Como es de conocimiento público, el 12 de diciembre recién pasado, Chile dio un avance importante en materia de Ciberseguridad. Desde marzo del 2022 se discutía el proyecto que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información (boletín 14847-06), la cual a casi dos años de su discusión en el Congreso ya se encuentra lista para su promulgación.
Impacto de la Ciberseguridad en la infraestructura crítica
Los que trabajamos en esta área esperábamos con gran expectativa esta ley, no solo porque establece una institucionalidad que hoy no existe en nuestro país -la Agencia Nacional de Ciberseguridad o “ANCI”-, sino porque también sienta las bases para que los órganos públicos y privados, cuyo funcionamiento continuo es vital para la buena marcha del Estado y la sociedad, implementen controles de manera permanente a través de un sistema estructurado de seguridad de la información, lo que es absolutamente necesario para prevenir la materialización de incidentes de ciberseguridad y ciberataques y abordar lo que significaría una contingencia por estas razones.
Ejemplo de impacto: “Dejar el Mundo Atrás”
La razón es sencilla: cualquier alteración o disrupción en los servicios que forman parte de esta infraestructura crítica en mundo globalizado y digitalizado, afectan directamente en la calidad de vida de las personas.
Y para ejemplificarlo voy a tomar de referencia una película, basada en una novela del escritor Rumaan Alam, que por hoy está de moda, porque una de sus protagonistas es la gran actriz Julia Roberts y está producida por el matrimonio Obama. Se llama “Dejar el mundo atrás”, y plantea cómo las vacaciones de una familia se tensionan cuando comienzan a vivir los efectos de una serie de catástrofes producidas por un ciberataque en Estados Unidos. Lo interesante de esta película es que se evidencia justamente los estragos de lo que significa que, a raíz de un ciberataque, se afecten servicios esenciales y la población no tenga acceso al uso de internet, transporte, salud, entre otros, lo que ofrece un relato inquietante y no auspicioso de la sobrevivencia de la humanidad.
Muchos críticos de cine calificaron esta película, como un thriller apocalíptico y futurista, no obstante, con lo que vemos en la actualidad, un panorama de amenazas cada vez más sofisticadas con la ayuda de la inteligencia artificial, el aumento de ciber ataques en la región, guerras entre naciones que se riñen en un entorno digital, la confianza ciega en la estabilidad de los servicios tecnológicos que se consumen y que han sido afectados, no dejo de pensar si la trama de la cinta podría ser un escenario plausible.
Volviendo a la próxima nueva ley, y si bien existen plazos para normar lo que será la administración de la ANCI –180 días desde la publicación de la ley- y la facultad para determinar cuándo entrarán en vigor las normas establecidas en la ley -no inferior a seis meses desde su publicación-, las organizaciones que conforme a su naturaleza ya saben que forman parte de esta infraestructura crítica, no pueden esperar. Hoy ya tienen información para cuestionar si el diseño de las medidas técnicas y organizativas implementadas le permitirían abordar un escenario catastrófico como consecuencia de un ciberataque o un incidente de ciberseguridad.
Desafíos actuales y futuros
El desafío para las organizaciones que forman parte de la infraestructura crítica, no está solo en ajustarse al cumplimiento de esta ley, sino como transformar estos escenarios de borde y hasta poco plausibles, en acciones concretas de prevención, contención y recuperación. Que la realidad no supere la ficción.