El profesor de UEjecutivos de la FEN Universidad de Chile, José Antonio Lagos, destacó cuales son las ciberamenazas contempladas en la nueva Ley sobre Delitos Informáticos. Allí se incluyen los ataques de malware, de Hombre en Medio, a la cadena de suministro de software, e ingeniería social, junto a las amenazas persistentes avanzadas (APT), y la denegación de servicio distribuido (DDoS).
Según comentó José Antonio Lagos: “La nueva Ley 21.459 sobre Delitos Informáticos, publicada el pasado 20 de junio, establece normas y modifica otros cuerpos legales, con el objeto de adecuarlos al Convenio de Budapest, que es un acuerdo internacional que surgió para combatir el crimen organizado transnacional, específicamente en los delitos informáticos. Este establece una legislación penal y procedimientos comunes entre sus Estados partes”.
El académico explicó que la novedad en esta legislación es que, “moderniza la ley chilena que ya estaba vigente en tres títulos (secciones) y 21 artículos, donde se describen los diferentes delitos informáticos que se pueden cometer, considerando nuevos riesgos y ataques que no estaban contemplados en la normativa anterior”.
La actual ley tipifica ocho delitos informáticos, con sanciones que van desde multas hasta penas de cárcel. Entre ellos, se encuentra el ataque a la integridad de un sistema informático; el acceso ilícito; la interceptación ilícita; el ataque a la integridad de los datos informáticos; la falsificación informática; la receptación de datos informáticos; fraude informático; y abuso de los dispositivos.
El académico añadió que los ataques de ingeniería social funcionan manipulando psicológicamente a los colaboradores de una empresa, para que realicen acciones indebidas. Entre ellos, se encuentra el phishing y spearphishing y el Fraude al CEO o BEC (Business Email Compromise), que puede originar la captura de información (robo de credenciales), o el ingreso de algún tipo de malware.
Otro ataque que puede afectar la integridad de un sistema informático, son las amenazas persistentes avanzadas (APT), que requieren de atacantes sofisticados e implican grandes esfuerzos, por lo que los ciberdelincuentes se lanzan contra Estados, grandes corporaciones u objetivos muy valiosos.
Lagos detalló que las APT consisten en que “un individuo o grupo obtiene acceso no autorizado a una red y permanece oculto durante un período de tiempo prolongado, los atacantes pueden filtrar datos confidenciales, evitando que el personal de seguridad de la organización los detecte”.
Una amenaza que se vincula con la violación de la integridad de un sistema informático es la denegación de servicio distribuido (DDoS). En palabras del académico, su objetivo es abrumar los recursos de un sistema de destino y hacer que deje de funcionar, negando el acceso a sus usuarios.
También está la vulneración de la cadena de suministro de software, que es la red donde se encuentran todos los individuos, organizaciones y tecnologías involucradas en la creación y venta de un producto. Esta es otra amenaza relacionada a la nueva tipificación de delitos.
Por último, Lagos resaltó en qué consisten los ataques de Hombre en Medio: “Cuando los usuarios o dispositivos acceden a un sistema remoto a través de Internet, asumen que se están comunicando directamente con el servidor del sistema de destino. En un ataque de Hombre en Medio, los atacantes rompen esta suposición, colocándose entre el usuario y el servidor de destino”.
