el de Naciones Unidas, la mayor carencia es la falta de instrumentos normativos para la investigación informática forense. ¿Se ha avanzado en ciberseguridad? Sin duda, pero de manera operativa desde el sector privado, no necesariamente por el marco normativo. Sí cabe destacar al sector finanzas, con la resolución 504-2021 sobre ciberseguridad de la Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones (SBS). Y que la ISO 27001 este ya activa en su última actualización como un estándar peruano.
¿Qué aspectos positivos y qué puntos de mejora propone usted al reglamento sobre confianza digital que se pre-publicó para comentarios en abril y que actualmente se encuentra en proceso de revisión? ¿Cuáles son los aciertos y qué queda pendiente?
El principal aliciente para considerarse es cómo se construirá una confianza en el instrumento sin que se vulnere la confidencialidad de la información que reciben de quienes hubieran podido ser afectados por un tema de ciberseguridad. Es clave que la forma de divulgación no implique vejar a quienes han sido afectados y, más bien, buscar las maneras de mitigar impactos en el ecosistema. De otra manera debe construirse una institucionalidad que incluya todas las partes interesadas como lo requiere el Acuerdo Nacional.
¿Qué nos falta como país para tener un adecuado tratamiento legal de la interacción digital de la población?
Contar con un espacio de diálogo y de creación de políticas públicas como una Agencia de Sociedad de la Información, que sea instrumento para que se construya un Perú digital.
¿Cuáles son las tareas pendientes para tener una mayor confianza digital en el país y reducir el cibercrimen?
Son varias. Al ejecutivo le toca adherirnos a los convenios adicionales de la Convención de Cibercrimen del Consejo de Europa, al Convenio 108 sobre protección de datos personales y al nuevo convenio de Cibercrimen de Naciones Unidas con las salvaguardas necesarias; al Congreso de la República ratificar la adhesión al Convenio de Cibercrimen de Naciones Unidas, ratificar los protocolos complementarios de Budapest y hacer las adecuaciones normativas a los convenios de Budapest y Hanoi; al Poder Judicial le corresponde crear los juzgados especializados en materia digital; a la Presidencia del Consejo de Ministros, crear las agencias de Sociedad de la Información y de Ciberseguridad, y definir las políticas para un Perú Digital. Todo esto indispensable para luchar contra el cibercrimen y tener un país ciberseguro. Tareas hay para todos.
«El Perú tampoco tiene una estrategia nacional de ciberseguridad, pese a la obligación de las entidades públicas de tener políticas basadas en la ISO 27001 desde hace más de 15 años».
¿Y a nivel de políticas o estrategias del Estado?
A nivel estratégico, tenemos también importantes carencias. No contamos aún con una estrategia nacional en materia de lucha contra el cibercrimen pese a que, que como decía un experto en la reciente conferencia Octopus en Estrasburgo, «es la tercera economía del mundo». El Perú tampoco tiene una estrategia nacional de ciberseguridad, pese a la obligación de las entidades públicas de tener políticas basadas en la ISO 27001 desde hace más de 15 años, aun cuando cada día podemos ver cada vez más casos de brechas de ciberseguridad que las afectan.
¿Cómo pueden las empresas, la academia y la sociedad civil mejorar su seguridad dada el alza de ataques que usan IA? ¿Qué se debe hacer? ¿Qué errores no se puede repetir?
Es importante hacer un llamado de atención urgente frente al hecho de que en el Perú solo contamos con una visión dispersa del fenómeno al cual nos enfrentamos, con regulación desactualizada y entidades pendientes de refuerzo que no han completado su proceso hacia entender la realidad de la permanencia de lo digital. Tomemos, por ejemplo, el Reglamento de la Ley de ciberdefensa: demoramos cinco años en tenerlo, una eternidad en tiempos digitales, donde cibercriminales y ataques de múltiples fuentes se mejoran tecnológica y estratégicamente a velocidades vertiginosas.
¿Hay más casos en donde es evidente la falta de velocidad en adopción de medidas adecuadas?
Sí. Otro ejemplo: tras mucho batallar, organismos de la sociedad civil y del sector privado lograron en el 2001 la adopción del Convenio de Cibercrimen del Consejo de Europa -o Convenio de Budapest- y el Perú se adhirió recién en 2019. La adhesión a este convenio sólo fue el punto de partida para múltiples tareas por realizar, como la adecuación normativa en materia de cibercrimen, y la creación de herramientas para informática forense (para la investigación operativa). También quedó pendiente el fortalecimiento de las autoridades competentes: ya sea la DIVINDAT con personal, equipos y recursos financieros; la Fiscalía de Cibercrimen, que hace esfuerzos titánicos sin recursos suficientes; la creación de juzgados especializados en materia digital por parte del Poder Judicial. Y no olvidemos que se creó la ley de ciberseguridad en 2019 pero fue observada por el Ejecutivo. Estamos 2025 y sigue pendiente su reformulación. Esa es la clase de error que no debemos volver a cometer.
Para profundizar más en el tema los invitamos a revisar las siguientes notas y entrevistas:
Adicionalmente, pueden complementar la información con los siguientes contenidos sobre el nuevo Rgto. de la Ley de Datos Personales:
