Desde 2018 se viene discutiendo una Ley Marco de Ciberseguridad, sin embargo todavía no se presenta un proyecto.
¿Qué tan en serio se toma la ciberseguridad en Chile? Un ataque de ransomware a BancoEstado, un hackeo a Gobierno Digital y un ataque a Cencosud con apenas un mes de diferencia entre cada uno pusieron al tema en la primera plana entre las noticias sobre la pandemia.
“Si miramos la ley de presupuesto, el Estado de Chile no se está haciendo cargo de la ciberseguridad”, dice Daniel Álvarez, abogado académico de la Universidad de Chile y socio en Ciberseguridad Humana. En 2020, el presupuesto de ciberseguridad se recortó casi 30% debido a la pandemia, mientras que para 2021 “solo hay un presupuesto muy parcial al Ministerio del Interior, pero no hay una mirada sistémica de que todo el Estado tiene que adecuar sus estándares a niveles internacionales”, señala el senador (PPD) Felipe Harboe.
“Es evidente que el Estado no le ha dado la urgencia necesaria a la creación de una institucionalidad robusta y definitiva”, dice Jessica Matus, abogada directora de la fundación Datos Protegidos. "Uno de los aspectos más urgentes a nivel legislativo es la Ley Marco de Ciberseguridad, que nos permitiría contar con un modelo de gobernanza y políticas públicas estables en el tiempo", explica.
El presidente Sebastián Piñera anunció esta ley en 2018 después del ataque al Banco de Chile, e insistió sobre la misma en 2019, pero todavía no hay novedades.
“Lamentablemente no ha avanzado lo que quisiéramos, el gobierno no ha enviado el proyecto al congreso y eso habla de un retraso o de falta de prioridades”, dice el senador Felipe Harboe.
El tema de ciberseguridad está repartido entre varios ministerios: Interior, donde está el CSIRT, Segpres, que maneja Gobierno Digital (donde está Clave Única) y Defensa. Esta dispersión genera que ocurran conflictos entre distintas oficinas y no haya un responsable claro cuando se producen incidentes de seguridad. “Se necesita la creación de una autoridad a cargo del tema. Puede ser una oficina chica, un servicio, no necesita una gran infraestructura, pero sí necesitas tener una voz a cargo de esto”, dice Daniel Álvarez.
Aunque existe la figura del “zar de la ciberseguridad” – cargo que lleva más tiempo vacante que ocupado desde que existe -, “es completamente inútil, no está declarado en la ley, por lo tanto es como una figura decorativa, básicamente es un asesor presidencial que hace las veces de coordinador, pero sin institucionalidad a cargo”, explica Álvarez.
“Seguir trabajando sobre estructuras o comisiones transitorias no permite un trabajo y una planificación a largo plazo”, señala Matus. Se requiere un cargo de dirección “apoyado por la institucionalidad que merece un asunto de Estado tan estratégico”.
Una ley no evitará que ocurran hackeos, pero sí entrega algunas herramientas para lidiar con ellos cuando suceden, como permitir la colaboración y compartir información con organismos internacionales, para recibir alertas de forma rápida.
“Si tienes una autoridad y una ley, los privados y los organismos van a estar obligados a notificar los incidentes. Eso es clave”, explica Álvarez. Alertar a tiempo permite que otros puedan investigar y tomar medidas preventivas y evitar ser hackeados también.
Por ejemplo en noviembre aparecieron múltiples reportes de que Cencosud fue víctima de un ransomware. Aunque la empresa lo negó, a los pocos días se filtró un archivo con 38 GB de datos obtenidos de la empresa.
“Aquí lo más delicado fue el intento de ejecutivos de la empresa de desmentir el ataque de cibercrimen que sufrieron, y después salieron a la luz pública información que da cuenta que era real. Eso es muy delicado, porque no solo las autoridades, sino los ciudadanos que son dueños de los datos deben tener toda la información disponible”, dice Harboe.
En este sentido, hay otra ley que está más cerca de aprobarse y que permitiría que se de a conocer información sobre hackeos cuando haya involucrados datos de personas: la ley de protección de datos personales, actualmente en tramitación en el Senado.
Esta ley obligará a las empresas a reportar cualquier vulneración a los datos que almacena la empresa, y no hacerlo puede acarrear multas de hasta US$300.000, o el 2% de las ventas de la empresa en el último año. El proyecto podría aprobarse durante 2021, indica Álvarez. “Esperaría que el gobierno le ponga una suma urgencia o una discusión inmediata, porque el estado general de la protección a los datos personales en Chile es super lamentable”.
Aunque el proyecto implica que las empresas van a tener que invertir para ordenar sus sistemas de tratamiento de datos, “la industria se dio cuenta que con el marco regulatorio actual no puede seguir porque pierde negocios, Chile no es puerto seguro para ningún país, porque la ley es muy mala”, dice el experto.
