Regulación e institucionalidad, las vulnerabilidades de la Ciberseguridad en Chile
Si bien el país cuenta con una Política Nacional de Ciberseguridad (PNCS) y organismos dedicados a trabajar en la materia, expertos coinciden en que falta avanzar en los tres proyectos de ley que están en discusión en el Congreso.
- T+
- T-
Los ataques cibernéticos que han sufrido algunas instituciones del país en el último tiempo, como el caso del bloqueo de infraestructura crítica de BancoEstado y la infiltración en el servidor del Gobierno Digital, donde se almacenan las claves únicas que permiten realizar un número importante de trámites públicos, han dejado al descubierto las debilidades de Chile en materia de ciberseguridad.
“Hoy los cibercriminales, actores estatales y agencias de inteligencia de otros países vienen a entrenarse y probar sus capacidades acá, porque no tenemos desarrollado un sistema nacional de ciberseguridad”, comenta el senador Kenneth Pugh, impulsor del Mes de la Ciberseguridad en Chile que se celebra precisamente en octubre para transmitir conciencia sobre la importancia de protegerse.
La ciberseguridad cobra especial relevancia en un contexto donde la pandemia ha acelerado la adopción de herramientas digitales y tecnológicas, porque “no podemos entrar al ciberespacio así como así, sin saber cuáles son los riesgos y amenazas”, advierte el senador, mientras añade que se debe crear un “ciberespacio seguro para el desarrollo de una confianza digital”.
Entre los avances, se cuenta la existencia de la Política Nacional de Ciberseguridad (PNCS) -vigente desde 2017-, la conformación ese mismo año de un equipo de emergencias informáticas, un comité interministerial de ciberseguridad y en la formación de capital humano ad hoc. Pero diversos actores señalan que esto no es suficiente y que hay una serie de materias relacionadas a la instauración de una institucionalidad “robusta” y proyectos de ley en el Congreso -como el de protección de datos personales- en los que se requiere avanzar a paso decidido.
Avances
La PNCS estable un marco general que engloba todas las estrategias y mecanismos de ciberseguridad. Esta dispone que para 2022 el país contará con una infraestructura de la información robusta y preparada para enfrentar incidentes de ciberseguridad; que el Estado velará por los derechos de las personas en el ciberespacio; que se desarrollará una cultura de ciberseguridad en torno a la educación; se establecerán relaciones de cooperación con actores internacionales; y se promoverá el desarrollo de una industria de ciberseguridad.
En esa línea, el Equipo de Respuesta ante Emergencias Informáticas de gobierno (CSIRT, por su sigla en inglés), -creado en 2017- “ha hecho todo un trabajo de protección de activos del Estado, y de reacción y neutralización de ataques cibernéticos, junto con educar y definir mejores prácticas para los organismos públicos en esta materia”, destaca el primer vicepresidente de la Asociación Chilena de Empresas de Tecnología de Información (ACTI), Carlos Bustos, aludiendo al instructivo presidencial N°8 emitido en 2018 por este organismo y que desde entonces ha movilizado al sector público para adoptar medidas de protección.
La PNCS creó el Comité Interministerial de Ciberseguridad (CICS) para llevar la conducción estratégica de la Política. Presidido por el subsecretario del Interior y compuesto por ocho ministerios más la Agencia Nacional de Inteligencia (ANI), se le encargó la misión de hacer la bajada de este plan estableciendo acciones, plazos y un presupuesto que permita alcanzar los objetivos de la política.
Bustos señala que las materias de ciberseguridad también han permeado al mundo académico, ya que a nivel del capital humano también se está avanzando en la creación de carreras de pre y postgrado en distintos institutos y universidades, con lo que se ha comenzado a crear una masa crítica en la materia. “Se están preocupando de tener profesionales certificados y listos para entrar al mundo laboral, y se está haciendo todo un trabajo para alinear las expectativas de la empresa con las carreras que se están desarrollando para que salgan mucho más profesionales preparados al mercado”, explica.
El senador por Valparaíso, adelanta que se está discutiendo la creación de un Instituto Nacional de Ciberseguridad (Inciber), que tendría dirección estratégica del Estado con el fin de promover el desarrollo de la “confianza digital”, elevar los niveles de ciberseguridad y desarrollar una planificación anual de capacitación, tanto para el sector público como para los privados.
Retos pendientes
Si bien se ha avanzado en estos temas, los expertos concuerdan en que aún falta por hacer. Pugh señala que también se necesita todo un andamiaje legislativo “para poder construir esta nueva casa digital”, haciendo alusión a la falta de actualización de las leyes de Delitos Informáticos y de Protección de Datos Personales, que datan de los años 90’.
El abogado socio de Magliona Abogados y experto en ciberseguridad, Nicolás Yuraszeck, señala que “cuando se hicieron estas regulaciones no se tomaron en cuenta elementos como el big data, el Internet de las Cosas o las mismas redes sociales, y eso genera una falta de herramientas suficientes para que los tribunales de justicia puedan perseguir infracciones en materia informática”.
Actualmente hay tres proyectos de ley en discusión en el Congreso que buscan elevar los estándares en ciberseguridad: el proyecto de Ley de Protección de Datos Personales; el proyecto de Ley de Delitos Informáticos; y el proyecto de Ley Marco de Ciberseguridad e Infraestructura crítica.
El primero fue ingresado en 2017 por mandato de la Organización para la Cooperación y Desarrollo Económicos (OCDE) para establecer mejores derechos para las personas en la materia, junto con establecer una institución encargada de proteger las infracciones. “Está en su primer trámite constitucional en el Senado, y en el mejor de los casos pasará a la Cámara a fin de año”, comenta Yuraszeck.
El proyecto de Ley de Delitos Informáticos pretende actualizar la normativa existente adoptando estándares internacionales (establecidos en la Convención de Budapest) para ponerse al día en los nuevos tipos de delitos informáticos que existen y así perseguir y sancionar a los ciberdelincuentes. “En esto se está avanzando un poco más rápido. Si la Comisión de Seguridad Ciudadana del Senado se pusiera las pilas, perfectamente podríamos tener un proyecto a fin de este año”, dice el abogado.
Por último, el proyecto de Ley Marco de Ciberseguridad busca establecer responsabilidades para las empresas privadas y para el sector público en cuanto a la adopción de medidas en materia de ciberseguridad, además de definir infraestructura crítica indispensable para el diario vivir, como hospitales o el suministro de agua y energía. “Debería estar a fin de año”, proyecta Bustos, de la ACTI.
Sin embargo, desde la Alianza Chilena de Ciberseguridad, su presidenta, Yerka Yukich, repara en que se necesita volver a tener la figura del “zar de la ciberseguridad”, puesto creado en el actual gobierno del Presidente Piñera para asesorar a la presidencia en esta materia y que ha estado vacante desde marzo, cuando Marrio Farren renunció al cargo. “Necesitamos a alguien que coordine y lidere el tema para que haya mayor gobernanza, pero en la discusión de las leyes no hay mucho interés por tocar este punto”, dice.
Tras el ataque al Gobierno Digital, el ministro del Interior, Víctor Pérez, anunció que el Presidente Piñera nombraría “a la brevedad” al sucesor de Farren, algo -que al cierre de este artículo- aún no ocurre.
De esta manera, “considerando tanto la percepción nacional como las mediciones internacionales de la ONU (Organización de las Naciones Unidas) y la OEA (Organización de Estados Americanos), diría que vamos como en nota 4,0, a mitad de camino”, dice Pugh.
Y para avanzar en lo que falta, el vicepresidente de la ACTI sostiene que “la hoja de ruta ya está clara, lo que hay que hacer es sacar estas leyes, seguir fortaleciendo al CSIRT y seguir haciendo conciencia en el tema. O sea, lo que hay que hacer es concretar”.