Vulnerable, centralizada y dependiente: las flaquezas de la no tan perfecta e-administración de Estonia

Ni envases de sült, la popular carne de cerdo cocinada en mermelada que destaca entre la gastronomía autóctona. Ni uno de los vistosos pañuelos con que se recogen el cabello las mujeres que lucen el traje tradicional. Lo que en el verano de 2017 regaló Estonia a los invitados a la ceremonia con la que asumió la presidencia rotatoria del Consejo de la UE fue un “condón USB”, expresión utilizada por los propios diplomáticos de la república báltica para referirse a una pequeña herramienta que permite cargar dispositivos móviles vía USB sin riesgo de que se pierdan datos o instalen virus. Más allá de la anécdota, el gesto —seguro que bien estudiado por el marketing estatal estonio— pretendía lanzar dos mensajes a sus colegas europeos: primero, Estonia es sinónimo d I+D+i; segundo —y tal vez el más importante aviso a navegantes— esa tecnología es segura.

Justo una década antes, el 27 de abril de 2007, Estonia había sufrido una serie de ataques informáticos que consiguieron noquear webs del Gobierno. Sus ciudadanos se despertaron sin poder acceder a servicios oficiales en red, los principales diarios, universidades ni bancos. Más de 12 años después se desconoce aún a ciencia cierta el origen del ataque —la versión más extendida es que fue una represalia del Kremlin por la decisión de las autoridades estonias de retirar del centro de Tallin, la capital del país, una estatua erigida en 1947 en homenaje a las tropas de la URSS—, pero las autoridades de Moscú siempre han negado cualquier implicación.

La ofensiva cibernética golpeó a Estonia dónde más le duele: su seguridad informática. La antigua república soviética es un referente mundial en administración electrónica. Desde hace años sus autoridades han ido implementando servicios digitales hasta tal punto que se ha ganado etiquetas como la de "e-Republica", un estatus que sirve de modelo a otras administraciones.

En 2017 los estonios podían realizar ya 1.789 gestiones vía informática, a través de una administración abierta 24 horas siete días a la semana —suele decirse con sorna que solo hay tres trámites para los que tienen que estar de “cuerpo presente”: casarse, divorciarse o para cerrar alguna operación inmobiliaria—, sus gobernantes prescinden de los papeles en sus reuniones desde 1999, los documentos oficiales pueden firmarse de forma digitales, vía por la que optan el 95% de los ciudadanos para tramitar sus impuestos; y el i-voting está tan implantado que en las elecciones parlamentarias de 2015 casi un tercio de los sufragios se emitió por medios telemáticos. Gracias al programa e-Estonia State Portal, los habitantes acceden online a todo tipo de servicios. Con ese telón de fondo se entiende que el ataque de 2007 erizase el pelo a las autoridades.

Vista aérea de Tallin, capital de Estonia, en la que residen unas 434.600 personas.

Con su gesto del “condón USB”, Estonia quería emitir un mensaje claro a sus socios europeos: la e-administración de la república báltica es más que segura. “En Estonia tenemos una gran higiene digital, la gente es muy cuidadosa”, llegó a incidir su presidenta, Kersti Kaljulaid, una bióloga que llegó a trabajar como comercial de ventas en el sector de las telecomunicaciones y que lleva las riendas del Estado desde 2016. Aunque no ha vuelto a repetirse un episodio similar y Estonia ha adoptado medidas contundentes, como la creación de una “embajada de datos” en Luxemburgo que garantiza que en caso de un nuevo ataque el país seguirá funcionando, lo cierto es que el gesto de 2017 refleja que lo ocurrido en 2007 dejó heridas en el estado báltico.

Acecho de "hackers" y control de datos

Hoy nadie duda de que Estonia es un referente a seguir en muchos aspectos. Cuando se desgajó de la URSS, a principios de la década de 1990, padeció las dificultades de la transición hacia un sistema de economía de mercado, era un país de infraestructuras obsoletas y escasa implantación tecnológica. En 1991 menos del 50% de su población disponía de teléfono fijo en casa. Hoy poco tiene que haber con aquella exrepública soviética. A lo largo de la última década ha alumbrado firmas punteras —gracias al empuje de sus ingenieros nacieron Skype y TransferWise—, el acceso a Internet se considera un servicio básico desde principios de siglo y el i-voting se estrenó en 2005.

Gracias a esa transición tecnológica y la implantación de la administración digital, el país se ahorra el equivalente al 2% de su PIB en salarios y una torre de unos 300 metros de papel cada mes. “Si hay una lección de estos 20 años es que no es una cuestión de tecnología, sino de transformación, de cambiar la forma en que se recolectan y usan los datos de la gente para mejorar sus vidas”, señalaba Siim Sikkut, consejero de información del Gobierno, a La Vanguardia.

Como demostró el ataque de 2007 no todo lo que reluce es oro, sin embargo. Pese a sus evidentes ventajas el sistema tiene también puntos débiles, flaquezas como la que evidenció la ofensiva que se achaca al Kremlin. Quizás la más grave sea la vulnerabilidad. Que no se haya repetido un episodio similar en la última década indica que Estonia ha hecho los deberes, pero como advierte Sergio Jiménez, especialista en eGobierno y Transformación digital, a menudo la eficacia de los ataques depende “del tiempo y los recursos que estén dispuestos en invertir” quienes los infligen.

El Riigikogu, el Parlamento de Estonia.

Cualquier cosa digital puede ser hackeada, eso está claro. Lo que pasa es que no fue hackeada, simplemente atacaron los servidores. Nadie intentó cambiar los datos porque no se puede, están encriptados. Pero sí, en 2007 fue atacada y algunos servidores cayeron y tras eso la ciberseguridad pasó a ser una de las estrategias más importantes de Estonia”, explicaba en 2016 Kaspar Korjus, director general del Programa e-Residency, a Jot Down, cuando se le preguntó por el ataque.

“La clave es tener centros de datos en varios lugares y encriptar todo. Eso es básico para nosotros. Hay otro proyecto desarrollado por el Gobierno estonio llamado Data Embassies. Tienes embajadas con gente trabajando en varios países. Por ejemplo, la embajada estonia en Madrid es territorio estonio, pero su seguridad depende de España. […] Ahora estamos creando las mismas embajadas, pero en lugar de haber gente trabajando son centros de datos. Eso significa que España tiene que hacer lo que sea para proteger ese centro de datos. Así que si hubiera un desastre en Estonia puedes pasar todos los servicios y datos a tu centro en otro país”, abunda Korjus.

¿Está garantizada entonces la seguridad? El sistema blinda el país contra la parálisis en caso de ataque, pero como reconoce el propio Korjus “cualquier cosa digital puede ser hackeada”. Ni siquiera instituciones punteras, como la poderosa Agencia de Seguridad Nacional de EEUU, la NSA, con sus alrededor de 40.000 empleados, ha sido capaz de esquivar el látigo de los hackers. En agosto de 2016 el grupo The Shadow Brokers aseguró haberse convertido en el primero en acceder a los archivos de la agencia y robado documentación de la división de espionaje de la NSA tras romper la seguridad del Equation Group.

Uno de los últimos ejemplos de la vulnerabilidad de la administración electrónica lo dejó en mayo Baltimore. La ciudad de Maryland vio cómo un grupo de hackers encriptaba archivos de su administración y pedía un rescate en bitcoins para liberarlos. El ataque bloqueó correos municipales, datos sobre multas de tráfico, el sistema empleado para pagar recibos de agua y otro de venta de casas. Nadie se salva. En España mismo, según datos del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) contabilizó el año pasado 54 ataques contra infraestructuras críticas de la administración.

La vulnerabilidad entronca con otro problema crucial: la confidencialidad de los datos que pueden llegar a manejar las instituciones de un país. En Estonia la e-administración permitió por ejemplo ha ayudado a reducir en un tercio las listas de espera en la sanidad. La pregunta del millón es: ¿Quién accede a la información digitalizada? La república báltica dispone de un sistema que, en teoría, salvaguarda el derecho de cualquier ciudadano a saber quién y para qué consulta sus datos. El sistema estonio se basa en Xroad, un software que integra todas las bases de datos de las diferentes ramas del Estado de manera interoperable, lo que facilita que puedan intercambiar datos. Todo ciudadano puede consultar quién ha visto su información.

Ahora… ¿Es fácil ejercer ese control de forma efectiva? O planteado de otra forma: ¿En la práctica, la gente usa ese derecho? ¿Sabría hacerlo si quisiera? En su artículo España no es Estonia, Sergio Jiménez recuerda que “la transparencia tiene valor como mecanismo de control si tiene un significado para el ciudadano”. “Gran parte de los escándalos de Facebook estaba informado por la política de privacidad de la plataforma. Incluso ahora puedes mirar quién tiene acceso a tus datos. ¿Cuántos lo hacéis o lo habéis hecho? Y lo que es más, si lo hacéis, ¿cómo sabéis si ese uso tiene sentido o no?”, cuestiona el experto en eGobierno y Transición Digital: “Pueso eso. Una cosa es conocer la información y otra saber qué rayos hacer con ella”.

En 1991 más de la mitad de los estonios carecían de teléfono fijo en casa. Hoy se dice que solo tienen que trasladarse a las oficinas gubernamentales para tres gestiones: casarse, divorciarse o comprar una casa

No es el único punto sobre el que advierte. En su artículo, recogido en la web AnalíticaPública.es, Jiménez recuerda que “existen motivos más que fundados para que haya una separación de las bases de datos de diferente sensibilidad” y en el sistema báltico la identificación única “los difumina”: “Imaginemos que un niño está pidiendo una beca para estudiar en la universidad y tiene que poner el identificador de los padres. Pongamos, por otro lado, que el Gobierno ha hecho una nueva norma que pone como criterio para la beca que los padres de los menores no estén condenados por delitos económicos o financieros en los últimos 10 años. Este candidato podría no tener acceso a una beca por algo que no ha cometido y que, a lo mejor, ni conoce”.

La decisión está siempre en manos de Gobiernos legítimos y la tecnología —reconoce Jiménez— sirve únicamente como instrumento a unos fines previamente definidos. El experto recuerda sin embargo que en EEUU se ha llegado ya a cruzar multas de tráfico con registros migratorios para expulsar a gente del país. “Tengo poca confianza en la agilidad de los sistemas judiciales para impedir impactos severos en la vida de las personas. Es decir, se puede hacer esta norma y que cinco años después se declare ilegal, pero vaya cinco años”, zanja. Desde febrero de 2018 las capas de intercambio de datos de Estonia y su vecina Finlandia están conectadas, lo que facilita que ambos estados puedan compartir información de una forma ágil.

La vulnerabilidad y la confidencialidad no son los únicos puntos débiles del sistema. El ingeniero y jurista especializado en derecho tecnológico Sergio Carrasco, quien recuerda por cierto que en 2014 se publicó un paper que alertaba de las “graves vulnerabilidades” del i-voting en Estonia, apunta otra flaqueza: la dependencia excesiva que se puede establecer con empresas privadas en un ámbito tan sensible como la administración y prestación de servicios públicos. Desde que en la década de los 90 los sucesivos gobiernos se han lanzado al desarrollo tecnológico se trabó un modelo de alianza público privada (PPP).

“La administración tiene que colaborar con las empresas punteras del sector, pero siempre controlando el proceso y siendo capaces de evaluar qué se hace con la tecnología”, apunta J. Ignacio Criado, profesor del departamento de Ciencia Política y Relaciones Internacionales de la Universidad Autónoma de Madrid (UAM) y doctor europeo en Ciencia Política y Administración Pública.

Condiciones ventajosas... pero ¿deseables?

El éxito de la administración digital en Estonia no se explica sin su apuesta decidida por las TIC. Ahora, no todo se puede atribuir a ese salto de fe y trabajo de fondo que arrancó en la década de 1990. Algunas de sus condiciones de partida la sitúan en una posición ventajosa. La principal es su tamaño. La ex república soviética es un país pequeño. Muy pequeño. Y con escasa población, además. Estonia mide poco más de 45.200 kilómetros cuadrados, lo que lo convierte en la 130ª nación más pequeña del planeta. Mide poco más que Dinamarca, Países Bajos o Suiza, aunque con una diferencia sustancial: tiene muchísima menos población que cualquiera de esos países. Con 1,3 millones de habitantes, está mucho más cerca de los 1,6 de Barcelona que de los 17,1 de Países Bajos o 8,5 de Suiza. Esas dimensiones facilitan la e-administración.

Jiménez recuerda que el tamaño del censo de un estado no es una cuestión irrelevante. A mayor número de habitantes, también mayor será la fragmentación y diversidad de casos y más compleja la mecánica del despliegue. “No se trata tanto de que sea más fácil emitir 1,5 millones de identificadores, sino de hacerlos llegar y ponerlos en marcha todos a la vez es más fácil”, incide el experto en su artículo de AnalíticaPública.es antes de recordar el fracasado intento de implantar el DNI electrónico en España, un país de alrededor de 47 millones de habitantes. Pese a los reiterados intentos del Gobierno, un estudio de la Universidad de Zaragoza concluía en 201y que solo el 4,6% de sus usuarios lo habían empleado en los trámites de la institución.

El traslado del modelo estonio a España no solo debería lidiar con la extensión y dimensiones del país. Otro hándicap es la implantación digital, tanto a nivel geográfico como social. La acuñada como “España vaciada” es también con frecuencia una España desconectada que ahonda en la brecha tecnológica. En su web el Ministerio de Economía aporta una relación detallada —y profusa, lo que resulta si cabe más significativo— de las “zonas blancas NGA” en España, aquellas que no disponen de cobertura de redes de banda ancha de nueva generación ni planes creíbles de que vayan a dotarse de ellas a lo largo de los próximos tres años. Solo en la provincia de Albacete identifica más de 200. Con ese escenario, ¿Cómo implantar una e-administración eficaz?

Algo similar ocurre a nivel social. ¿Se puede apostar por la administración sin papel con la brecha digital que padece España, donde el 37% de la población mayor de 15 años no usa nunca el correo electrónico y un 17% reconoce no saber siquiera cómo utilizar un buscador online? El 13,6% de los hogares españoles carecen incluso de conexión, lo que sitúa a España en puestos de la cola entre sus socios de la Unión Europea. El problema se agrava cuando se observa que esa brecha responde a menudo a factores económicos —casi un tercio de los hogares con renta inferior a 900 euros carecen de Internet— o de edad. En Estonia el 88% de los ciudadanos navega por Internet a diario y el 87% —entre 16 y 74 años— se conecta al portal gubernamental. Carrasco advierte de que la administración debe garantizar un "acceso en condiciones de igualdad" a determinados servicios, "no crear obstáculos".

Centralización territorial, la gran aliada

Queda aún otro problema, igual de grave: la centralización. El tamaño de Estonia facilita que su estructura territorial sea muy distinta a la española. El país se divide en 15 condados, cada uno dirigido por un gobernador que representa al Ejecutivo central y que se divide en municipios. Poco que ver con los más de 8.100 ayuntamientos, 50 provincias, dos ciudades autónomas y 17 comunidades que forman España. La unidad administrativa de la exrepública soviética le brinda un ventajoso punto de partida para la digitalización de sus trámites y servicios. La pregunta del millón es: ¿En un país como España, sería deseable o factible adoptar un sistema tan centralizado?

“Estonia tiene circunstancias muy especiales, como su tamaño y la formación de la población; en un país como España habría problemas de sostenibilidad. Mira el lío que se monta aquí cuando empieza la declaración de la Renta”, señala Jiménez. Prueba de la complejidad que entraña el proceso en España es el retraso en la implantación de la Administración electrónica, que el Ejecutivo ha prorrogado hasta el otoño de 2020 debido —entre otros factores— a la falta de preparación de carácter jurídico y técnico y la escasa interoperabilidad entre administraciones.

El experto en eGobierno señala en cualquier caso que en la propia exrepública soviética la implantación tecnológica tampoco es uniforme y está más avanzada en algunos departamentos gubernamentales que en otros. “La transformación digital no se hizo a la misma velocidad en todos los ámbitos”, concuerda Ignacio Criado, quien —al igual que Jiménez— apunta la centralización de la república báltica. “Es recomendable que se faciliten todas las vías posibles de acceso a la administración, pero habría que analizar pros y contras y, sobre todo, no es lo mismo el derecho a acceder a través de medios electrónicos que la obligación de hacerlo”, apostilla Carrasco.

Imágenes | Ville Hyvönen (Flickr)

Ver todos los comentarios en https://www.xataka.com

VER 12 Comentarios

Portada de Xataka