[:es]
La seguridad informática está hoy en el tapete no sólo en el sector privado, sino también a nivel de gobierno, que en este último trimestre incluirá una serie de proyectos para actualizar la legislación y crear una gobernanza que se haga cargo de un tema que llegó para quedarse.
Por Claudia Marín
En Chile se estima que la industria financiera es una de las que tiene más y mejor preparación para hacer frente a los ciberataques. No obstante, no ha sido suficiente y durante este año el sector ha debido atravesar difíciles momentos. En mayo, el Banco de Chile enfrentó un avanzado ataque informático que le costó el robo de US$ 10 millones y dos días con sus sistemas fuera de línea. Un virus que inutilizó temporalmente algunos de sus computadores y servidores fue un señuelo para que ciberdelincuentes transfirieran el dinero a cuentas en Hong Kong. Si bien la entidad aplicó diversos protocolos de contención y seguridad, el ataque demostró la sofisticación alcanzada por bandas internacionales de hackers, cuyas acciones eran impensadas en Chile hasta hace algunos años.
Más tarde, filtraciones de datos de tarjetas de crédito y nóminas de empleados afectaron entre julio y septiembre a prácticamente todos los bancos del país. A comienzos del mes pasado, por ejemplo, BancoEstado, Banco Falabella, Scotiabank, Security, BCI y en total 13 emisores locales reconocieron que algunos de sus clientes estaban en una lista de 426 tarjetas filtradas.
Aunque en estos casos la información vulnerada no salió de los bancos sino del servicio de casilla virtual en Miami de Correos de Chile –entregado a través de un proveedor internacional–, la preocupación por la seguridad de las instituciones del país pasó a ser un tema de Estado. Porque, además, otro sector que llama la atención en cuanto a sus resguardos es el de infraestructura crítica, en cuyas manos está el funcionamiento regular de un país, incluyendo servicios públicos, electricidad y transporte público.
“Muchos de esos sectores ya dependen de la tecnología y pueden ser objeto de ataques informáticos”, acota el director de Asuntos de Propiedad Intelectual y Seguridad Digital de Microsoft para Latinoamérica, Andrés Rengifo. Pero no son los únicos.
“Las empresas menos preparadas son las pymes, en particular aquellas que ven la tecnología como alejada de su problemática. Igual están expuestas, especialmente las del sector manufacturero con sus redes industriales y de producción”, analiza el CEO de NovaRed, Miguel Pérez.
Además, a nivel de inversión, falta mucho por avanzar: según datos de The Boston Consulting Group (BCG), en 2017 las empresas chilenas gastaron US$ 195,7 millones en ciberseguridad, lo que si bien significó un alza de 4,1% respecto de 2016 representa apenas el 0,07% del PIB nacional.
La brecha es amplia frente al 0,15% que invierten países como Estados Unidos, Europa (del Oeste), Japón, Canadá y Australia. Para 2019, sin embargo, la entidad proyecta que a nivel local este gasto llegue a US$ 205 millones.
Amenazas latentes
Cuando el sofisticado virus WannaCry afectó a instituciones de la talla del Servicio de Salud británico o de Telefónica, infectando redes de computadores para apoderarse de su información y luego cobrar un rescate por ella, Chile fue la tercera nación de la región más afectada, después de México y Brasil.
El nivel de vulnerabilidad del país es conocido a nivel internacional. De hecho, en 2017 el Índice de Ciberseguridad Global, elaborado por la Unión Internacional de Telecomunicaciones (ITU), ubicó a nuestro país en el lugar 81 de 165, por debajo de México, Uruguay, Brasil, Colombia, Panamá, Argentina, Ecuador y Venezuela, y en el penúltimo puesto entre los miembros de la OCDE. Una buena valoración del aspecto técnico, pero baja a nivel organizacional, es parte del diagnóstico del informe.
Los analistas están viendo cómo los ataques van en aumento. Según datos de Kaspersky Lab, presentados en agosto en Panamá, los casos de phishing (correos maliciosos) registrados en Chile en 2017 llegaron a 734.523, mientras que hasta julio de 2018, estas alertas ya sumaban 586.916. Lo que implica que se producen cerca de tres mil amenazas de este tipo al día.
A nivel de “criptomineros”, modalidad de ataque que busca utilizar equipos para la fabricación de criptomonedas y que pasó de 50 mil registros en la región el año pasado a más de 400 mil este ejercicio, en Chile se han contabilizado más de 20 mil infecciones sólo en el primer semestre.
Los atacantes pueden ser de distintos orígenes y tamaños, explica el socio de Ciberseguridad de Deloitte, Nicolás Corrado. Algunos pueden ser novatos, actores solitarios (lone wolf), grupos criminales, competidores, terroristas, agencias de estado o activistas.
“Muchos son soportados, financieramente pero no de manera oficial, por distintos gobiernos como Rusia, Irán y Norcorea, entre otros”, dice el especialista, lo que a su juicio hace que dichos grupos tengan motivos que puedan ir desde ciberespionaje corporativo o gubernamental, pasando por ganancias financieras, acciones disruptivas contra infraestructuras críticas o de negocios. También pueden buscar hacer “hacktivismo” o exponer a una organización.
Para el gerente de Desarrollo de Mercado de Intel en Chile, Vicente Millán, las motivaciones de estos delincuentes pueden ir desde medir sus habilidades informáticas, probando cuán vulnerables pueden ser las barreras de seguridad de las empresas, hasta aquellos que crean una aplicación maliciosa y la introducen en una organización o la hacen viral. Una tercera causa es el robo directamente de información o datos.
Cartas en el asunto
Hay consenso en que los últimos incidentes conocidos de ciberseguridad en la banca están despertando el interés de las empresas y del sector público por este tema, llevando al país a ponerse al día en varios temas en los que estaba rezagado. La preocupación es tal que derivó en el nombramiento del ex subsecretario de Telecomunicaciones del primer gobierno de Sebastián Piñera, Jorge Atton, como asesor presidencial en ciberseguridad.
De hecho, este fue uno de los temas que más sonaron en la última edición del Chile Day en Londres, en donde el ministro de Hacienda, Felipe Larraín, recalcó a la prensa que “no hay nadie que esté exento de esto. Lo importante es quién se prepara mejor. Tenemos que prepararnos para este nuevo tema que se ha instalado”.
Al respecto el senador Felipe Harboe, uno de los parlamentarios que ha promovido el tema de la seguridad informática en el último tiempo, reconoce que Chile ha avanzado “bastante” en la automatización de procesos y en la digitalización de servicios, pero apunta que esos saltos “no han ido acompañados de las iniciativas de ciberseguridad adecuadas. A medida que se aumenta la automatización y la digitalización, se requiere crear los soportes de seguridad apropiados para enfrentar las nuevas realidades del crimen y ahí, a mi juicio, Chile está bastante en deuda”.
En su opinión, los principales temas pendientes tienen que ver con la falta de institucionalidad para coordinar medidas y fijar estándares, así como con la carencia de capacidades técnicas en las entidades reguladoras para hacer auditorías de procesos y dimensionar las consecuencias de un ataque de ciberseguridad.
A nivel legislativo, por ejemplo, la Ley de Delitos Informáticos data de 1993, mucho antes de que surgieran las redes sociales y del impulso de la transformación digital que hoy está en curso.
“Tenemos un cuadro que es una especie de tormenta perfecta, por lo que se requiere pasar a una situación completamente distinta”, dice Harboe.
Por eso, el nombramiento de Jorge Atton apunta a dar mayor proactividad al trabajo en estos temas.
El encargo del presidente Piñera, dice el ex subsecretario, es agilizar los plazos de implementación de la Política Nacional de Ciberseguridad, elaborada en el gobierno anterior, y que considera crear la gobernanza necesaria para delimitar las responsabilidades en ciberdefensa –relacionada con la seguridad nacional– y ciberseguridad –orientada a los servicios del Estado y la seguridad de la información–, así como en lo relativo a la continuidad operacional de la infraestructura y los servicios críticos del país, en manos de privados.
Atton debe ocuparse de acelerar el tema normativo y, en el intertanto, de estructurar una gobernanza temporal para la materia. La propuesta del gobierno es crear tres centros de coordinación e implementación, uno que abarque la ciberdefensa –Ministerio de Defensa y Fuerzas Armadas–, otro que coordine la seguridad informática a nivel de las instituciones del Estado, dependiendo del Ministerio del Interior, y otro que apunte a los mercados privados, como telecomunicaciones, energía y financiero, relacionado con el Ministerio de Economía.
El área de Gobierno Digital, que depende del Ministerio Secretaría General de la Presidencia, estaría a cargo de las normativas para el sector público y las recomendaciones para los privados, a la espera de las nuevas legislaciones. En este ámbito, hay cuatro leyes fundamentales.
La Ley de Bancos, que toca temas de continuidad operacional, y la Ley de Protección de Datos Personales, que busca definir el marco jurídico en cuanto a la responsabilidad sobre la protección de información personal, son dos de ellas y ya están en discusión.
Al cierre de esta edición se esperaba que el gobierno presentara un proyecto que actualiza la normativa de delitos informáticos y para diciembre se proyecta ingresar una ley de ciberseguridad, que establecería la gobernanza definitiva y las responsabilidades de las distintas instituciones sobre la gestión de la seguridad informática en el país. “Este es un tema que no tiene colores políticos, por lo que espero que no se politice la discusión y que estos proyectos, al responder a una política de Estado, tengan un trámite lo más ágil posible, porque con eso Chile se está poniendo al día al tener una gobernanza y responsabilidades definidas respecto a cada uno de los sectores de la economía y del Estado”, dice Atton.
¿Y los privados?
Los incidentes de los últimos meses también movilizaron a las empresas. El Banco de Chile, por ejemplo, anunció la creación de una división de Ciberseguridad para enfrentar estos desafíos, mientras que el Banco Central decidió crear una gerencia de riesgo y una jefatura de ciberseguridad. Algo que está en línea con las recomendaciones que ha dado Amazon Web Services (AWS), una de las cuales es, justamente, “que las empresas deben asignar a una persona dentro de la organización que se encargue de tomas las medidas de seguridad y también dar acceso a los empleados a capacitaciones sobre cómo proteger los datos. Del lado de los gobiernos, se deben desarrollar políticas que incentiven que las compañías tomen estas medidas”, acota el gerente de Desarrollo de Negocios Sector Público de AWS para Latam, Abby Daniel.
Paralelo a los esfuerzos que están emprendiendo algunas empresas, se suma la creación de la Alianza Chilena de Ciberseguridad, que reúne a once instituciones de los ámbitos público, privado y académico, incluyendo a AmCham. Uno de los retos, dice su presidente Cristián Ocaña, es fomentar la colaboración y acabar con el “síndrome del llanero solitario”, a partir de una comunicación permanente entre los actores de las distintas industrias. Incluso entre empresas de la competencia, agrega, para que cada uno se cuide las espaldas, pero advierta al resto de potenciales riesgos y de cómo los están enfrentando. “Que se vulnere la seguridad de una institución es un riesgo para todos, por lo que es necesario estar coordinados como industria en protocolos y en el fortalecimiento del sistema”, comenta la gerenta de Riesgo de Transbank, María Mercedes Mora, para quien también es clave generar una cultura de seguridad.
Una recomendación esencial para las empresas parece ir de la mano con la información, con el hecho de entender el negocio y ver de manera ordenada cuáles son los riesgos de seguridad para realizar un plan de protección con un “norte” claro, analiza el gerente de Ciberseguridad de Cisco Chile, Walter Montenegro. Así, las medidas que se tomen pueden ser “planificadas y que las soluciones que se implementen, además de estar alineadas a las políticas de seguridad de cada compañía, sean integrables en su ecosistema a fin de ganar visibilidad, control y automatización de la seguridad”.
Y es que la clave de este tema va más allá de lo informático. Pasa por entender que una ciberamenaza apunta a la organización completa, impactando en sus beneficios e imagen, y tiene un lugar cada vez mayor en la matriz de riesgos de los países.[:]