¿Cuál es la ley de ciberseguridad en Chile?
El 12 de diciembre de 2023, tras más de un año de debates en el Congreso, el Senado de Chile emitió la última aprobación necesaria para establecer la Ley Marco de Ciberseguridad en Chile e Infraestructura Crítica de la Información. La misma fue presentada en el Boletín 14847-06 y fue promulgada por el presidente Gabriel Boric y publicada en el Diario Oficial el 8 de abril de 2024, cumpliendo así todas las etapas burocráticas establecidas
En términos generales, la Ley propone principios y normativas que permiten establecer regulaciones y coordinar acciones en torno a la ciberseguridad. Esto integra tanto a los organismos del Estado como a particulares y las relaciones entre ambos actores de la sociedad. Además, impone una base desde la cual se construyen estrategias para prevenir, contener y mitigar los incidentes provenientes de ataques cibernéticos a partir de entes creados específicamente para ejecutar estas tareas.
Esta medida llega en un momento clave para el país porque, según el último Reporte de Ciberseguridad de Entel Digital, en 2023 Chile pasó del séptimo al cuarto lugar entre los países con más ciberataques del país. “Brasil fue el país con más de estos cibercrímenes, registrando 63 incidencias de Ransomware, seguido por México y Argentina (44 y 23, respectivamente). Mientras tanto, En 2023, Chile se posicionó como el cuarto país con más ciberataques en la región, registrando un total de 21 incidentes y un promedio de 1,9 incidencias por mes, casi el doble de los 11 incidentes en 2022 y 3 veces más que en 2021, con 7 incidentes reportados.
Establecimiento de la Agencia Nacional de Ciberseguridad según la Ley Marco
La Ley marco de ciberseguridad establece que el organismo encargado de hacer cumplir el marco regulatorio y ejecutar las acciones establecidas para alcanzar los objetivos planteados es la Agencia Nacional de Ciberseguridad (ANCI). Para esto, se le concede personalidad jurídica y patrimonio propio, además de ser considerado un ente descentralizado cuya funcionalidad es tanto técnica como especializada. De esta manera, podrá asesorar al presidente de la nación en temas de seguridad digital a través del Ministerio del Interior y Seguridad Pública.
La ubicación oficial de la ANCI será en Santiago, aunque podrá contar con dependencias en distintas regiones del país de ser necesario. Por otro lado, según destaca el marco normativo, deberá colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad.
Finalmente, la Ley establece que la Agencia será liderada por un Director o Directora Nacional que tendrá las facultades necesarias para representar al ente tanto legal como judicialmente. Esta persona debe ser designada conforme a las normas del Sistema de Alta Dirección Pública establecidas en la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos.
Historia de la aprobación de la Ley Marco
El recorrido para llegar a la aprobación de la Ley ha sido extenso. El proyecto original, presentado en 2022 por el entonces presidente Sebastián Piñera, fallecido en el 6 de febrero de 2024, contaba con 41 artículos y varias disposiciones transitorias. Con los debates llevados a cabo en el Congreso de la Nación se amplió a 48 artículos en el Senado y finalmente a 55 en Diputados (más seis transitorios).
El paso importante para que finalmente se apruebe la Ley se dio en abril de 2023, cuando las Comisiones de Defensa y Seguridad -en un trabajo en conjunto- concluyeron un estudio de viabilidad para la creación de la ANCI. Al tener el visto bueno de ambas comisiones, el proyecto pasó a la Comisión de Haciendo para terminar de ajustar los detalles bajo el compromiso de despachar la iniciativa en no más de 75 días.
Finalmente, se tardó un poco más de lo esperado en dar la aprobación final a la Ley, pero en diciembre pasado pudo lograrse. En ese sentido, vale destacar que desde el Comité Interministerial sobre Ciberseguridad (CICS) aseguran que llegar a este punto fue un trabajo continuado de los últimos tres presidentes del país.
“La Política Nacional de Ciberseguridad, elaborada en el gobierno de la presidenta Michelle Bachelet, fijó los lineamientos políticos del Estado de Chile para el resguardo de la seguridad de las personas y de sus derechos en el ciberespacio. En el gobierno del presidente Sebastián Piñera, se confirmó la PNCS como una política de Estado, avanzando en su implementación, incluyendo la presentación de este proyecto de ley marco sobre ciberseguridad que hoy comenzamos a revisar”, subrayan en el ente. Y continúan: “El programa del presidente Gabriel Boric propuso la implementación robusta de la Política Nacional de Ciberseguridad, que debe necesariamente estar orientada hacia la protección de los derechos fundamentales de las personas”.
Objetivos, alcances e impacto de la Ley Marco
Cuando el expresidente Piñera divulgó públicamente el proyecto que finalizó con la Ley marco de Ciberseguridad, todos los sectores políticos ya estaban de acuerdo en que la creciente digitalización del Estado genera beneficios para los ciudadanos, pero también aumenta los riesgos de sufrir ataques virtuales. En ese sentido, el principal objetivo de la Ley es crear un marco que permita gestionar los riesgos e implementar los estándares más altos, desarrollar confianza y seguridad tanto en las instituciones públicas como en las privadas.
“Se busca brindar a las personas un nivel de seguridad que considere las experiencias y más altos estándares del ámbito global, con el objeto de permitir el desarrollo de sus actividades personales y sociales, junto con el ejercicio de derechos fundamentales como la libertad de expresión, el acceso a la información, la protección de la vida privada, el tratamiento y protección de datos personales y la propiedad”, destacaron las autoridades a cargo del proyecto.
En lo que respecta a entes estatales, la Ley alcanza a los Ministerios, las delegaciones presidenciales regionales y provinciales, los Gobiernos Regionales, las Municipalidades, las Fuerzas Armadas, de Orden y Seguridad Pública, las empresas públicas creadas por ley, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa. Además, las disposiciones de esta Ley serán aplicables a las empresas del Estado y sociedades en que éste tenga participación accionaria superior al 50% o mayoría en el directorio.
Por otro lado, se dejó establecido que la Ley se aplicará a las instituciones que presten servicios calificados como esenciales y a aquellas que sean calificadas como operadores de importancia vital.
“Son servicios esenciales aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional; los prestados bajo concesión de servicio público; y los proveídos por instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales, servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos; y la producción y/o investigación de productos farmacéuticos”, afirma el texto aprobado en el Congreso.
Finalmente, los especialistas en ciberseguridad que participaron del desarrollo de la Ley Marco aseguran que su correcta aplicación tiene impactos sociales, en la seguridad y en el orden público. Además, genera mejores condiciones para el cumplimiento de las funciones del Estado y crea un marco de respuesta que resulta beneficioso para mitigar las consecuencias ante un posible ciberataque que se pueda llegar a sufrir.
Obligaciones y responsabilidades para instituciones públicas y privadas
Las instituciones públicas y privadas alcanzadas por la Ley marco de Ciberseguridad, y todas aquellas que se puedan sumar en el futuro debido a que cumplen con los requisitos establecidos, tienen ciertas obligaciones y responsabilidad que deben cumplir.
Por un lado, hay deberes generales entre los que se encuentran la aplicación de manera permanente de las medidas para prevenir, reportar y resolver incidentes de ciberseguridad. Estas medidas podrán ser de naturaleza tecnológica, organizacional, física o informativa, según sea el caso. “El cumplimiento de estas obligaciones exige la debida implementación de los protocolos y estándares establecidos por la Agencia, así como de los estándares particulares de ciberseguridad dictados de conformidad a la regulación sectorial respectiva”, destaca el marco normativo.
Por otro lado, hay varios deberes específicos entre los cuales hay algunos de especial relevancia y que se detallan a continuación:
- Implementar un sistema de gestión de seguridad de la información continuo con el fin de determinar aquellos riesgos que puedan afectar la seguridad de las redes, sistemas informáticos y datos, y la continuidad operacional del servicio. Este sistema deberá permitir evaluar tanto la probabilidad como el potencial impacto de un incidente de ciberseguridad.
- Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de seguridad de la información, de conformidad a lo que señale el reglamento.
- Elaborar e implementar planes de continuidad operacional y ciberseguridad, los cuales deberán certificarse y deberán someterse a revisiones periódicas por parte de los sujetos obligados, con una frecuencia mínima de dos años.
Modelo de gobernanza y principios rectores
Uno de los principales atributos de la Ley marco de ciberseguridad en Chile es instaurar un modelo de gobernanza que explicita con claridad cuáles son los estándares en ciberseguridad que deben alcanzarse para garantizar el buen funcionamiento de los sistemas y cómo mitigar riesgos en caso de sufrir brechas. Además, insta a los organismos a mantenerse actualizados en esta área ya que la defensa de los procesos digitales es una actividad que muta constantemente y no puede ser estática.
En esa línea, una de las principales tareas para garantizar esta gobernanza es la realización de campañas públicas para mantener al tanto a la ciudadanía de las actividades realizadas. Además, esta difusión de información es crucial para que los propios ciudadanos chilenos conozcan cuáles deben ser los mecanismos de ciberseguridad en su vida cotidiana y cómo pueden mejorarlos.
Por otro lado, los principios rectores del modelo destacan que la colaboración público-privada debe ser una de las bases para la construcción y extensión de los estándares mencionados. Esto significa que ambos sectores deben trabajar en conjunto para poder alcanzar los objetivos establecidos. Pero, además, significa que también recibirán sanciones en caso de no cumplir con sus obligaciones, porque esto generará necesariamente riesgos que buscan evitarse.
Para los expertos que trabajaron en la Ley, ya sea redactando el texto o asesorando a quienes lo hicieron, este modelo de gobernanza y la colaboración público-privada son los factores más efectivos a la hora de crear un entorno digital seguro y resiliente en el país.
Entes que aplican la Ley marco de ciberseguridad
La Ley crea ciertos entes que resultan vitales para la aplicación de las normativas, la ejecución de las iniciativas y el control de las instituciones. En ese sentido, el más relevante de todos ellos es la Agencia Nacional de Ciberseguridad, que se conocerá en forma abreviada como ANCI, y que tendrá facultades reguladoras, sancionadoras y fiscalizadoras.
Las principales características de la ANCI es que se trata de un servicio público, descentralizado y con personalidad jurídica y patrimonio propio. De esta manera se busca darle herramientas para que, a partir de conocimiento técnico y especializado, los profesionales que la conforman puedan asesorar al presidente en materia de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio y coordinará el actuar de las instituciones con competencia en materia de ciberseguridad. También será su responsabilidad, entre varias otras más, la protección, promoción y respeto del derecho a la seguridad informática y supervisará la acción de los organismos estatales en esta materia.
En esa línea, también se desarrolla el Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT). El mismo cuenta con centros multidisciplinarios que tienen por objeto prevenir, detectar, gestionar y responder a incidentes de ciberseguridad o ciberataques, en forma rápida y efectiva, y que actúan conforme a procedimientos y políticas predefinidas, ayudando a mitigar sus efectos.
El CSIRT es dependiente del Ministerio de Defensa y también es responsable de la coordinación, protección y seguridad de las redes y sistemas de servicios esenciales y operadores vitales para la defensa nacional. Además, la Ley habilita la creación de CSIRT sectoriales en caso de resultar necesario.
Finalmente, se deja establecido la creación del Comité Interministerial sobre Ciberseguridad. Según la normativa, este espacio tendrá por objetivo asesorar al Presidente de la República en materias de ciberseguridad relevantes para el funcionamiento del país.
Además, es su tarea coordinar la implementación de la Política Nacional de Ciberseguridad y apoyar las funciones de la Agencia Nacional de Ciberseguridad en lo que resulte necesario. Para esto, el Comité cuenta con una Secretaría Ejecutiva dentro de la ANCI que tiene como responsabilidad prestar apoyo técnico, administrativo y de contenidos para el desarrollo de las reuniones del Comité.
Enfoque en seguridad de servicios esenciales y Operadores de Importancia Vital (OIV)
La Ley hace especial énfasis en la seguridad de servicios esenciales y operadores de importancia vital. De hecho, se explicita que se aplicará a las instituciones que presenten estas características y destaca cuáles son.
Son servicios esenciales aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional; los prestados bajo concesión de servicio público; y los proveídos por instituciones privadas que realicen las siguientes actividades:
- Generación, transmisión o distribución eléctrica
- Transporte, almacenamiento o distribución de combustibles
- Suministro de agua potable o saneamiento
- Telecomunicaciones
- Infraestructura digital; servicios digitales, servicios de tecnología de la información gestionados por terceros
- Transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva
- Banca, servicios financieros y medios de pago
- Administración de prestaciones de seguridad social
- Servicios postales y de mensajería
- Prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos
- Producción y/o investigación de productos farmacéuticos
Vale aclarar que si bien ya están preestablecidos cuáles son los sectores considerados como esenciales, la ANCI tiene la capacidad de calificar otros servicios dentro de esta categoría mediante resolución fundada del o la Directora Nacional. Para que esto suceda, se debe demostrar que su afectación puede causar un grave daño a la vida o integridad física de la población o a su abastecimiento, a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de la sociedad, de la Administración del Estado, a la defensa nacional, o a la seguridad y el orden público.
Con respecto a los Operadores de Importancia Vital ocurre exactamente lo mismo y, además, la ANCI podrá calificar como operadores de importancia vital a instituciones privadas que, aunque no tengan la calidad de prestadores de servicios esenciales, reúnan los requisitos indicados en el inciso anterior y cuya calificación sea indispensable por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquellos indispensables o estratégicos para el país; o por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas.
Perspectivas Futuras y desafíos
Cuando el Congreso de Chile aprobó la Ley marco de ciberseguridad los legisladores dejaron en claro que aún resta trabajo por hacer. “Con este proyecto, llevamos ya 20 iniciativas despachadas de las treinta y una que hemos priorizado en conjunto con el Congreso. Es un avance muy importante, que esperamos que en los próximos días se vea incrementado con otros proyectos que están en su fase final de tramitación. Es decir que, aunque algunas de estas iniciativas aún no están listas para ser despachadas, todas están avanzando, todas han sido presentadas y en todas ellas hay razones fundadas para decir que van a ser despachadas por el Congreso”, resaltó la Ministra del Interior, Carolina Tohá.
Si bien los expertos aseguran que el marco regulatorio es un paso adelante en el camino correcto para robustecer la ciberseguridad en el país, aún resta trabajo por hacer a futuro ya que distintas modalidades cibercriminales, como el phishing, el ransomware y las brechas en IOT han aumentado durante los últimos años.
En ese sentido, los especialistas subrayan que deben continuar los esfuerzos e inversiones para mejorar la infraestructura, la conectividad y las condiciones de trabajo para los profesionales del sector.
Arquitectura ‘Zero Trust’, proteger los entornos en la nube y comunicar conceptos como la “Resiliencia en ciberseguridad” y “Ciber Agility” en la sociedad son algunos de los principales desafíos para los próximos años.
Solo así se podrá continuar construyendo un ecosistema, compuesto tanto por el sector público como el privado, que permita aprovechar todas las ventajas de la digitalidad sin sufrir las consecuencias que pueden traer los ciberataques.