Que el general Paiva renuncie por su responsabilidad de mando es lo correcto ya que era el oficial general a cargo del EMCO (…) En donde si quedan dudas es respecto de la responsabilidad política, la que en este caso es de la ministra de Defensa, la Sra. Maya Fernandez. Para todos los efectos ella es la máxima autoridad y la responsable final de lo todo lo bueno y lo malo que ocurre en el ministerio de Defensa, reparticiones e instituciones dependientes. Todo indica que ella, con la asistencia de su nuevo subsecretario de Defensa, están tomando todas las acciones que corresponden, pero desconocemos si es que las debió haber tomado antes tan pronto se supo de las debilidades existentes, o si los organismos de control y auditoría interna de su ministerio actuaron correctamente, ya sea cuando se reportaron las debilidades de control o en las revisiones de control interno realizadas con anterioridad a esta ocurrencia.
Al escribir esta columna el general Paiva había renunciado hace 24 horas a la posición de jefe del Estado Mayor Conjunto (JEMCO) producto de la filtración de correos electrónicos que había sufrido la repartición que el dirigía desde los primeros días de marzo del 2022.
La muy reciente filtración de emails habría sido resultado de un hackeo del servidor de correos del EMCO y la renuncia del general es todo lo que sabemos a ciencia cierta, ya que las conclusiones de los sumarios administrativos tomaran un tiempo, como también las posibles aristas judiciales que se puedan dar.
Al parecer la renuncia del general Paiva es por su responsabilidad de mando, pero no queda claro si fue absolutamente voluntaria o inducida por la ministra u otras autoridades relacionadas. Lo que si está claro es que el general Paiva al momento de ocurrir la filtración de los correos electrónicos por parte de los hackers, llevaba un poco más de 5 meses a cargo, y aproximadamente 2 meses al mando a la fecha en que se cree que habría ocurrido el incidente de seguridad, esto último debe ser confirmado, pero todo indica que habría tenido lugar en mayo del 2022.
Que el general Paiva renuncie por su responsabilidad de mando es lo correcto ya que era el oficial general a cargo del EMCO. El cargo lo recibió con tiempo y no puede echarle la culpa al empedrado, excepto que se demuestre que supo y reporto a su superior, la ministra de Defensa Nacional, las vulnerabilidades y potenciales incidentes de seguridad de la información a la que se exponía producto de las debilidades que hayan tenido los sistemas informáticos de la unidad que comandaba.
Las responsabilidades de mando terminan con el oficial al mando y no afectan a los que lo hayan antecedido en el cargo, pero dicho eso, el sumario administrativo debería dar luces de errores cometidos en el pasado y presente, como también de las mejoras que requiere el ambiente tecnológico de la repartición afectada. Lo importante es que más que armar una cacería de brujas, haya aprendizaje y mejora de la ciberseguridad del Ministerio de Defensa y sus reparticiones dependientes.
En donde si quedan dudas es respecto de la responsabilidad política, la que en este caso es de la ministra de Defensa, la Sra. Maya Fernandez. Para todos los efectos ella es la máxima autoridad y la responsable final de lo todo lo bueno y lo malo que ocurre en el ministerio de Defensa, reparticiones e instituciones dependientes.
Todo indica que ella, con la asistencia de su nuevo subsecretario de Defensa, están tomando todas las acciones que corresponden, pero desconocemos si es que las debió haber tomado antes tan pronto se supo de las debilidades existentes, o si los organismos de control y auditoría interna de su ministerio actuaron correctamente, ya sea cuando se reportaron las debilidades de control o en las revisiones de control interno realizadas con anterioridad a esta ocurrencia.
Los incidentes de seguridad del tipo que le ocurrió al EMCO ocurren hasta en las mejores empresas privadas y organizaciones gubernamentales del mundo, y cuando ocurren muchas veces implican las caídas de quienes están a cargo ya que la divulgación publica de información sujeta a reserva siempre va a causar polémicas y hasta eventuales problemas legales, y dependiendo de la gravedad o importancia de lo que se haga público dependerá de hasta donde se proyecta la lista de los caídos, algo que en el caso del EMCO recién se va a terminar de dimensionar cuando se haya finalizado el sumario administrativo, incluyendo la lectura de los emails filtrados por los hackers, los que por cierto ya están generando entretenidas polémicas debido a la naturaleza de los temas tratados.
Independiente de lo que reportan algunos medios, es muy poco probable que haya información de clasificación secreta involucrada, ya que esa normalmente no circula por correos electrónicos y se custodia en medios aislados y no conectados a las redes objeto no puedan ser hackeadas.
Que no exista riesgo de que haya información secreta afectada no implica que la investigación deba ser más liviana o con la rigurosidad necesaria, pero si implica que deba ser dirigida por especialistas en materias de ciberseguridad e informática, y que idealmente estos no deben ser parte de reparticiones dependientes del ministerio de Defensa, ya que este último también debe ser sujeto de la investigación por su responsabilidad tanto política como administrativa.
Independiente de su calidad profesional y experiencia, que sea el jefe de inteligencia del Ejército y tenga un magister en ingeniería de sistemas, dejar el sumario a cargo de un general de dos estrellas en servicio activo tiene claras limitaciones producto de su ubicación en el escalafón de generales y lo que ello implica cuando se debe revisar lo que falló y la actuación de autoridades políticas y de generales de mayor antigüedad. Este tipo de sumarios deberían ser materia de la Contraloría General de la Republica producto de su independencia de los sujetos de la investigación.
Si hay algo que se espera de la autoridad política es que busque asegurar la máxima transparencia de la investigación de lo ocurrido, ya que de lo contrario se está haciendo un flaco favor a sí misma y al ministerio que ella dirige. Si se deja la realización del sumario administrativo, así como está, pueden quedar dudas de salga toda la verdad, y por ende los aprendizajes a obtener sean realmente válidos para generar mejoras sustanciales en el ambiente de ciberseguridad del EMCO y otras reparticiones equivalentes del Ministerio de Defensa.
No deja de sorprender que cada vez que hay problemas en Defensa solo sean oficiales generales los que paguen y nunca una de las autoridades políticas relacionadas. Ello a pesar de que estas últimas están tan preocupadas de estar efectivamente a cargo de las Fuerzas Armadas, preocupación que se evapora cada vez que surgen situaciones adversas. El día que pongan pecho a las balas y asuman toda la responsabilidad por todo lo que ocurre en el Ministerio de Defensa van a poder decir que están efectivamente a cargo.
Por último, mitigar o eliminar la ocurrencia de incidentes como la filtración de los correos del EMCO, pasa por tener buenos ambientes de control, auditores internos independientes, especialistas en seguridad informática y ciberseguridad, y una estructura de gobierno corporativo que incluya en sus ámbitos de responsabilidad conceptos tales como auditoría y control interno, matrices de riesgo, riesgos tecnológicos y de seguridad de la información.