La Agencia Nacional Brasileña de Telecomunicaciones (Anatel) abrió recientemente una consulta pública (nº8/2023), que tiene como objetivo habilitar entidades especializadas en evaluación de seguridad cibernética relacionada con las telecomunicaciones en productos ya disponibles y que serán lanzados al mercado. Las contribuciones pueden enviarse hasta el 29 de abril a través del sitio web de la entidad.
En la práctica, la iniciativa busca aumentar la seguridad de los dispositivos y la protección de los datos personales de sus usuarios, así como la información de las propias empresas de telecomunicaciones, en un contexto en el que los ataques cibernéticos están en expansión y ya están aprovechando la inteligencia artificial para iniciativas maliciosas.
El telón de fondo de esta medida es un aumento de los ataques virtuales en el país. Un informe de ciberseguridad realizado por IBM identificó que Brasil concentra el 67% de los ataques cibernéticos en América Latina. Para las empresas, el acceso a datos privados corporativos y de clientes puede generar daños económicos y reputacionales. En el caso de entidades públicas, como la Agencia Nacional de Telecomunicaciones (Anatel), las fallas de seguridad pueden exponer datos personales de consumidores.
Según la Anatel, el objetivo es establecer una metodología para habilitar entidades con alto grado de especialización para realizar pruebas de mayor complejidad en productos de telecomunicaciones. Entre ellos, se pueden mencionar: pruebas de intrusión, evaluación y simulación de nuevos ataques identificados, evaluación del código fuente de los software/firmware de los equipos, evaluación de la estructura de archivos almacenados, monitoreo de las conexiones de datos establecidas por los equipos, entre otros.
"Esta preocupación de la Anatel tiene el propósito de garantizar que los productos homologados para la venta en el mercado estén alineados con las principales prácticas de seguridad cibernética", explica Scarlett dos Santos, abogada asociada del despacho Razuk Barreto Valiati y estudiante de maestría en Derecho Procesal Civil por la UFPR. "El cuidado también estimula a las empresas y a los consumidores en general a buscar productos homologados por el aumento de la protección de sus datos", destaca.
Mayor preocupación por la seguridad cibernética
Además de las comprobaciones técnicas (certificaciones y certificados), habilitación técnica del equipo en diferentes áreas e instalaciones en territorio brasileño, los interesados en habilitarse deben tener políticas claras de gobernanza, siguiendo los requisitos de la Ley General de Protección de Datos.
Entre los procesos requeridos se encuentran: política de clasificación de la información, control de acceso lógico, acceso con cifrado, garantía de seguridad en las comunicaciones y cuidado en la retención y eliminación segura de la información.
"En los últimos años, la Anatel ha tomado diversas medidas de ciberseguridad, incluida una Política Nacional de Seguridad de la Información, que entró en vigor en 2018. Otra iniciativa importante desde esta perspectiva fue el Reglamento de Seguridad Cibernética Aplicada al Sector de Telecomunicaciones, aprobado por la Resolución 740/2020, que entró en vigor en 2021", afirma Scarlett, que también es especialista en la Ley General de Protección de Datos - LGPD.
"La adopción de estos cuidados, en última instancia, ayuda a preservar los datos de las empresas del sector y, al mismo tiempo, protege la información sensible y confidencial de los clientes de las empresas de telecomunicaciones", aclara la abogada.
