El Gobierno de Javier Milei anunció esta semana la creación de la Agencia Federal de Ciberseguridad. Al frente estará Ariel Waissbein, un investigador de larga trayectoria conocido en el ambiente por su sobrenombre “Wata”, que tiene un amplio conocimiento en criptografía y una gran cantidad de patentes registradas en Estados Unidos.

Formado en la ORT y Doctor en Ciencias Matemáticas por la Universidad de Buenos Aires, tiene recorrido académico notable, pero también experiencia en la industria «infosec«, como se le dice también al nicho de la ciberseguridad. Expositor habitual en conferencias de renombre internacional, a las pocas horas de haber sido anunciado públicamente borró su perfil público de LinkedIN y su cuenta de Twitter.

Wata fue parte del equipo de investigación de una empresa fundada por Gerardo Richarte y Emiliano Kargieman e Iván Arce, tres veteranos de la ciberseguridad argentina, en 1996: Core Security Technologies. Se trata de una de las primeras compañías que se focalizaron en lo que se conoce como “seguridad ofensiva”, una rama que implica estudiar las falencias de los sistemas, conocidas como vulnerabilidades, para anticipar la posible explotación de un atacante. Y que se hizo famosa en el nicho por reportarle muchos problemas de seguridad a Microsoft.

“Core fue una empresa pionera en Argentina, como un unicornio, que tomó escala de compañía global a partir de diferentes productos de tecnología e innovación absoluta para la época”, contó en diálogo con Clarín un hacker con más de 30 años en la industria de la seguridad. “Ellos profesionalizaron una idea que hoy es muy común, pero que para la época era revolucionaria: el ‘red teaming’, o ‘pentest’, esto es, armar plataformas que se comportan como se lo haría un atacante para detectar dónde tenés los puntos flojos de tu red”, complementó un empresario del rubro.

Y vale aclarar: estos avances fueron a nivel mundial: “La gente venía a la Argentina a ver qué estaba haciendo Core para entenderlo y reproducirlo”, agrega. La profesionalización de estos servicios de “pentest” comenzó a ser replicada luego en todo el mundo.

Bajo este ecosistema, Waissbein fue parte de CoreLabs, la rama de investigación que no sólo se dedicaba a reportar las vulnerabilidades que encontraban, sino empezar a desarrollar sistemas para una industria que empezaba a tomar forma.

Wata se especializó en criptografía, la rama de la computación que estudia cómo proteger información a través de algoritmos y codificaciones. Su tesis doctoral, defendida en 2013, se titula “Algoritmos de deformación para la resolución de sistemas polinomiales”.

Desde principios de la década de 2000 empezó a patentar en Estados Unidos, junto a otros reconocidos investigadores del ambiente como “Beto” Solino Testa y Ariel Futoransky, distintos tipos de tecnologías que le valieron reconocimiento en el ambiente del cifrado de información y la protección de derechos digitales de software (antipiratería). En 2003 registró junto a un equipo un trabajo sobre esto último, un negocio que hoy se conoce como Digital Rights Management (DRM).

En 2008, otro trabajo apuntaba a la automatización del proceso de detección y explotación de vulnerabilidades web (inyección SQL). Más cercano en el tiempo, comenzó a trabajar en seguridad en plataformas descentralizadas como la blockchain, donde operan criptomonedas como Bitcoin y Ethereum.

Muchas de ellas fueron presentadas en Black Hat, una de las conferencias de hacking y ciberseguridad corporativa más importantes del mundo, además de otras convenciones en diversas partes del mundo.

Más allá del research, Waissbein fue parte de otras empresas como CoinFabrik (volcada a seguridad cripto) y se dedicó a la docencia en materia criptográfica.

En cuanto a cómo llegó al cargo, en principio, Waissbein no tendría vínculos políticos ostensibles. Según especularon fuentes cercanas, tanto contratos pasados de Core con el Departamento de Defensa de Estados Unidos como su expertise en el mundo cripto, podrían haber funcionado de vidriera para ocupar el cargo y llamar la atención de Santiago Caputo, asesor del Presidente de la Nación y principal armador de esta nuevo Sistema de Inteligencia Nacional (SIN).

El lunes pasado, por la noche, el Gobierno comunicó la decisión de disolver la Agencia Federal de Inteligencia (AFI), entidad que había sido fundada en 2015 durante el último año del segundo mandato de Cristina Fernández de Kirchner. La administración de Javier Milei anunció la creación del Sistema de Inteligencia Nacional (SIN), compuesto por la Secretaría de Inteligencia del Estado (SIDE), que tendrá a su cargo cuatro entidades. Una de ellas es la Agencia Federal de Ciberseguridad (AFC), un reclamo que era recurrente en el sector infosec.

El desafío que enfrenta Argentina en materia de ciberseguridad es grande. El país presenta un atraso en medidas de protección de entidades estatales y durante los últimos años sobraron noticias sobre hackeos, accesos no autorizados y filtraciones de datos, con algunos casos preocupantes.

Durante el año pasado, un ciberataque al PAMI terminó por filtrar no sólo información personal de una parte de sus asociados (nombre, dirección, teléfono, correo electrónico) sino también sensible: estudios médicos, diagnósticos y resultados de análisis. Los datos personales se comercializan para cometer diversos tipos de ciberdelitos, entre los que se encuentra la suplantación de identidad, que puede usarse para conseguir accesos no autorizados o realizar ingeniería social.

También durante 2023, la Comisión Nacional de Valores fue víctima de un ransomware, un tipo de virus que cifra la información para pedir un rescate en criptomonedas a cambio de la devolución de los datos. Vencido el plazo, los cibercriminales de un conocido grupo en el ambiente (Medusa) publicaron los datos.

Más atrás en el tiempo, la Dirección Nacional de Migraciones sufrió también un ransomware que hizo públicas salidas del país, el Senado de la Nación fue hackeado y se expuso documentación interna de legisladores, y también la Legislatura porteña fue víctima de este tipo de malware. Todo esto es apenas una muestra a nivel nacional de un problema que ocurre casi a diario en gobiernos provinciales y locales, con menos cobertura mediática.

“El escenario actual de la ciberseguridad en el Estado es malo. Cada organismo o dependencia estatal hace las cosas como puede con los recursos que puede (que son muy pocos). Las empresas se la pasan vendiendo productos a través de resellers [revendedores] que después no brindan ni la capacidad ni el soporte adecuados. Hay que construir capacidades, esto es algo que a nivel global se trabaja todo el tiempo”, contó a este medio una fuente de amplia trayectoria en ciberseguridad vinculada al Estado.

“Van a tener que agarrarse de mucha gente con conocimiento para proteger la seguridad nacional y las infraestructuras críticas. El Comité Nacional de Ciberseguridad va a tener que profesionalizarse de verdad. Si el foco va a ser infraestructuras críticas, el Comité tiene que ayudar a definir eso bien -no como hasta ahora-, la Dirección Nacional de Ciberseguridad va a tener que o desaparecer o transformarse en otra cosa, el CERT -donde hay mucha gente que sabe mucho- va a tener que funcionar mejor. Se van a necesitar recursos: ciber sin recursos económicos, técnicos y humanos, no funciona”, agregó este analista.

Otra cuestión tiene que ver con el diseño institucional de la agencia recién creada, y es que se encuentra dentro de los servicios de inteligencia. “Mucha gente confunde ciberseguridad, ciberdefensa, ciberinteligencia y ciberdelito. Y no es todo lo mismo. Si la AFC tiene como objetivo mejorar la ciberseguridad y lo meten dentro del paraguas de inteligencia, ya empezamos mal”, agregó.

A estos desafíos se suma el desactualizado marco regulatorio. La ley de protección de datos personales, número 25.326, es de 2000, motivo por el cual desde lo jurídico hay pocas sanciones o consecuencias nulas cuando una entidad sufre un ataque: apenas la exigencia de ser reportado a la Agencia de Acceso a la Información Pública (AAIP), algo que, además, pocas veces sucede. Al menos hasta que entre en vigencia el Convenio 108+, que va a hacer obligatorio el reporte de incidentes.

En este escenario tendrá que actuar Wata, flamante titular de la nueva Agencia Federal de Ciberseguridad, sin que quede claro qué actores de reparto pondrá Santiago Caputo a su alrededor.

“Habrá que ver si este Gobierno quiere una agencia de ciberseguridad como la NSA o como la CISA”, expresó otra fuente cercana. La referencia a las dos entidades de Estados Unidos es de nicho, pero clara: la Agencia Nacional de Seguridad (NSA) tiene foco en inteligencia; la Cybersecurity and Infrastructure Security Agency (CISA) maneja un corte más técnico que logró robustecer el ecosistema de las entidades estatales del país del norte ante ciberataques.

Ariel Waissbein estará al frente una agencia que tendrá que decidir si será un instrumento de la inteligencia del Gobierno de turno o un área técnica que ponga al talento argentino, aquel que sembró Core Security Technologies, a resolver un problema enorme que todavía no encuentra solución.