En Bolivia, dos autoridades nacionales son responsables de las acciones gubernamentales tendientes a desarrollar un régimen de seguridad cibernética propio. La primera es el Instituto de Investigaciones Técnico Científicas de la Universidad Policial (IITCUP), el principal organismo encargado de investigar delitos cibernéticos, cuyo objetivo central es el procesamiento y análisis de evidencia digital. El personal del departamento de análisis forense digital está a cargo de esa labor. Sus miembros han sido capacitados en Estados Unidos, Argentina y Perú y participan regularmente en otros cursos y eventos nacionales e internacionales, en carácter de instructores o asistentes. En el último año el IITCUP ha centrado sus esfuerzos en fortalecer su capacidad de realizar análisis forense digital.
La segunda autoridad nacional es la Agencia para el Desarrollo de la Sociedad de la Información en Bolivia (ADSIB), que depende de la Vicepresidencia de la República y de la Presidencia de la Asamblea Nacional. Entre otras cosas, la ADSIB está elaborando planes para la implementación del gobernanza electrónica y el uso de software gratuito, que resolverán una variedad de importantes cuestiones relacionadas con la seguridad cibernética. Si bien aún no existe un equipo de respuesta a incidentes
cibernéticos (CIRT), la ADSIB se encuentra abocada a la labor de generar una capacidad nacional de respuesta a incidentes a partir de su equipo actual de personal capacitado y competente. Se espera que este equipo comience a operar en 2014. La ADSIB también ha organizado un seminario de capacitación acerca de la protección de sitios web contra ataques cibernéticos.
Las autoridades gubernamentales impulsaron la creación del primer punto de intercambio de tráfico de Internet (IXP) en Bolivia, al parecer motivada por las revelaciones de Snowden en los Estados Unidos. Si bien el IITCUP cuenta con canales para solicitar información y cooperación a las entidades del sector privado, refiere que el principal obstáculo para investigar y procesar delitos cibernéticos es la continua falta de mecanismos formales para obtener acceso a esa información de manera oportuna cuando se la solicita a redes sociales y otros operadores. Y, dada la cooperación relativamente limitada entre el IITCUP y otras autoridades nacionales y entidades del sector privado, estas últimas suelen ocuparse de su propia seguridad y gestión de incidentes. De forma similar, las entidades del sector privado no deben denunciar incidentes ante la ADSIB, la que no brindó información respecto de la situación actual en cuanto a colaborar o compartir información entre ambas partes. Sin embargo, la ADSIB ha logrado establecer una cooperación más fructífera con entidades homólogas en otros países. Un especial incidente de seguridad denunciado dio como resultado la coordinación directa con el CIRT nacional de Argentina, ICIC-CERT, para atender y resolver una situación relacionada con el phishing (suplantación de identidad) y un posible ataque a una empresa de importancia fundamental para los intereses nacionales de Bolivia. La gestión eficaz de este incidente fue considerada un gran éxito del gobierno.
Si bien el IITCUP tiene su propio protocolo de seguridad interna consolidado, informa que no existen protocolos o procedimientos comunes entre otros organismos gubernamentales. Y, si bien en teoría cada institución debería adoptar sus propios protocolos según lo requerido, muchas aún no han establecido procedimientos de seguridad de la información o las redes.
El IITCUP informa que muchas universidades en Bolivia ofrecen cursos relacionados con la seguridad cibernética, incluidos cursos de análisis forense digital, y que algunos miembros de su personal toman estos cursos de capacitación con frecuencia. Sin embargo, la mayoría de los cursos son generales y teóricos, e incorporan escasa formación práctica.
Ambas autoridades informan que no se han tomado medidas significativas para generar conciencia en materia de seguridad en el ámbito gubernamental, el sector privado o la sociedad en general. Si bien la ADSIB no cuenta con datos cuantitativos acerca de la frecuencia o tipos de incidentes cibernéticos en Bolivia, el IITCUP ha observado un aumento exponencial en esta clase de incidentes en los últimos años y menciona un incremento de al menos 60% en 2013, en comparación con el año anterior. Según el IITCUP, los grupos más afectados han sido los usuarios particulares, seguidos por el gobierno. De acuerdo con los informes de la ADSIB, los incidentes importantes del último año también han incluido el robo de datos, disturbios civiles y modificaciones a los usuarios raíz de sitios clave. El IITCUP observó que los medios más comunes de ataque o explotación eran amenazas, extorsión y secuestro de menores a través de las redes sociales, y ataques y vandalismo de sitios
web de instituciones gubernamentales. El IITCUP informó que se abrieron aproximadamente 150
casos relacionados con delitos cibernéticos en el último año. Cabe destacar un caso que involucró el uso de Facebook para contactar y ofrecer oportunidades laborales falsas a mujeres menores de edad. El perpetrador del incidente persuadía a las mujeres de encontrarse con él, las fotografiaba en situaciones comprometedoras y luego las extorsionaba mediante amenazas de publicar estas fotografías. Las autoridades lograron atraparlo, reunir y procesar evidencia obtenida de diferentes computadoras y dispositivos electrónicos, y obtuvieron un veredicto de culpabilidad.
De cara al futuro, tanto el IITCUP como la ADSIB mencionan la necesidad de una mayor cooperación entre organismos estatales, así como de mayor capacitación y asistencia para respaldar las iniciativas de desarrollo de la capacidad emprendidas por esos organismos.