Por Benjamín Mera, Director de CronUp Ciberseguridad.
Los recientes ataques informáticos sufridos por el Sernac, el Poder Judicial y el Estado Mayor Conjunto, nos llevan a reflexionar sobre el actual estado de la ciberseguridad en nuestro país. ¿Por qué sucedió esta crisis cibernética? ¿Qué incidió para que esto ocurriera? ¿De verdad estamos tan atrasados en materia de la defensa de información crítica en nuestras instituciones?
Pasemos revista: Chile cuenta actualmente con el mejor y más rápido acceso a Internet en la región y el mundo, lo que también ha permitido un acelerado desarrollo digital de las empresas y el Estado. A esto hay que sumar que posee uno de los ecosistemas de startups tecnológicas más importantes de Latinoamérica, junto con un potente desarrollo de aplicaciones dirigidas a la banca. Sin embargo, esa celeridad con la que ha progresado la transformación digital, no se aprecia en igual medida en el sector de la ciberseguridad, sobre todo en materia de organización, presupuesto, concientización y orquestación para la detección y respuesta ante incidentes cibernéticos.
En este sentido, el mundo privado está, por lejos, mucho mejor preparado y consciente respecto de la importancia de invertir en seguridad informática. Lo que no quita que esté libre de la amenaza del cibercrimen, pues varios incidentes han sufrido últimamente. En cuanto al Estado, lamentablemente vemos que en cierta forma está capturado por la burocracia a la hora de tomar decisiones en los procesos de adquisición y compra de servicios. Claramente, este punto quedó demostrado en las acciones que debió tomar el Estado Mayor Conjunto para resolver una falla de seguridad que fue informada con antelación, medidas que fueron precisamente entorpecidas por cuestiones administrativas.
Y este es sólo un ejemplo de muchos otros que se pueden encontrar en los organismos públicos.
Sin dudas, es un obstáculo que se debe corregir considerando que según el último informe de la OEA sobre ciberseguridad en la región, el impacto económico generado por un ataque cibernético va a sobrepasar fácilmente el 1% del producto interno bruto. Y en el caso de la infraestructura crítica, este podría llegar por sobre el 6% del PIB.
En junio fue publicada en el Diario Oficial la nueva Ley de Delitos Informáticos, que representa un paso hacia adelante respecto a lo que teníamos, pero esta misma ya necesita mejoras sobre la forma en que se reportan incidentes de seguridad en organizaciones privadas y estatales, por lo que se debe considerar también la opinión de diversos especialistas. Por otra parte, sería un gran avance que el Gobierno y el Congreso trabajen en conjunto la iniciativa del senador Kenneth Pugh para legislar sobre el proyecto de infraestructura crítica y la creación de una Agencia Nacional de Ciberseguridad.
Igualmente se debe propiciar un importante aumento del presupuesto para proyectos de seguridad informática y no solamente los que tiene que ver con compras de controles tecnológicos, sino de servicios y especialistas en la materia. Ahora, creer que únicamente esto resuelve la problemática, sólo da para generar una falsa sensación de seguridad, por lo que es importante tener una alerta temprana de riesgos cibernéticos, con revisiones continuas y persistentes que permitan detectar falencias en el momento en que éstas se produzcan, sin esperar a que sea el ciberdelincuente sea el que las detecte y utilice en su favor.
¿Qué lecciones debemos tomar como país, tras estas amenazas informáticas? En primer lugar, debemos tomar conciencia de lo frágil del ecosistema digital actual, sobre todo en organismos del Estado. Tenemos que reducir la burocracia en la toma de decisiones, aún más para la compra y adquisición de servicios que colaboren a éste a tener una mayor seguridad informática. Además, la ciberdefensa debe ser una iniciativa de promoción permanente por parte de las autoridades a los ciudadanos, empresas y organizaciones de todo tipo, con especial énfasis en la infraestructura crítica del país. Hay que tener claro que anticipar situaciones de riesgo y articular contramedidas siempre será muchísimo más económico que mitigar un incidente declarado.
Finalmente, debemos tomar conciencia de que es imposible proyectar un desarrollo digital en Chile, si no hay un proceso de ciberseguridad que le permita su proyección en el ciberespacio.