El reciente hackeo al Banco de Chile y ulterior robo de 10 millones de dólares tras el ataque informático, - más las posteriores filtraciones de datos de miles de tarjetas de crédito y que afectó transversalmente a diversas entidades bancarias -, llevaron a una conclusión única, tanto desde el mundo privado como desde el sector público: Chile está al debe en seguridad informática y los datos de las personas navegan por aguas tempestuosas.
En diferentes partes del mundo esta amenaza está regulada de diferentes maneras. En Chile tenemos 2 proyectos de ley en el Congreso sobre el tema, en la línea de lo que ha ido realizando la Unión Europea. En uno de ellos, se contempla la creación de más institucionalidad estatal, lo que se llamaría la Agencia de Protección de Datos Personales. ¿Podrá esta nueva institucionalidad cumplir los fines para los cuales se creará?
Tras las vulneraciones informáticas y dado que el Comité de Ministros para la Ciberseguridad (según la legislación vigente desde 2015, un comité de carácter permanente y “cuya misión es proponer una política nacional de ciberseguridad”) no se lo ha visto muy noticioso, el gobierno nombró a Jorge Atton como “asesor presidencial en ciberseguridad”.
Antes de que estos dos hackeos ocurriesen, se notaba preocupación desde el Ejecutivo, pero cuando ocurrieron los ataques a las instituciones bancarias, fue el Superintendente de la SBIF el que figurara como vocero. Luego se requería una presencia más institucional, desde el ministerio del Interior.
Así las cosas, el mencionado comité enviará, a finales de agosto, propuestas asociadas a medidas operativas y legislativas sobre la materia, lo que lleva retraso, especialmente cuando los países más desarrollados hace años que pusieron a la ciberseguridad como una prioridad principal en el desarrollo de políticas públicas relativas a diversas aristas. Más aún cuando las amenazas cibernéticas suelen evolucionar más rápido que las defensas que puedan generar los gobiernos en general.
La reacción del gobierno fue anunciar que enviará tres nuevos proyectos de ley al Congreso, con carácter de urgencia calificada de suma, que tipificarán nuevos delitos en materia de ciberseguridad, como introducir un malware en el sistema informático de un banco para robar dinero o la vulneración de los correos electrónicos.
Esto obligará a las instituciones y servicios definidos como “infraestructuras críticas”, cuyos activos son esenciales para el funcionamiento de la sociedad y la economía, a entregar información sobre los ataques que sufran. Esto último incluirá al sector público, pero también a los privados. De este modo, los tres mensajes se abocarán a una modificación a la ley de delitos informáticos, una ley marco de ciberseguridad y una norma sobre infraestructura crítica de la información.
Más allá de esto, es importante entender que esto se debe enfrentar como una estrategia nacional. En un paper de la OCDE sobre ciberseguridad, se resaltan algunos conceptos clave que no pueden ser dejados afuera.
Entre ellos, tener una sinergia de cooperación entre todos los entes involucrados, para evitar duplicar esfuerzos e información; reforzar la cooperación público-privada; mejorar la cooperación internacional; respetar los valores fundamentales, como la libertad de expresión, la privacidad y la libre circulación de información.
¿Podrá el gobierno seguir e implementar las bases mínimas necesarias para crear una estrategia nacional en ciberseguridad? Lo podremos analizar a finales de agosto, pero sus resultados finales serán medidos en el mediano plazo.
Desde Facebook:
Guía de uso: Este es un espacio de libertad y por ello te pedimos aprovecharlo, para que tu opinión forme parte del debate público que día a día se da en la red. Esperamos que tus comentarios se den en un ánimo de sana convivencia y respeto, y nos reservamos el derecho de eliminar el contenido que consideremos no apropiado