ACADEMIA NACIONAL DE ESTUDIOS POLÍTICOS Y ESTRATÉGICOS

Primer mes de la ciberseguridad en Chile: positivo balance preliminar

 

 

Dra. Carolina Sancho Hirane

 

“(…) existe una necesidad urgente de que los líderes gubernamentales y corporativos participen en procesos efectivos de gestión de riesgos cibernéticos y aborden los riesgos digitales dentro de sus procesos de planificación estratégica”[1].

 Un balance preliminar, al concluir el mes de la ciberseguridad en Chile, permite ser optimista con relación a los avances que exhibe el tema. No obstante, la proyección de esta positiva perspectiva se ve condicionada por desafíos que requieren ser abordados por la autoridad.

La ciberseguridad continúa siendo un asunto de creciente importancia en diferentes lugares del mundo y Chile no es la excepción. A nivel internacional se ha dado continuidad en la elaboración de estudios que permiten describir el actual estado del tema en ámbitos específicos, como también, próximos desafíos a enfrentar. Ejemplo de ello puede encontrarse la publicación de la Organización de Estados Americanos (OEA), “Estado de la Ciberseguridad en el Sector Bancario en América Latina y el Caribe”, documento que aporta interesantes hallazgos como que los  “riesgos de seguridad digital que merecen la mayor atención por parte de las entidades bancarias son: i) el robo de base de datos crítica, ii) el compromiso de credenciales de usuarios privilegiados, y, iii) la pérdida de datos”[2]. Informe que puede ser especial utilidad en Chile, considerando los diversos incidentes que este sector ha tenido durante 2018.

Más allá del continente americano, también se desarrollan reportes orientados a identificar tendencias vinculadas a la ciberseguridad. Por ejemplo, en materia de ciberdelito, Europol ha presentado recientemente el Informe “Evaluación de la amenaza de la delincuencia organizada en Internet 2018” (IOCTA) con la finalidad de poner a disposición un panorama de amenazas y tendencias de delitos en el ciberespacio, identificando entre ellos: el ransomware, que conserva su dominio; el DdoS, que sigue plagando organizaciones públicas y privadas; la continuación en la producción de material de explotación sexual infantil (CSEM, por su sigla en inglés); el fraude de tarjeta no presente domina el pago, pero el skimming continúa; en la medida que crece el abuso criminal de las criptomonedas, los usuarios de divisas y los intercambiadores se convierten en objetivos; Cryptojacking: una nueva tendencia de ciberdelito; la ingeniería social sigue siendo el motor de muchos ciberdelitos, como por ejemplo el phishing, el vishing y el smishing; y continuidad en el negocio ofrecimiento de ilícitos en la darknet, aun cuando hay un creciente cierre de este tipo de plataformas de los principales oscuros mercados de internet, sin embargo el negocio continúa.

A nivel nacional, destaca 2018 por ser el primer año que en Chile es realizado el “Mes de la Ciberseguridad”, iniciativa promovida transversalmente desde el Ejecutivo, Legislativo y la sociedad civil, siguiendo una tendencia internacional. Además, en materia de ciberseguridad, especial referencia merece las decisiones tomadas por el presidente Sebastián Piñera. En efecto, una de las primeras dudas era si tendrían continuidad los principales documentos elaborados y promulgados en el período anterior de gobierno. Dicho en otras palabras, ¿la Política Nacional de Ciberseguridad (PNCS) y la Política de Ciberdefensa ya promulgadas tendrían validez en este mandato o serían documentos cuya implementación quedaría suspendida hasta que se reformularan? Ante los reiterados incidentes de ciberseguridad en el sector bancario que en breve tiempo afectó a diversas empresas y que implicó: fraudes bancarios, accesos no autorizados a datos de clientes bancarizados y fugas de datos de estos clientes quienes vieron afectada la confidencialidad de su propia información bancaria, al ser usada por terceros quienes publicaron en Internet estos datos en forma masiva. La respuesta fue clara, en términos de “seguir adelante con esta agenda”[3].

De esta manera, evidenciándose que se trataría de una política de Estado, por su tranversalidad en los gobiernos que la adoptan (Bachelet y Piñera) y los actores que participan en ella (Ejecutivo y Legislativo), se ha optado por avanzar en la implementación y profundización de los objetivos establecidos en la PNCS[4]. En este contexto, aun cuando no ha concluido el año y habiendo recientemente finalizado el primer mes de la ciberseguridad en Chile, es posible efectuar un  diagnóstico positivo en la materia.

Un primer argumento en este sentido se basa en la continuidad que se ha dado a la PNCS 2017, dándole la cualidad de política de Estado; es decir, con una perspectiva de mediano y largo plazo que trasciende el gobierno que la formuló. En efecto, se ha reconocido que mantener este documento permite ahorrar al menos dos años en política de ciberseguridad, pues crear uno nuevo de estas características requiere como mínimo ese período de tiempo.

Un segundo argumento, se relaciona con las acciones específicas desde el Ejecutivo en la materia. Entre las más importantes, destaca el envío del proyecto de Ley sobre Delitos Informáticos y la firma del Instructivo Presidencial que establece las obligaciones para los servicios públicos del Estado con la finalidad de robustecer los sistemas de ciberseguridad. Con relación al proyecto de ley mencionado, se trata de una actualización urgente, toda vez que el actual marco normativo establecido en la Ley 19.223 es del año 1993 y en los últimos 25 años se han producido importantes cambios en la materia, habiéndose detectado inclusive ilícitos producidos en el ciberespacio que no estaban tipificados como delito, por ejemplo, el ramsomware.

De esta manera, el proyecto enviado al Congreso Nacional contempla tres materias. En la primera tipifica y sanciona nuevos delitos informáticos. En la segunda, legitima al Ministerio del Interior y Seguridad Pública (MISP) para presentar querellas en caso de interrupción a servicios de utilidad pública por delitos informáticos. Además, establece el uso de técnicas especiales de investigación en casos específicos, entre otras medidas. En la tercera, tiene definiciones sobre el sistema y los datos informáticos idénticos al Convenio de Budapest (estándar usado en la Unión Europea) permitiendo, de este modo, dar cumplimiento a lo comprometido con la firma del Convenio sobre Ciberdelincuencia, lo que contribuye a que se participe activamente en la cooperación internacional asociada a la investigación y persecución de delitos transnacionales que usan como medio el ciberespacio.

Respecto al Instructivo Presidencial sobre ciberseguridad[5], este instruye la implementación de urgentes medidas, cuyo responsable directo es el jefe de cada servicio, las cuales corresponden a:

 

  • Designación de un encargado de ciberseguridad de alto nivel en cada servicio;
  • Aplicación y actualización de normativa técnica sobre ciberseguridad;
  • Medidas internas de ciberseguridad;
  • Revisión detallada de redes, sistemas y plataformas digitales de funcionamiento crítico, especialmente aquellos que cuenten con infraestructura crítica de la información, según lo establezca el Ministerio Secretaría General de la Presidencia;
  • Vigilancia y análisis del funcionamiento de la infraestructura tecnológica de los órganos de la Administración del Estado;
  • Reporte obligatorio de los incidentes de ciberseguridad;
  • Respuesta a incidentes de ciberseguridad por los órganos de la Administración del Estado; y
  • Gobernanza transitoria de Ciberseguridad (GTC).

Esta última medida requiere una explicación adicional. Mientras se dicta una normativa que establezca la arquitectura de la ciberseguridad en Chile, como asimismo el rol y ubicación en la administración pública del máximo responsable de ella, es nombrado un Coordinador del Sistema Nacional de Ciberseguridad como encargado de articular el plan de acción para implementar la PNCS que dependerá del MISP. Junto a lo indicado se contempla la creación de centros de respuesta ante incidencias informáticas (CSIRT), los cuales se articularán en torno al:

 

  • MISP, con un Centro de Coordinación de Entidades de Gobierno y Sector Público, que además realizará las funciones de Centro Nacional de Incidencias Informáticas;
  • Ministerio de Hacienda, con un Centro de Coordinación del Sector Privado para aquellos sectores estratégicos para los sistemas de información
  • Ministerio de Defensa Nacional, con un Centro de respuesta a Incidencias de Ciberdefensa.

Un tercer argumento se refiere a las acciones efectuadas desde el Legislativo en la materia desde donde se ha promovido la pronta promulgación de octubre como mes de la Ciberseguridad en Chile, convocando a responsables de la ciberseguridad de diferentes ámbitos de la actividad nacional para que den cuenta de las acciones que están tomando para fortalecer la autoridad de acuerdo a sus atribuciones y competencias; organizando actividades orientadas a sensibilizar sobre la importancia de la ciberseguridad en Chile; y apoyando actividades académicas y de la sociedad civil en la materia con la asistencia de Senadores y Diputados que han expuesto sobre el tema.

Un cuarto argumento está asociado a las acciones efectuadas desde la sociedad civil en la materia. Por un lado, continuando con actividades tradicionales que permiten reflexionar sobre los desafíos en materia de ciberseguridad, como por ejemplo, la Conferencia internacional “8.8” que anualmente desde 2011 se realiza en Chile y versa sobre seguridad computacional. También en esta categoría está la Cámara Nacional de Comercio (CNC) que en el marco del seminario “Ciberseguridad: visión de largo plazo, acción de corto plazo”, lanzó “una inédita guía digital gratuita, única en Latinoamérica, donde las pymes de nuestro país podrán evaluar sus niveles de ciberseguridad y recibir recomendaciones para agregar “capas” de seguridad a sus empresas”[6].

Un quinto argumento se relaciona con las crecientes actividades académicas que son realizadas a nivel universitario para sensibilizar sobre la importancia de este tema, promover una cultura de ciberseguridad y, muy especialmente, formar profesionales en este tema. Respecto a esto último destacan las diversas especializaciones a nivel de postgrado que proliferan en diversas instituciones. Asimismo, algunas entidades docentes además lo empiezan a contemplar como una formación específica de pregrado.

Un sexto argumento contempla el avance en mediciones internacionales sobre la ciberseguridad en las cuales Chile ha progresado en forma relevante. Por ejemplo, “el National Cyber Security Index (NCSI), preparado por la e-Governance Academy Foundation de Estonia,  mide la preparación de los países para prevenir amenazas a la ciberseguridad y la gestión de incidentes, es uno los indicadores de referencia en materia de seguridad cibernética a nivel global. En el indicador, Chile estaba en el puesto número 54, detrás de Panamá y Colombia en Latinoamérica. Sin embargo, con la actualización realizada este 4 de noviembre recién pasado, Chile sube hasta el lugar 33, avanzando 21 puestos, ocupando el primer lugar -de los once países analizados- en América Latina y el tercer lugar en el continente americano (después de Estados Unidos y Canadá)”[7].

Sin embargo, este positivo balance no impide identificar algunos desafíos a considerar para el futuro. Entre ellos destaca:

– En el mes de la ciberseguridad, contar con una instancia que permita centralizar e informar de las diferentes actividades que se organizan para evitar superposiciones no deseadas permitiendo, por un lado, contar con el nivel de convocatoria esperado y con los expositores necesarios. Por otro,  facilitar la asistencia a estas actividades por parte de los interesados sin tener que optar por alternativas mutuamente excluyentes. Considerar experiencias internacionales en esta iniciativa, en términos de cada año abordar un tema diferente en el “Mes de la Ciberseguridad” y en cada semana sean tratados tópicos diferentes relacionados con el tema seleccionado para ese año;

– Para el Ejecutivo, uno de los desafíos una vez promulgado el Instructivo Presidencial, es el efectivo logro de lo establecido en este, toda vez que ello ha ocurrido en el mes de Octubre y los servicios para implementar lo exigido pueden necesitar recursos que posiblemente no estén disponibles en forma inmediata y acceder a ello requiera tiempo adicional al establecido en el documento. Además, queda pendiente la tarea de establecer la normativa y arquitectura de la ciberseguridad en Chile, estableciendo su ubicación en la adminstración pública, atribuciones y competencias de su máxima autoridad, como asimismo, la identificación de las entidades que serán consideradas como infraestructura crítica de la información en los servicios públicos;

– Para el Legislativo, contar con una capacidad propia de asesoría técnica en ciberseguridad que les permita comprender la complejidad de las diferentes materias vinculadas -en forma implícita y explícita- al tema de la ciberseguridad para una adecuada legislación en la materia considerando las capacidades e intereses nacionales;

– Para la sociedad civil, ampliar el acceso a las actividades que se organizan, por ejemplo a regiones, desarrollando estas actividades físicamente en ellas o facilitando su acceso vía streaming cuando se están llevando a cabo;

– Para la academia, particularmente a nivel universitario, incorporar en la malla de la formación profesional al menos un curso optativo o de libre elección sobre ciberseguridad, ello no solo contribuirá en la generación de buenos hábitos de seguridad en el ciberespacio, sino además puede ser una manera de promoverlo a otros sectores de la población. También se enfrenta como desafío trabajar conjuntamente con el sector público y privado en la identificación de los peligros en el ciberespacio y los incidentes que ellos pueden generar. Se trata de un riesgo que obliga a usar todas las capacidades disponibles para evitar su ocurrencia o mitigar en caso de concretarse su materialización.  El incremento sostenido de ilícitos denunciados en Chile, nos alerta que se trata de un asunto prioritario para los ciudadanos y las autoridades. En efecto, ya en 2017 el Ministerio Público constataba esta evolución al consignar que en 2010 fueron registrados 5.449 casos de denuncias de fraude de tarjetas y, en 2016, la cifra se elevó a 57.552[8].

– Contemplar en las exigencias o medidas de ciberseguridad a todos los involucrados, toda vez que en la seguridad del ciberespacio aplica plenamente la frase “se está tan seguro como el eslabón más débil de la cadena”.

[1] HATHAWAY, Melissa. “Gestión del Riesgo Cibernético Nacional”. OEA. 2018. Búsqueda efectuada el 26 de octubre de 2018. Disponible en https://www.oas.org/es/sms/cicte/ESPcyberrisk.pdf

[2] “Estado de la Ciberseguridad en el Sector Bancario en América Latina y el Caribe”. OEA. 2018. Búsqueda efectuada el 26 de octubre de 2018. pp. 8. Disponible en http://www.oas.org/es/sms/cicte/sectorbancariospa.pdf

[3] MARUSIC, Mariana. “Ciberseguridad fijó agosto para entregar propuestas con miras a modificar legislación”. La Tercera, publicado el 12 de junio de 2018. Búsqueda efectuada el 26 de Octubre de 2018. Disponible en https://www.latercera.com/pulso/noticia/comite-interministerial-ciberseguridad-fijo-agosto-entregar-propuestas-miras-modificar-legislacion/202883/#

[4] Además, la PNCS contempla 41 medidas de política pública en el período 2017–2018 que permiten concretar en el cumplimiento de los objetivos señalados, involucrando directamente al menos a 11 entidades. Durante el primer año se cumplieron ocho metas, quedando como desafío continuar con su cumplimiento el 2018.

[5] Instructivo Presidencial sobre Ciberseguridad. 23 de octubre de 2018. Chile. Búsqueda efectuada el 26 de octubre de 2018. Disponible en https://www.ciberseguridad.gob.cl/media/2018/10/Instructivo-008-23.10.2018-Ciberseguridad.pdf

[6] “CNC LANZA INÉDITA GUÍA DIGITAL PARA EVALUAR NIVELES DE CIBERSEGURIDAD DE LAS EMPRESAS”. Publicado el 18 de octubre. Cámara Nacional de Comercio de Chile. Chile. Búsqueda efectuada el 26 de octubre de 2018. Disponible en https://www.cnc.cl/cnc-lanza-inedita-guia-digital-para-evaluar-niveles-de-ciberseguridad-de-las-empresas/

[7] “Chile sube al primer lugar de América latina en ranking internacional de ciberseguridad”. En: Noticias de Ciberseguridad., publicado el 5 de noviembre de 2018. Ministerio del Interior y Seguridad Pública. Chile. Búsqueda efectuada el 5 de noviembre de 2018. Disponible en https://www.ciberseguridad.gob.cl/noticias/chile-sube-al-primer-lugar-de-america-latina-en-ranking-internacional-de-ciberseguridad/

[8] CERNA, Tamara. “Fiscal nacional nombrará a 51 persecutores para enfrentar delitos informáticos”. En: Emol, publicado el 31 de julio de 2017. Búsqueda efectuada el 26 de octubre de 2018. Disponible en http://www.economiaynegocios.cl/noticias/noticias.asp?id=384021

Dejar una Respuesta