Nota realizada por EMOL
En marzo de 2023, los ciberataques se cuadriplicaron solo en dos semanas, una realidad que empujó a la creación de una nueva ley. Conoce los detalles.
El lunes se publicó la Ley Marco de Ciberseguridad, una normativa que dictará las líneas preventivas en los delitos de ciberseguridad, así como los protocolos para reportar y resolver las denuncias relacionadas con este tipo de delitos. Con esta normativa se crea la Agencia Nacional de Ciberseguridad (ANCI), que tendrá el rol de proteger los ambientes digitales, velando por el respeto del derecho a la seguridad de cada persona. Sin embargo, esta nueva legislación no solo abarca delitos digitales, sino también, la vinculación que tendrá con la Ley de Delitos Económicos.
La Ley Marco de Ciberseguridad tiene como objetivo implementar estándares de ciberseguridad para mejorar la prevención, contención y respuesta en eventuales ataques cibernéticos. Esta normativa se basará en un sistema colaborativo entre lo público y privado, donde cada actor tendrá obligaciones y sanciones en caso de ameritarlo, y estos serán diferenciados por riesgo y tamaño. También se creará el Consejo Multisectorial sobre Ciberseguridad y un Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional).
La promulgación de esta ley es un hito para el país en materia de ciberseguridad, ya que Chile se convertirá en el primer país de Latinoamérica en contar con una institución con facultades fiscalizadoras, regulatorias y sancionatorias frente a la seguridad informática.
Implicancias de la ley y las cifras que definen el problema
Kenneth Pugh, senador (independiente, en la lista de Renovación Nacional) e integrante de la comisión permanente de Desafíos del Futuro, Ciencia, Tecnología e Innovación, menciona que la ANCI “será la encargada de regular las normas, protocolos y estándares que deberán cumplir los Organismos del Estado y las empresas privadas que sean “prestadores de servicios esenciales” (PSE) y en particular los “operadores de importancia vital” (OIV). La nueva ley se inspira en los objetivos de la normativa europea más actualizada, contenida en la Directiva NIS2”.
Pugh explica que la ley obligará a los organismos reguladores a reportar los incidentes al CSIRT Nacional, lo que permitirá dilucidar el alcance e impacto de los ciberataques en el país, ya que se podrá concentrar toda la información en un solo lugar y al mismo tiempo.
De acuerdo con la empresa de seguridad informática israelí, Check Point, en marzo de 2023, los intentos de ciberataques en Chile se cuadriplicaron solo en dos semanas. Además, informaron que, en la semana del 6 de marzo del año pasado, existe registro de 1.116 ataques por organización y en la semana del 20 del mismo mes, la cifra alcanzó 4.245 ataques.
Por otro lado, Pugh señala que los ciberdelitos más comunes son:
- “Ataques de Phishing”, que ahora con apoyo de la Inteligencia Artificial se generan correos idénticos con enlaces a sitios maliciosos que descargan “Malware” que toma control de los computadores.
- Suplantación de Identidad para obtener acceso ilegítimo a sistemas.
- Empleo de Ransomware para secuestrar digitalmente los servidores y equipos de organizaciones, encriptando la información en sus discos duros y pidiendo un rescate para liberar las claves.
- Ataques de Denegación de Servicio (DDoS) que saturan y bloquean el tráfico de la red internet a sitios web.
El senador estima que con esta nueva ley existirá “un gran cambio cultural que significará avanzar en la preparación y planificación para enfrentar este tipo de ataques, anticipándose a ellos, resistiendo todos los días, recuperándose si ocurriera una explotación de vulnerabilidad y finalmente adaptándose en un escenario en constante cambio”.
Efectos y desafíos
Luis León, Business Development Manager de Security Advisor, comenta que el mayor desafío radica en la complejidad de coordinar múltiples actores en un solo proceso, junto con concientizar y capacitar en ciberseguridad, y asignar los recursos necesarios para alcanzar metas y objetivos establecidos.
El experto señala que para abordar esto, “es crucial considerar la creación de la ANCI para garantizar el cumplimiento de la ley y las sanciones asociadas, mediante el desarrollo de regulaciones correspondientes y la colaboración entre el Gobierno y el sector privado. La capacitación y concientización en ciberseguridad es fundamental, involucrando a las personas para que entiendan mejor su papel en las organizaciones y comprendan el impacto de sus acciones en los riesgos cibernéticos”.
Asimismo, añade que “la escasez de profesionales y habilidades técnicas para abordar la ciberdefensa presenta un desafío considerable, que requiere políticas educativas para cubrir esta brecha de recursos. La estrategia de ciberdefensa y la infraestructura tecnológica necesaria deben ser prioridades para las organizaciones, lo que implica redefinir prioridades y gestionar limitaciones presupuestarias. La coordinación entre el Gobierno, el sector privado, la sociedad y las personas será fundamental para implementar con éxito esta ley marco”.
