«Dani, ¿cómo estás? Imagino que estás más que al tanto del tema del Churruca y el ciberataque de ransomware». Un jueves cualquiera se transformó en el día que la crisis de ciberseguridad que vengo señalando durante años se materializó en la voz de un amigo: «Mis viejos perdieron toda la historia clínica y estudios que les realizaron. Sobre todo mi mamá, que está en tratamiento activo… Se perdieron todos los turnos». Una “locura”, como él mismo lo definió, que desnuda la verdadera dimensión humana de nuestra indefensión digital.
En el último mes, Argentina ha sido testigo de una oleada de ataques informáticos que exponen no solo la vulnerabilidad de nuestros sistemas digitales, sino la negligencia criminal con la que tratamos la información más sensible de nuestra población. El ransomware del cual fue víctima el Hospital Churruca no es un incidente aislado – es el preludio de una catástrofe que muchos llevamos años advirtiendo.
La crisis se profundizó cuando tres de los laboratorios más importantes del país – Rossi, Hidalgo y Stamboulian – reportaron vulneraciones en sus sistemas. Instituciones que resguardan nuestros datos más íntimos: desde análisis genéticos hasta diagnósticos de enfermedades terminales, todo quedó expuesto. A esto se suma el incidente reportado por la Comisión Nacional de Energía Atómica (CNEA), que pone de manifiesto un problema aún más grave: la exposición de datos estratégicos con un potencial impacto en la seguridad nacional.
Lo que más preocupa es el muro de silencio que se levanta alrededor de todo esto. He visto cómo las instituciones se escudan en políticas internas obsoletas para mantener el hermetismo. Esta cultura del secretismo no solo traiciona la confianza pública, sino que nos hace cómplices de futuros ataques.
La información médica y estratégica es especialmente delicada. Historias clínicas, diagnósticos, análisis y otros datos personales no solo representan información sensible, sino aspectos íntimos de nuestras vidas que, en manos equivocadas, pueden transformarse en herramientas de abuso y vulneración de derechos.
Una ley vieja para proteger los datos
El marco legal argentino no está a la altura de las circunstancias. La Ley de Protección de Datos Personales, vigente desde el año 2000, se ha quedado obsoleta frente a la evolución tecnológica. Las instituciones no están obligadas a reportar incidentes, lo que perpetúa el silencio y la falta de rendición de cuentas. Esta laguna normativa no solo protege a las organizaciones que prefieren priorizar su reputación sobre la seguridad de los ciudadanos, sino que además dificulta cualquier tipo de acción coordinada para prevenir futuros ataques.
La entrada en vigor del Convenio 108+ en breve ofrece una oportunidad valiosa para alinear a Argentina con estándares globales. Este marco internacional establece obligaciones claras de notificación en caso de incidentes pero no nos engañemos: sin una verdadera voluntad de cambio, será otro documento más acumulando polvo en los archivos estatales.
Es evidente que el Congreso Nacional tiene una deuda pendiente en esta materia. Mientras otras naciones avanzan con regulaciones modernas y aplicables, Argentina permanece estancada en un escenario de inacción. Proyectos de ley sobre ciberseguridad y protección de datos se acumulan sin avances, dejando a millones de argentinos expuestos.
La protección de datos no es un concepto abstracto en un manual de derecho. Son las fotos familiares de tu celular, los análisis médicos de tus hijos, los secretos profesionales de tu empresa. Es tu vida digital, y merece más que promesas vacías y parches temporales ¿cuántos ciberataques más necesitamos para despertar? Durante los últimos veinte años he dedicado gran parte de mi vida a proteger los datos personales de los argentinos. La evidencia es contundente: el tiempo se nos acaba.