El mundo de la ciberseguridad ha estado tensionado durante el transcurso del presente año, y a la habitual e imparable introducción de malware (cada vez más sofisticado, en mayor número y desplegado en todas las plataformas sin excepción) este año han escalado las consecuencias de la pandemia del COVID-19.
En ese contexto, como suele suceder con grandes temas mediáticos, los ciberdelincuentes han usado el COVID-19 para llevar a cabo una gran campaña de ciberpandemia, para realizar todo tipo de ataques incluyendo la típica colección de noticias falsas y desinformación. Tampoco han faltado ataques directos contra empresas responsables de las vacunas.
Pero otro punto de interés han seguido siendo los datos, oro puro en la era tecnológica actual. No han faltado las violaciones y fugas de información en empresas grandes y pequeñas, causadas tanto por ciberataques externos (tanto iniciativas individuales, de grupos de hackers como incluso de organismos gubernamentales) como por prácticas poco deseables de las mismas.
Lo vivido por redes sociales, Microsoft, y empresas críticas como el principal oleoducto estadounidense, que a causa de un ciberataque en mayo dejó de funcionar, disparando la compra preventiva de combustible en el país, son ejemplos globales recientes que nos dan una campanada de alerta sobre el tema.
El escenario chileno
Y en este escenario, ¿cómo se está preparando Chile este año para prevenir estas amenazas cada vez más complejas para el funcionamiento del país?
En la cuarta edición del prestigioso ranking de ciberseguridad mundial Global Cybersecurity Index, desarrollado por la Unión Internacional de Telecomunicaciones, agencia de la ONU, el cual refleja los avances logrados en materia de ciberseguridad por los 194 estados miembros y dado a conocer en junio, Chile subió nueve lugares a nivel mundial, llegando al puesto 74, y dos en términos del continente americano, ubicándose séptimo en la región.
Pero ese dato (que dicho sea de paso, nos deja detrás de países como República Dominicana o Uruguay), no permite esconder el retraso de la legislación nacional en la materia, que el 81% de las empresas no cuentan con presupuesto suficiente para su estrategia de ciberseguridad, o que la mitad de las pymes sufrieron ataques informáticos el año pasado.
El senador por Valparaíso Kenneth Pugh, impulsor de una serie de iniciativas para la gobernanza digital, señaló a Infogate que en este escenario, con la pandemia de Covid como telón de fondo, «Chile se encontraba medianamente preparado para esta alta demanda digital, pese a ser uno de los países en América con la mayor penetración de internet móvil, pero no se encontraba preparado para que todas las personas pudieran operar en el ciberespacio con ‘Confianza Digital‘».
En ese contexto, explicó que «el primer requisito es contar con un robusto sistema de identidad digital, con segundos y terceros factores de autenticación. Dado no se contaba con esto, se tuvo que usar el método mas básico, pero al menos unificado, para acceder a una comunicación con el Estado a través de la Clave Única. Seguimos observando hasta la fecha largas filas en las oficinas comunales del Registro Civil para obtenerla y así poder postular a los múltiples beneficios económicos, por ejemplo, el IFE Universal que ha tenido el mayor alcance de personas, por lo que se puede decir que se ha avanzado en un cambio cultural al usar las aplicaciones de gobierno de modo transaccional, pero sin la suficiente seguridad. Es mas, el mismo sistema de identidad digital fue atacado por un joven chileno el año pasado, demostrando la vulnerabilidad del mismo, por lo que todos tuvimos que cambiar nuestras claves, que por lo demás es algo que tenemos que hacer frecuentemente».
La autoseguridad
Explica el senador que «la Ciberseguridad entonces parte de uno mismo, que usa Internet y que debe conocer todos los riesgos y amenazas que se enfrentan, partiendo primero por saber crear y mantener actualizadas claves de acceso robustas. Luego viene la capacidad para activar protecciones especiales (antivirus. Firewall, IDS, etc) e incluso detectar los intentos de fraude a través de mails, redes sociales, whatsapp e incluso la mensajería SMS del teléfono».
Este nivel de madurez, señala, «fue recientemente medido por la OEA usando el modelo CMM de la Universidad de Oxford, el que nos sitúa en un nivel 3 de madurez de 5 niveles, por lo que nos queda bastante que avanzar en el necesario para generar una nueva cultura de “seguridad digital”, tal como hemos desarrollado desde niños una cultura de “seguridad vial” para cruzar calles o una “cultura ante desastres”, para protegernos durante terremotos o tsunamis».
Impulso a nuevo sistema legal
Dado este escenario, el representante de la región de Valparaíso detalla que aquel «es precisamente el fundamento para haber instaurado por ley (la 21.113) el Mes Nacional de la Ciberseguridad en Octubre -al igual como acontece en la Unión Europea-, para actualizar anualmente los conocimientos, promover su difusión y realizar los ejercicios nacionales de Ciberseguridad, que se lleva haciendo desde el año 2018 cuando fue publicada en el Diario Oficial. Chile es el primer país de Sudamérica de contar con esta política pública, que se desprendió de la política nacional de ciberseguridad vigente del 2017.
Pese a lo anterior, Pugh reconoce que «donde estamos más atrasado es en impulsar el nuevo sistema de leyes que permitan reforzar esta nueva institucionalidad, la cual va desde la protección de los datos personales, hasta la protección de la infraestructura crítica».
Sin embargo, destaca que «el proyecto de ley más avanzado, ya en su tercer trámite legislativo es la nueva ley de delitos informáticos, que va a permitir incluso perseguir el Cibercrimen transnacional al incorporar la convención de Budapest. Luego viene el proyecto de ley que crea la nueva agencia nacional de protección de datos personales y que incluye todas las recomendaciones del reglamento europeo de protección de datos personales (GDPR), que lamentablemente continúa en su primer trámite legislativo en la Comisión de Hacienda del Senado, en espera de poder poner en votación la aprobación del informe financiero de Hacienda».
En su opinión, eso si, «el hecho más destacable de este año ha sido el anuncio presidencial del 1 de junio durante el mensaje a la Nación del Presidente Piñera, donde señala que ingresará un proyecto de ley para darle vida al Sistema Nacional de Ciberseguridad, el que contempla una ley de gobernanza de ciberseguridad y de protección de la infraestructura crítica de la información. Este ya se encuentra en su fase de borrador para ser aprobado por el comité interministerial de ciberseguridad, para ser ingresado luego al Congreso Nacional. En paralelo se avanza desde la Agencia Nacional de Investigación y Desarrollo para dar inicio al Instituto Nacional de Ciberseguridad (INCIBER) que permita coordinar el esfuerzo estratégico nacional de investigación avanzada en ciberseguridad, potenciar la transformación digital segura de las Pymes y MiPymes, contribuir a reforzar la concienciación nacional en ciberseguridad, desarrollar y evaluar los ejercicios nacionales para comprobar capacidades, junto con la necesaria estimulación para crear una nueva industria nacional de ciberseguridad».
Po otra parte, el senador nos recuerda que el próximo 22 de octubre «entra en vigencia la Ley 21.180 de Transformación Digital del Estado, dándonos un plazo de 5 años para lograrlo», recalcando que se trata de «un gran desafío que requiere al menos decidir cuál va a a ser la institucionalidad que tenga esa tarea, inclinándome en lo personal por una Agencia con cargos definidos por Alta Dirección Pública (ADP), pero más importante, definir una gobernanza de interoperabilidad siguiendo el modelo europeo de cuatro capas, que es la fundación segura de nueva “República Digital”, principio que debe quedar establecido en nuestra nueva constitución«.
Pugh concluye indicando en este punto que «si bien seguimos en un nivel de ciberseguridad que podemos clasificar entre “formativo” y “establecido” de acuerdo a las métricas de la universidad de Oxford, nos queda mucho para llegar a nivel 4 “estratégico” y definitivamente un salto mucho más grande para llegar al nivel 5 “Dinámico”, donde podremos enfrentar de forma individual y colectiva mucho mejor los desafíos que se nos presentan en el Ciberespacio».