AWS, la empresa de servicios en la nube de Amazon, realizó hace unos días su evento anual re:Inforce 2024 en Filadelfia. Destacando su compromiso con la ciberseguridad en el ecosistema cloud y todo lo que incluye, hubo un concepto que se repitió en cada una de las presentaciones y encuentros con los representantes de la empresa: la cultura de ciberseguridad. Ya no es solo entregar soluciones o propuestas, sino cambiar “el chip” desde adentro de las organizaciones y de la propia ciudadanía. Ya no basta sólo con proteger.

Tanto el director de Ciberseguridad (CSO) como el CISO de AWS enfatizaron la relevancia de la cultura y de cambiar el mindset de cada uno de los integrantes de la sociedad, porque de nada sirve entregar productos, nuevos hardware o software si es que no se toma plena conciencia de los riesgos. No solo de los que pueda llegar a sufrir una u otra organización, sino cuán expuestas o vulnerables quedan nuestras propias empresas o prestadores de servicios cuando sufren algún tipo de incidente.

Chile enfrenta millones de ciberataques. Los estudios reportan más de cincuenta mil incidentes al mes, y un total de más de 6 mil millones en un año, o más de cuatro mil millones de intentos en solo seis meses. Estas cifras resaltan los riesgos omnipresentes en la red y subrayan la importancia crucial de proteger todo tipo de entornos, ya sean grandes o pequeños.

En internet, la confianza es un bien preciado y vulnerable. Ante estos desafíos, el país ha consolidado su posición en el área tras la promulgación del Decreto 533 en 2015, con el que se estableció el Comité Interministerial de Ciberseguridad. Tras eso, el órgano público, junto al mundo privado, han trabajado para subir las fronteras de la seguridad digital.

La implementación de la Política Nacional de Ciberseguridad 2017-2022 marcó un hito relevante en los esfuerzos locales por fortalecer la resiliencia digital. Entre los objetivos clave se encontraba el desarrollo de una infraestructura de información fuerte, capaz de resistir y recuperarse de eventuales incidentes cibernéticos. Además, esta medida pretendió fomentar el crecimiento de la industria nacional de ciberseguridad y fortalecer la participación del país en foros internacionales (como la Convención de Budapest).

Y distintas iniciativas de este tipo cimentaron el camino para la actualidad. En diciembre de 2023, se dio quizás el paso más relevante, con la aprobación de la Ley Marco de Ciberseguridad e Infraestructuras Críticas. La presente legislación establece la creación de la ANCI (Agencia Nacional de Ciberseguridad), con el mandato de supervisar y volver más fuerte la postura de seguridad digital del país. La Agencia no solo tendrá que imponer estándares rigurosos para los operadores en servicios esenciales (como el transporte y telecomunicaciones), sino también trabajará en cercana colaboración con el mundo privado para garantizar respuestas rápidas y efectivas a incidentes cibernéticos.

De acuerdo con el LATAM CISO Report 2024, “Preparación cibernética en los sectores públicos de América Latina: lecciones de la primera línea”, publicado por Digi-Americas y su LATAM CISO Network, en colaboración con la Universidad de Duke, Chile ha mostrado un avance significativo en los últimos años, pero todavía tiene notables desafíos frente a otros países de la región. Se ha mejorado la arquitectura e infraestructura de ciberseguridad, pero sigue rezagado en algunos aspectos. La falta de profesionales en el sector y las constantes amenazas demuestran la urgencia en el área. En caso de no revertirse eso, dice, Chile podría perder cerca de US$13 mil millones para 2030.

Distintas empresas participan de la alianza Digi Américas, entre ellas CISCO, AWS y Apple, y que reúne a líderes del sector. “Sin duda, deberíamos recordar hacer las cosas básicas bien hechas, y sin duda la nube tiene un papel fundamental”, dice Marcello Zillo, LATAM Cybersecurity Leader en AWS, en el marco del evento AWS re:Inforce 2024, que se realizó en Filadelfia. La nube, en la que se sostienen hoy en día las organizaciones, tiene el deber de mantenerse en funcionamiento y, para cumplir con esa tarea, sus sistemas tienen que procurar ser lo suficientemente seguros para responder o prevenir ante cualquier incidente. El camino fácil para prevenir, plantea el especialista, es hecer los parcheos y actualizaciones necesarias, entrenamiento de las personas en las empresas y de la población general, pero los gobiernos también deben realizar programas para apalancar ese conocimiento.

Pero así como la propia Ley Marco local establece que las empresas deben de notificar de este tipo de incidentes, Zillo dice que en la región ha mejorado el panorama de la colaboración entre empresas. En el pasado, dice, muchas veces se le consultaba a alguna compañía si tenía algún tipo de problema de seguridad y lo negaba. Lo mismo con otras, mientras que sí los había. Ahora, con la masificación de la inteligencia artificial, y particularmente con el uso de la IA generativa, los peligros se han más que multiplicado. Pero así también las soluciones. “La IA va a ayudar a los profesionales de seguridad a utilizar más la inteligencia humana... Es colaboración en el sentido de que los analistas, coordinadores, los responsables de seguridad van a utilizarla para esto”, apunta el brasilero.

“La colaboración es necesaria y la industria como un todo debe de reconocer su responsabilidad”, apunta Zillo, que especifica que incluso capacitan a personas que no trabajan necesariamente con AWS. “Eso porque son necesarias para la madurez del mercado como un todo: para los clientes, gobiernos, para que las cosas sigan evolucionando”, agrega. uir a acortar esa brecha potenciando sus propios programas o realizando talleres en alianza con diversas instituciones y tienen incluso sus propios cursos en línea. Por ejemplo, en Argentina, tienen un proyecto orientado a entrenar a más de cien mil personas de provincias y con el que buscan empujar así a la población.

“La colaboración es necesaria yla industria como un todo debe de reconocer su responsabilidad”, apunta Zillo, que especifica que incluso capacitan a personas que no trabajan necesariamente con AWS. “Eso porque son necesarias para la madurez del mercado como un todo: para los clientes, gobiernos, para que las cosas sigan evolucionando”, agrega.

La creación de la ANCI evidentemente supone nuevos obstáculos para el área. “Tomar la decisión de crear algo así es fundamental, porque va a ser un enfoque de transparencia y, con el tiempo, las compañías van a tener claro que si mi diseño es seguro y es más seguro que yo, se vuelve un diferencial competitivo”, plantea Zillo. Muchas veces, dice, ejecutivos dicen querer invertir millones para no tener más incidentes de seguridad, pero hay que prepararse y por eso los frameworks funcionan con detect, protect y respond. “Hay que responder a los incidentes y ahí la agencia va a ayudar para que el mercado empiece a moverse... el resto es una bola de nieve”, sugiere.

Si hay un ataque y se reporta, se detecta o genera un problema, se produce el impacto y es solo cosa de tiempo para que cambia la cultura, apunta Zillo. Pero también para mejorar los tiempos de respuesta, se requiere de colaboración entre el sector público y privado. Primero, sugiere el especialista, hay que definir qué es lo que es lo que se reporta. “”Hay que hacerlo, pero muchas veces no habrá datos suficientes para reportar si es un problema, de qué tamaño, cuánto abarca y otros etcétera... Por eso, hay que reportar en versión uno, dos y tres”, dice.

Otro de los puntos relevantes es hacer la diferencia entre evento e incidente. El primero, explica, es cuando no se sabe si existe un problema, pero se tiene que validad. Al momento de comprobarse, pasa a ser un incidente. “Muchas veces las empresas no tienen esto claro”, asegura. En ese momento, lo que suele suceder es que los CISO de las distintas compañías comienzan a compartir información y se genera lo denominado “Trading tale”, de compartir inteligencia y así crear una red de conocimiento frente a los eventuales peligros que rodean a las industrias.

La agenda digital local tiene como objetivo la digitalización del 95% de los servicios públicos para 2025 y el 100% para 2035. Esto significa un desafío mayor, que requerirá de constantes mejoras. “Los aplicativos tendrán que ser más seguros, las identidades digitales tendrán que utilizar mecanismos de autenticación, y así hay gobiernos que ya lo están haciendo y también empresas”, apunta Zillo, de AWS.

“Habrá que aclarar qué es infraestructura crítica, cuáles son las industrias y cuál es el alcance y no mantenerlo como un término fijo, porque va a ir evolucionando y se sumarán progresivamente nuevas industrias o mercados”, aclara el experto.

El CSIRT local trabaja desde ya con otros de distintos países de la región, pero deben existir prácticas que faciliten el flujo de información entre ambas y los privados deben también cumplir un rol en apoyar. Desde AWS, comenta Zillo, comparten muchos documentos con clientes privados y públicos de respuestas a incidente, de coordinación de respuesta de incidente en la nube, entre otros. Son documentos de entrenamiento, dice, porque el proceso de respuesta de incidente a la nube no es lo mismo que un proceso de respuesta de incidente on-premise.

“Esto también cambia y se puede automatizar, porque tenemos varios casos en que el tiempo de detección, mitigación y respuesta es uno solo: cuando se va a la nube se corta, porque está más automatizado”, afirma Zillo. Con la herramienta de AWS GuardDuty, por ejemplo, se puede monitorear en tiempo real el ambiente en la nube, detectando eventos y amenazas.

Constantemente, para fomentar la cultura de ciberseguridad en gobiernos, realizan table-top exercises, en donde se crea un ambiente en el que hacen ejercicios simulando ataques de ransomware. Ahí los empleados públicos pueden hablar, tomar decisiones y manejar la situación. “Se lo ofrecimos a gobiernos en toda América Latina, ya hicimos algunos, para ayudarlos a comprender la complejidad y platicar, tomas decisiones de qué hacer, de manera diversa, cambiar o no”, afirma. Han hecho ejercicios de este tipo con personas de otros sectores en Colombia, Brasil y Londres.