Fuente: Sora Shimazaki/Pexels.
Los poderes judiciales alrededor del mundo se enfrentan a una amenaza grave e intensificada de ciberataques, especialmente a medida que la transición a la administración y gestión digital de los casos, acelerada por la pandemia COVID-19, continúa.
Los tribunales en las Américas se enfrentan a millones de ciberataques cada año, y la amenaza va en aumento. En septiembre de 2023 se lanzó un ataque masivo de ransomware contra el poder judicial colombiano, debido a vulnerabilidades introducidas por un custodio de datos externo. El ataque obligó la suspensión de cerca de dos millones de procesos judiciales y la cancelación de audiencias durante más de una semana. Esto se asemeja a un ataque de 2020 de “sorprendente amplitud y alcance” contra el poder judicial de los Estados Unidos por parte de actores extranjeros. Aunque en última instancia no afectó las operaciones de cara al público, el ataque representó un grave peligro para la integridad de los tribunales de Estados Unidos, y provocó la promulgación de medidas de emergencia para proteger registros judiciales altamente confidenciales. Del mismo modo, los sistemas judiciales de Argentina, Brasil, Chile y México han sufrido recientemente ciberataques, y esto representa sólo un puñado de ejemplos.
Es casi seguro que este tipo de ataques aumentará en alcance y frecuencia a medida que más procedimientos judiciales tengan disponibilidad virtual, y el poder de la computación (y ahora, la inteligencia artificial) continúe acelerándose. Los poderes judiciales de las Américas deben comenzar a dar a la ciberseguridad un lugar primordial dentro de sus prioridades administrativas, de lo contrario corren el riesgo de sufrir una catástrofe.
La creciente amenaza digital a la administración judicial y al Estado de Derecho
Los ciberataques contra los sistemas judiciales no son sólo inconvenientes técnicos que comprometen la eficiencia judicial. Son más bien ataques a la legitimidad del sistema de justicia y al propio estado de derecho. Como señaló un antiguo miembro del Comité de Tecnología de la Información de la Conferencia Judicial de Estados Unidos, “no es exagerado decir que el estado de derecho está en juego” en lo que respecta a la ciberseguridad judicial.
Esta preocupación se deriva del papel de los poderes judiciales como depositarios de información altamente delicada, y de su representación simbólica de la justicia y la legitimidad del estado. Los expedientes judiciales contienen secretos comerciales, propiedad intelectual, identidades de informantes protegidos y datos de seguridad nacional. Del mismo modo, las filtraciones de productos del trabajo judicial, como la correspondencia entre jueces y los borradores de dictámenes, pueden tener graves consecuencias.
En términos más amplios, la infraestructura judicial representa un sistema de importancia crítica que afecta directamente a la seguridad nacional. El ciberataque de 2023 al poder judicial colombiano proporciona una pequeña muestra del daño potencial que podría infligir un ataque digital exitoso a todo el sistema de un poder judicial.
Imaginemos un escenario en el que los sistemas de gestión de expedientes y casos en línea quedan inhabilitados durante semanas, lo que a su vez obliga a suspender los casos en curso. Aunque algunos casos podrían continuar utilizando documentación en papel, ésta no es una opción viable a gran escala. Como resultado, los litigantes con derecho a medidas judiciales urgentes, como órdenes para dejar de utilizar secretos comerciales de un competidor, u órdenes de alejamiento para evitar la violencia doméstica, podrían no recibirlas. Además, información delicada, como la identidad de informantes policiales protegidos, datos empresariales confidenciales o información clasificada de seguridad nacional, podría hacerse pública, causando posibles daños a las personas u organizaciones involucradas.
Además de los obvios daños sociales y pérdidas económicas que, cabe suponer, alcanzarían cientos de millones de dólares estadounidenses, un suceso de este tipo sembraría la desconfianza en la seguridad y fiabilidad de las instituciones judiciales, piedras angulares de su legitimidad. Este tipo de daño a la reputación no se reconstruye fácilmente, lo que hace que tales ataques resulten atractivos para los regímenes autoritarios que buscan dañar la gobernanza democrática en nuestra región.
El duro camino por delante: diseñar e implementar respuestas efectivas
No obstante, las respuestas efectivas a las amenazas a la ciberseguridad judicial son especialmente difíciles por cuatro razones fundamentales. En primer lugar, los poderes judiciales están descentralizados organizativa y físicamente. Por lo general, no existe un líder judicial supremo que pueda simplemente ordenar un cambio como puede hacerlo un presidente. En su lugar, los administradores de los poderes judiciales deben persuadir (o a veces, halagar) a cada sistema judicial local o regional, para implementar reformas en materia de ciberseguridad.
En segundo lugar, a medida que los poderes judiciales de todo el mundo adoptan plataformas digitalizadas, su exposición a los ataques se ha expandido. La pandemia ha acelerado este proceso, colocando a muchas jurisdicciones en la incómoda posición de haber adoptado rápidamente una nueva tecnología sin la infraestructura institucional para protegerla.
En tercer lugar, los ideales de democracia y transparencia que nuestro hemisferio valora, implican que nuestros sistemas judiciales deben dar acceso directo al público a muchos de sus sistemas informáticos, como los expedientes en línea, lo que los vuelve especialmente vulnerables. Además, una función central de los sistemas modernos de gestión de casos en línea es permitir a los litigantes subir contenidos a las redes del poder judicial.
En cuarto y último lugar, la ciberseguridad es cara. Algunos expertos la han llamado “el mayor gasto único de protección de la historia moderna”. Y dado que estas necesidades de financiamiento son complejas y a largo plazo, depender únicamente del proceso anual de asignaciones suele ser insuficiente. Aunque mecanismos especiales de financiamiento, como el Fondo de Tecnología de la Información del Poder Judicial de los Estados Unidos de América, o el Fondo Nacional para el Fortalecimiento y Modernización de la Impartición de Justicia de México ayudan a la planificación a largo plazo, actualmente no cubren totalmente las necesidades de ciberseguridad de los tribunales. Peor aún, el fondo mexicano ha sido eliminado recientemente, creando un vacío de financiamiento estable para la ciberseguridad judicial en este país del G20.
Un llamado a la acción
En términos generales, los dirigentes del poder judicial deben cambiar su mentalidad respecto a la ciberseguridad. Lamentablemente, la estrategia de ciberseguridad ha estado tradicionalmente dominada por un enfoque “de mago”, especialmente en instituciones conservadoras y no basadas en la tecnología, como los tribunales. El enfoque del mago ve la ciberseguridad como una batalla entre “magos” tecnológicos de cada bando, como un Harry Potter digital. Se gana la batalla de magia cuando tus magos tecnológicos superiores pueden derrotar a los atacantes: tu Gryffindor frente a su Slytherin.
Sin embargo, la experiencia demuestra que esto es un grave error. Una planificación eficaz de la ciberseguridad requiere de la coordinación de procesos interrelacionados a lo largo de toda la organización, más allá de solo expertos en TI: recursos humanos, finanzas, adquisiciones, comunicaciones, y dirección de alto nivel. El ataque colombiano lo demuestra. Dado que iba dirigido contra un proveedor externo esencial, la única forma de haberlo evitado era habiendo integrado la planificación de la ciberseguridad en los procesos de adquisición y supervisión estratégica del poder judicial.
El enfoque del mago también pasa por alto el hecho de que el comportamiento humano crea muchas vulnerabilidades de ciberseguridad. En palabras de un administrador del poder judicial de alto rango con el que hablé, “sería un gran paso convencer a los jueces de que dejen de usar su Gmail para asuntos oficiales”. Del mismo modo, la toma de decisiones humanas determina en última instancia la manera en que la tecnología se obtiene, se implementa, se utiliza y se mantiene.
Por lo tanto, la perspectiva de Hogwarts para computadoras debe sustituirse por un enfoque “gerencial” que considere la ciberseguridad como otro proceso institucional de importancia crítica, que al igual que la seguridad física o el cumplimiento legal, requiere de la colaboración de toda la institución y de una supervisión de alto nivel.
Esta mentalidad gerencial también está relacionada con medidas más prácticas que deben adoptar los sistemas judiciales para proteger sus activos digitales. Para empezar, el financiamiento debe armonizarse con la planificación que exige la ciberseguridad efectiva a largo plazo. Las asignaciones anuales simplemente no son lo suficientemente confiables para que los poderes judiciales realicen grandes compras de infraestructura de TI, o mantengan la implementación de iniciativas plurianuales. Se requieren mecanismos especiales de financiamiento.
Este financiamiento debe ir acompañado de una planificación estratégica que tome en cuenta las necesidades específicas de cada sistema judicial. Es esencial contar con una estrategia nacional de ciberseguridad, y los principales administradores del poder judicial deben participar directamente en su desarrollo e implementación. O como mínimo, deben desarrollar sus propias estrategias complementarias adaptadas al sistema de tribunales. Estos esfuerzos pueden ser catalizados mediante la creación de unidades que trabajen a lo largo de todos los poderes del gobierno en cuestiones de ciberseguridad, como el grupo de consultoría 18F de la Administración de Servicios Generales de Estados Unidos.
Por último, los sistemas judiciales ahora pueden adoptar varias medidas pequeñas pero efectivas para reforzar la ciberseguridad sin grandes gastos adicionales. En primer lugar, pueden crear prácticas de TI uniformes para todo el sistema judicial, que faciliten la administración y protección de los sistemas de TI, permitiendo así la compartimentalización de los datos. En segundo lugar, los dirigentes del poder judicial pueden crear canales directos de comunicación con los poderes ejecutivo y legislativo, específicamente en materia de ciberseguridad, garantizando que la cuestión siga siendo una prioridad administrativa de primer orden. En tercer lugar, los poderes judiciales pueden hacer hincapié en la capacitación en ciberseguridad del personal de todos los rangos. No tiene por qué ser técnica. Las mayores victorias se encuentran a menudo en el cambio de comportamiento básico, como limitar la comunicación oficial a los sistemas oficiales.
Sea cual sea el enfoque, los poderes judiciales deben actuar hoy de forma proactiva en este asunto, de lo contrario, pondremos en grave riesgo uno de los ideales más valiosos de las Américas, encarnado por la Carta Democrática Interamericana: el estado de derecho.
Jeffrey Zinsmeister es investigador residente del Global Americans, especializado en estado de derecho, ciberseguridad, privacidad de datos y crimen organizado, con más de 20 años de experiencia en derecho y asuntos internacionales. Como ex diplomático estadounidense y funcionario de la Organización de Estados Americanos, ha trabajado ampliamente en América Latina y el Caribe, con especial experiencia en México y Brasil. Actualmente también es consejero (Of Counsel) del despacho de abogados Holcomb & Ward LLP, y coautor del libro Lost (and Found) in Translation: How to Find, Hire, and Work with the Right Professional Translator for Your Business, publicado en 2022.
Las opiniones expresadas anteriormente son exclusivamente las del autor a título personal.
