La semana del 26 de septiembre fue crítica para el funcionamiento del Poder Judicial. Tras una semana que había estado marcada por el hackeo al Estado Mayor Conjunto (EMCO) -lo que implicó la filtración de cientos de miles de correos electrónicos y documentos reservados- la noche del domingo 25 de septiembre comenzaron a reportar problemas en sus propios sistemas. Ese día, particularmente desde la Corte de Apelaciones de Santiago, los funcionarios comenzaron a informar que no lograban acceder normalmente a sus computadores.

Se trató de un incidente de ciberseguridad que comprometió a un número menor de equipos con Windows 7 y 10, pero que los obligó a tomar una serie de acciones, pues no solo determinaron interponer una denuncia en el Ministerio Público por lo ocurrido, sino que también debieron realizar procesos de mantención y reforzamiento de la seguridad de los servidores, por lo que el jueves 29 tuvieron intermitencia en la página central del servicio.

Como indicaron, los computadores en cuestión sufrieron una infección ligada a una campaña masiva por ransomware, que es un tipo de programa malicioso que restringe el acceso a determinadas partes o archivos de un sistema. Si bien esto habría sido producto de un tercero, y de ahí la acción judicial, funcionarios del organismo coinciden en que también esto se produjo “porque había una pequeña puerta abierta a que así fuera”, ya que desde 2020 que Windows 7 no tiene soporte ni actualización.

De hecho, el 2 de enero de 2020 el Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno (CSIRT) -unidad que depende de Ingrid Inda, jefa de la División de Redes y Seguridad Informática del Ministerio del Interior-, emitió un reporte en que se daba cuenta del riesgo que implicaba mantener el uso de dispositivos con dicho sistema operativo.

Asimismo, hay voces que sostienen que el hackeo a EMCO también era evitable, dado que se produjo por una vulnerabilidad que afecta a diversos productos de Microsoft y que había sido reportada por CSIRT el 13 de julio de 2021. Desde esa fecha, como se desprende del documento, están disponibles las actualizaciones que “parchaban” la deficiencia, y por tanto, hay quienes indican que se pudieron tomar acciones previas. Eso sí, aquello deberá establecerse en medio de la indagación que lleva adelante la Justicia Militar, puesto que los hackers pudieron haber ingresado al sistema mucho antes de la liberación de los mails.

De acuerdo con los datos que reporta la mencionada división, en lo que va de este año se han emitido 170 informes de vulnerabilidad similares a los que dieron pie a los incidentes registrados en el Poder Judicial y de EMCO. Entre ellos se advierten avisos, por ejemplo, relacionados con fragilidades en WhatsApp y Android.

El grueso de las alertas del Equipo de Respuesta en relación con entidades públicas se refiere a vulnerabilidades que afectan a páginas web. De hecho, de los 17.496 incidentes de seguridad informados hasta agosto, 12.136 (84%) corresponden a situaciones de este tipo y también pueden ser reparadas si se hacen las correspondientes actualizaciones.

Tipo de incidentes en entidades públicas y privadasEneroFebreroMarzoAbrilMayoJunioJulioAgostoTotal
Vulnerabilidad1.0121.0271.8641.8481.9891.8631.6271.95813.188
Código malicioso8102942103282745292
Información de seguridad de contenidos3045583136312698355
Fraude10311313213474789998831
Recopilación de información----1---1
Intrusión----2---2
Disponibilidad2911912452722571752211481.800
Intentos de intrusión4222621120
Contenido abusivo119--61220
Otros12012015315313478105124987
Total1.5691.5092.4922.4822.6022.2612.1072.47417.496

¿Cuál es la realidad de la ciberseguridad en Chile?

Como aseguró el subsecretario del Interior, Manuel Monsalve, en la sesión especial desarrollada en el Senado el jueves 29 con motivo de la inauguración del mes de la ciberseguridad, septiembre fue un mes que recordó de manera “casi dramática” que es necesario elevar los estándares en materia de seguridad digital. Porque, por lo demás, reconoció que mensualmente Carabineros recibe 14,4 millones de ataques cibernéticos.

“Los resientes incidentes informáticos que han afectado hace un par de meses atrás al Servicio Nacional del Consumidor, al Estado Mayor Conjunto, al Poder Judicial, han dado cuenta una vez más las debilidades que múltiples organizaciones, públicas y privadas, tienen en materia de seguridad digital. El Estado entonces, tiene el deber, la obligación, de proteger la información que las personas le entregan, cuidando así la confianza de la ciudadanía”, dijo el subsecretario.

Pese a que los últimos hechos generaron gran alarma, el coordinador nacional de Ciberseguridad, Daniel Álvarez, recalca que la realidad nacional no está en niveles críticos. “Hemos tenido episodios, pero si uno mira, por ejemplo, la cantidad de organismos que existen en el Estado, y lo compara con el número de incidentes que hemos tenido, las cifras siguen siendo bastante bajas. Si uno mira la experiencia comparada, por ejemplo el caso de Argentina, donde tuvieron ataques al Poder Judicial seguidos y frecuentes, creo que no podemos calificar nuestra realidad como algo crítico. Sí es preocupante y se están tomando las medidas necesarias para mitigar al máximo los incidentes y sus riesgos asociados”, dice el abogado en conversación con La Tercera.

A su juicio, y conforme a la evaluación que han realizado diversos organismos como OEA, en el país tenemos un nivel de madurez mediano en ciberseguridad. ¿Qué significa esto? Según explica, que aunque contamos con un marco normativo todavía en desarrollo, hay capacidades técnicas y una oferta de educación, formación y capacitación en ciberseguridad. Álvarez agrega que “nos falta para alcanzar mejores estándares y una de nuestras carencias más importante es mejorar la capacidad del Estado y de los privados en la identificación y gestión de riesgos que significa la digitalización de nuestra vida cotidiana”.

Por lo mismo, es claro en que hay que avanzar en la creación de una Agencia Nacional de Ciberseguridad, que tenga facultades tanto sobre el sector público como el sector privado, con facultades normativas, de fiscalización y formación. Dicha entidad se crearía de la mano del proyecto de ley marco sobre ciberseguridad e infraestructura que ingresó el expresidente Sebastián Piñera el pasado 2 de marzo y que actualmente se encuentra en primer trámite constitucional en el Senado. La semana pasada fue aprobada en general en la Comisión de Defensa, por lo que ahora será el turno de la Comisión de Seguridad Pública.

Adicionalmente, Álvarez plantea que falta mejorar la dimensión preventiva de la ciberseguridad. “Esto implica, por ejemplo, tener políticas y prácticas muy claras respecto a la actualización de los software que se utilizan en el sector público o privado. Los programas suelen tener debilidades o errores que las mismas empresas desarrolladoras reparan e informan al público. El desafío es simple: actualizar siempre”, detalla agregando que también se requiere mejorar la capacitación de los usuarios vía campañas comunicacionales.

Pese a la visión más bien optimista del abogado, la postura de quien fuera uno de sus antecesores en el cargo, Jorge Atton, es bastante más crítica. Atton comenta que los sucesos que se observan en Chile cada vez son más graves y obedecen a que simplemente nos hemos ido quedando atrás en materia de ciberseguridad, pese a que se ha buscado la digitalización en términos generales.

“Hay que ser francos. Estamos entre los países más atrasados dentro de Latinoamérica respecto a nuestra legislación y capacitación. No se ha tomado conciencia de lo crítico que puede ser esto. Nos hemos perdido en conversaciones que no son importantes, pero espero que ahora se pueda avanzar rápido y una buena señal es lo de la Agencia Nacional de Ciberseguridad”, dice la exautoridad.

Si bien en 2016 Chile suscribió el Convenio de Budapest -el primer tratado internacional sobre delitos cometidos a través de Internet y otras redes informáticas- recién en 2018 se presentó el proyecto sobre delitos informáticos que dicho pacto comprometía, promulgándose el primer semestre de este 2022.

Esa ley, agrega Atton, existe en países de la Unión Europea desde hace 10 años, por lo que ya han hecho varias actualizaciones. A su juicio Chile recién está dando sus primeros pasos hacia una mayor protección. En el mismo sentido, insistió en que se requiere dar urgencia al proyecto de ley que moderniza el cuerpo legal sobre protección de datos personas, que data del año 1999. Esa iniciativa aún tiene camino por delante porque a pesar de que se presentó hace años, aún se encuentra en segundo trámite constitucional en la Cámara de Diputados.