El Gobierno avanzó con la definición de infraestructuras críticas, las infraestructuras críticas de información y su identificación. A las primeras las identificó como aquellas fundamentales para prestar los servicios esenciales a la sociedad, tales como salud, seguridad, economía y defensa.

Mientras que las segundas son las relativas a "las tecnologías de información, operación y comunicación, así como la información asociada, que resultan vitales para el funcionamiento o la seguridad de las Infraestructuras Críticas".

Es decir, en la definición de ambas admitió que las redes, los sistemas, resultan vitales para brindar los servicios básicos, porque ya una no puede existir y operar sin la otra. Así resulta de lo publicado en el Boletín Oficial a través de la resolución 1523/2019 de la Secretaría de Modernización, que conduce Andrés Ibarra.

Esta definición, a su vez, surgió de las tareas que viene desarrollando el Comité de Ciberseguridad, que comenzó a tomar forma concreta este año, luego de dos de trabajo, y que está conformado por Modernización, Seguridad, Justicia, Defensa y Relaciones Exteriores. De acuerdo a lo que surge de la resolución es el secretario de Modernización, Andrés Ibarra, quien preside ese comité.

En los anexos que acompañan el texto los sectores identificados como infraestructuras críticas son los de:

- Energía

- Tecnologías de la información y las comunicaciones

- Hídrico

- Transporte

- Salud

- Alimentación

- Finanzas

- Nuclear

- Químico

- Espacio

- Estado

Sin embargo, identifica a los servicios de Tecnologías de la Información y las Comunicaciones (TIC) como Infraestructuras Críticas independientes pero que tienen vinculación directa con los otros servicios esenciales. Y las aborda de manera particular.

Así, determina que para identificar una afectación en las infraestructuras críticas TIC tiene que haber impacto público o social, por ejemplo, cuando la afectación de un sistema informático provoque grave conmoción en una parte de la población. Para dar más claridad: un ataque informático.

También, las que generen impacto a nivel de las funciones del Estado, la soberanía nacional, o el mantenimiento de la integridad del territorio nacional. En este último caso cuando, por afectación a un sistema informático se vulneran fronteras nacionales, sean territoriales, marítimas o espaciales.

En el anexo II se adjunta un glosario de términos de ciberseguridad que va desde backup hasta fibra óptica, pasando por gusano informático, indicente, informática forense, y otras expresiones relacionadas a estas actividades.

La publicación de la resolución comenzó a tener impacto desde temprano entre los expertos en seguridad informática, técnicos y abogados, que se preguntaron, en el contexto actual, si el sistema electoral forma parte de las infraestructuras críticas. Leandro Uciferri, de la Asociación de Derechos Civiles (ADC), planteó que tal vez sí en cuanto forma parte del Estado, cuya afectación en cualquier nivel está contemplada.

Cuando el 16 de junio pasado, el día del padre, el país sufrió el apagón más grande de su historia, quedó evidenciada la necesidad de definir estrategias y políticas vinculadas con las infraestructuras críticas.

Luego de ese suceso, cuyo impacto cruzó a parte de Uruguay y Paraguay, hubo voces que expresaron la necesidad de definir una estrategia de seguridad nacional que contemplara a las infraestructuras críticas.

"Ante circunstancias de un blackout extremo como el ocurrido ese domingo, se dejó al descubierto que no existe protocolo, que hubo cientos de personas con riesgo de vida como los electrodependientes sin respuestas, que muchos lugares con inseguridad estaban más inseguros aún sin iluminación en las calles o con sistemas de cámaras de seguridad sin fuentes de resguardo de energía, alarmas que no funcionaban, cerraduras que dependen también de energía, ciudades sin semáforos, transporte casi inexistente, telefonía fija, imposibilidad de pagos electrónicos (tarjetas de crédito, débito), departamentos no sólo sin ascensor, sino que sin agua, sin calefacción y sin posibilidad de calentar nada", describió sin más el experto informático Marcos Mansueti en un artículo que publicó La Política on line.  

Y denunció, a su vez que, un CERT (Equipo de Respuestas ante Emergencias) debe prever determinadas contingencias o incidentes. "Un CERT, entre tantas funciones, debía prever un blackout total para generar un comité de crisis, comunicación y resolución. No resultó así dado que simplemente la respuesta es que "nunca se pensó que podía suceder y nunca antes había sucedido". Un CERT también debe informar sobre vulnerabilidades críticas que surgen a diario, pero no, su sitio web solo posee tres informes y desactualizados desde hace más de un año". agregó.

La resolución publicada hoy en el Boletín Oficial es de carácter administrativo, no técnico. Es un paso. Pero para que realmente tenga efectividad debe avanzar hacia el segundo nivel.