Un marco legal para la ciberseguridad
11.10.2022
El riesgo de ciberataques no afecta sólo dimensiones particulares o a potenciales pérdidas de patrimonio, sino al conjunto del orden nacional, recuerda esta columna de opinión para CIPER, firmada por un especialista en el tema: «La ciberseguridad constituye una condición imprescindible para promover la transformación digital, así como para garantizar la libertad individual y el bienestar de la sociedad.»
En 2007, Estonia, una ex república soviética situada a orillas del Báltico, sufrió un ataque informático que hasta el día de hoy constituye un caso de estudio paradigmático en materia de políticas públicas de ciberseguridad. En el contexto de la «crisis del Soldado de Bronce» que enfrentó a dicho país con Rusia, diversos organismos del gobierno, el Parlamento, la Policía, la industria financiera, los proveedores de servicios de internet y medios de comunicación fueron blanco de un ciberataque a gran escala sin precedentes, que logró paralizar a Estonia durante semanas. Fue una especie de black-out digital. ¿Cuál fue el método empleado? Redes de bots saturaron y colapsaron diversos sistemas informáticos del país (incluyendo servidores web, servidores de correo electrónico, servidores DNS y enrutadores) con oleadas masivas de solicitudes automatizadas, tornándolos inaccesibles.
A raíz de este incidente, no solo Estonia, sino que también muchos países comprendieron (forzosamente) la magnitud del problema y el nivel de vulnerabilidad al que estaban expuestos. Entendieron que ciertas actividades que utilizan redes informáticas o entornos virtuales son de importancia vital para el normal funcionamiento nacional —por ejemplo, aquellas que permiten proporcionar servicios esenciales a la población— y que la ciberseguridad constituye una condición imprescindible para promover la transformación digital, así como para garantizar la libertad individual y el bienestar de la sociedad. En el caso particular de Estonia, el incidente dio paso una revolución en su aproximación a las tecnologías de la información, adoptando un enfoque integral de la ciberseguridad (materia donde hoy es un referente mundial, teniendo presente el Global Cybersecurity Index), el que a su vez ha dado sustento a la fuerte digitalización de sus sectores productivos y servicios públicos (Estonia muestra los puntajes más altos para servicios públicos digitales en el Índice de Economía y Sociedad Digital, que resume los indicadores sobre el desempeño digital de Europa).
Los espacios digitales se encuentran sujetos a vulnerabilidades de diverso tipo, las que pueden ser explotadas tanto por bandas criminales multinacionales como por otros Estados (cyberwarfare). Las debilidades en cuestión pueden afectar a uno o varios de los elementos necesarios para el funcionamiento seguro del ciberespacio, los cuales comprenden, además de la infraestructura y sistemas informáticos, las capacidades organizativas, operativas y técnicas necesarias para su operación. Así, los ciberataques pueden enfocarse en cualquiera de los eslabones que forman parte de un determinado sistema digital, sea a nivel de hardware, software o de las personas que los gestionan o utilizan.
En los últimos años hemos sido testigos de la proliferación de ataques informáticos perpetrados por grupos criminales altamente profesionalizados, sirviéndose de técnicas que muestran crecientes niveles de sofisticación. Esta profesionalización se aprecia en los programas maliciosos utilizados (malware), en los vectores desarrollados para su distribución, intrusión e infección, y en los mecanismos empleados para detectar y explotar las brechas de seguridad que existen en los sistemas de las potenciales víctimas. Lo anterior guarda directa relación con el objetivo que estas bandas persiguen con su actividad: la obtención de un provecho económico. Así, vemos un aumento (en diversos sectores, tanto públicos como privados) de los ataques de tipo extorsivo, denominados ransomware, que buscan bloquear el acceso a los sistemas y plataformas de una organización o afectar la legibilidad de sus bases de datos, para luego pedir un rescate a cambio de su liberación. Son verdaderos secuestros virtuales. Los evidentes problemas operacionales que este escenario genera, junto con el riesgo reputacional y de imagen, incentivan muchas veces el pago por parte de las víctimas de montos millonarios, evitando que el incidente salga a luz pública.
En Chile, los ciberataques sufridos recientemente por distintas entidades nacionales generan preocupación y alarma. Por una parte, poderes o servicios públicos altamente digitalizados (el Poder Judicial, el Servicio Nacional del Consumidor y la Comisión Nacional de Acreditación), que dependen en buena medida de los canales online o de sistemas informáticos para el cumplimiento de sus funciones, han visto explotadas ciertas brechas de seguridad presentes en sus ecosistemas digitales, interrumpiendo gravemente su funcionamiento o afectando la integridad de sus bases de datos. Por la otra, un componente fundamental de la Defensa nacional y del sistema de inteligencia, como el Estado Mayor Conjunto, se vio afectado por un acceso no autorizado a una gran cantidad de mensajes contenidos en correos electrónicos [ver «Hackeo masivo al Estado Mayor Conjunto expuso miles de documentos de áreas sensibles de la Defensa», en CIPER 22.09.2022], planteándose dudas sobre los niveles de criticidad de la información objeto de filtración y la potencial afectación de la seguridad del país.
Ante esta oleada de ataques, cabe también preguntarse: ¿en qué medida se han visto afectados organismos privados?; ¿cuál es el nivel del impacto entre las empresas de los ataques ransomware? No lo sabemos con certeza.
Este escenario no hace sino poner en evidencia la urgente necesidad de contar con una regulación adecuada, de carácter general, en materia de ciberseguridad. Así, resulta indispensable avanzar en la tramitación de la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, en primer trámite constitucional en el Senado. Este proyecto, siguiendo los mejores estándares internacionales en la materia, busca que nuestro país cuente con un modelo adecuado de gobernanza de la ciberseguridad, destacando la creación de una institucionalidad en la materia, en la que cobra un rol preponderante una nueva Agencia Nacional de Ciberseguridad. Asimismo, el proyecto viene a regular, entre otros aspectos: la gestión de los incidentes de ciberseguridad; las obligaciones a las que se encuentra sujetos ciertos actores clave (tanto órganos del Estado como ciertas entidades privadas consideradas como críticas), lo que incluye los deberes de notificación de incidentes y adoptar medidas de seguridad preventivas; la generación de normativa técnica; la creación de equipos de respuesta a incidentes de seguridad informática; y la incorporación de un régimen de infracciones y sanciones efectivo. Todos estos elementos son cruciales para el adecuado cumplimiento del marco propuesto.
Si bien existe espacio para mejoras, el proyecto apunta en la dirección correcta, en el sentido de ser concebido como uno de los pilares normativos sobre los cuales nuestro país puede crear un entorno digital seguro y responsable, sirviendo a su vez de base para lograr una transformación digital confiable y exitosa. Los últimos incidentes de ciberseguridad que han afectado al país ponen de manifiesto la necesidad de actuar con un sentido de urgencia. Esperemos que estos eventos constituyan nuestro punto de inflexión, y que no debamos sufrir la parálisis digital de algún sector antes de avanzar decididamente hacia la protección integral de nuestra seguridad informática.
