Estudio sobre ciberseguridad: instituciones del Estado fueron las más expuestas a ataques críticos a sus sistemas en 2022
Nivel4, consultora local que ha asesorado a más de 120 clientes y opera en cuatro países de la región, levantó información por sectores de la economía, revelando que los mejor preparados frente a vulnerabilidades críticas el año pasado fueron los de salud y financiero. Ven que como país, en general, “nos falta harto” por avanzar y piden acelerar el debate de un proyecto de ley que se tramita en el Congreso.
El año 2022 fue complejo para la ciberseguridad estatal. No solo ocurrió el hackeo que afectó al Estado Mayor Conjunto, que expuso miles de documentos reservados y secretos de la seguridad nacional chilena. También el Poder Judicial fue atacado en septiembre, en un caso que afectó a la Corte de Apelaciones de Santiago. Y luego el Sernac tuvo su propio episodio, donde por casi dos semanas sus sistemas estuvieron secuestrados por hackers.
Se trató de incidentes que reflejaron la vulnerabilidad crítica a la que estuvieron expuestas distintas reparticiones del Estado, según revela el reporte anual 2022 de Nivel4, una consultora chilena en ciberseguridad con ocho años de trayectoria, cofundada por Fernando Lagos y Hernán Moller, expertos en el denominado ethical hacking, o hackeo ético, práctica que consiste en realizar testeos voluntarios de los sistemas de seguridad cibernética para detectar áreas de mejora.
Según el informe, que además clasifica las vulnerabilidades encontradas en las distintas industrias productivas del país, entre las 12 entidades gubernamentales examinadas -de las cuales cinco son clientes de Nivel4- el 6,18% de las vulnerabilidades detectadas fueron calificadas como críticas.
En palabras de Hernán Moller, se trata de vulnerabilidades que importan “riesgos inminentes”, las que, de ser divulgadas o detectadas por cibercriminales, suponen potencialmente robo o modificación de datos, o la destrucción de información.
“Son todo tipo de organización. Ministerios, organizaciones gubernamentales, etc. Es bien variado. Pero es algo que se repite y lo hemos visto en varias organizaciones gubernamentales, en que los números no cambian mucho”, detalla Moller.
En el siguiente nivel de vulnerabilidad, considerado como “alto”, el gobierno concentra un 13,48% de las amenazas detectadas en dicha categoría, siendo el tercer sector con más exposición, después de la industria de seguros y de salud (ver tabla).
- Porcentaje de vulnerabilidades encontradas, clasificadas por severidad según CVSS score 3. clasificadas por industria
Industria | Crítica | Alta | Media | Baja | Informativa |
---|---|---|---|---|---|
Energía | 2,33% | 9,88% | 40,40% | 35,76% | 35,76% |
Financiera | 1,31% | 11,39% | 42,41% | 31,41% | 13,48% |
Gobierno | 6,18% | 13,48% | 37,65% | 38,76% | 3,93% |
Manufacturera | 2,84% | 6,82% | 48,30% | 33,52% | 8,52% |
Salud | 0,64% | 17,20% | 45,22% | 26,11% | 10,83% |
Seguros | 2,15% | 19,35% | 44,09% | 25,81% | 8,60% |
Tecnología | 2,99% | 10,45% | 52,83% | 25,07% | 8,66% |
Otros | 2,33% | 9,30% | 69,76% | 6,98% | 11,63% |
Total | 2,60% | 12,23% | 47,60% | 27,92% | 9,66% |
En contrapartida, el sector financiero presenta la menor exposición a las vulnerabilidades consideradas como críticas, ya que “es la industria que más hace pruebas, porque está obligada a hacerlas, por lo cual es el sector más fuerte que hay en casi todas las empresas de ciberseguridad en Chile”, apunta Moller.
Si bien sostiene que también “hay otro tipo de clientes como empresas forestales”, en general la preocupación de las industrias pasa por todas aquellas que buscan implementar transacciones de dinero, como empresas de pagos, seguros y salud.
Consultado sobre la exposición de organismos gubernamentales, Moller hace referencia a la dificultad de superar la “disponibilidad de la gente y muchas veces por temas políticos, en que es más importante otro tipo de cosas que la seguridad de los datos”.
“En ese sentido soy muy crítico, porque no le toman el peso a la protección de los datos. A pesar que muchos de ellos son clientes nuestros, siempre hemos sido críticos con que, si bien hacen actividades de ethical hacking, y cosas para demostrar cierta gestión sobre los datos, los tiempos que tienen para solucionar estas vulnerabilidades que son críticas son súper lentos, porque pasan por decisiones de arriba”, afirma Moller.
Respecto de si han tenido oportunidad de colaborar con el CSIRT, la agencia gubernamental de ciberseguridad chilena, que depende del Ministerio del Interior y Seguridad Pública, Moller señala que les han reportado vulnerabilidades en forma gratuita, “pero no tenemos servicios particulares con ellos”.
Consultada para esta nota, desde la cartera que lidera la ministra Carolina Tohá declinaron realizar comentarios hasta conocer los resultados del estudio de Nivel4.
Hasta más de 24 días para resolver los problemas
Otro de los hallazgos que realizó Nivel4 al mapear la respuesta de los distintos sectores e industrias del país, fue que los tiempos necesarios para resolver las amenazas más graves puede llegar a superar los 24 días. En promedio, las distintas organizaciones demoraron 24,2 días en mitigar o resolver las vulnerabilidades críticas, y 23,6 días las vulnerabilidades altas. En tanto, en las categorías baja y media, los tiempos de respuesta disminuyen a 8,9 y 15,4 días, respectivamente.
Moller comenta que las diferencias en los tiempos para dar soluciones a las vulnerabilidades, pasa por el compromiso de los cargos directivos más altos de las empresas para comprometer “apoyo de las gerencias y presupuesto para hacer las cosas”.
El reporte también mostró que, a nivel general, el 40,1% de las vulnerabilidades detectadas en los sistemas de empresas e instituciones del país corresponde a fallas en los mecanismos de protección, como contraseñas débiles, métodos de cifrado de datos obsoletos y una incorrecta validación de los datos que se envían a los servidores. Esto, ya que las organizaciones en su mayoría cuenta con sistemas de protección, pero son insuficientes o están mal configurados.
“La falla de mecanismos de protección es lo que más se repite en todos los sectores, no solo en la industria financiera, y pasa porque muchas veces adquieren algún producto y este falla por alguna razón. (...) En la medida que las organizaciones no cuenten con un apoyo de niveles gerenciales, desde el CEO de una empresa, pasando por el presidente y el directorio, si esa cultura de ciberseguridad no traspasa hacia abajo, las empresas van a seguir haciendo las cosas en la medida en la que puedan”, enfatiza Moller.
Proyecto en discusión
Desde Nivel4, también ven necesario avanzar en la regulación en ciberseguridad. Para ello, citan un proyecto de ley presentado el 15 de marzo de 2022, que corresponde a la administración anterior y que propuso una ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información. La propuesta se mantiene en discusión en las comisiones unidas de Defensa Nacional y de Seguridad Pública del Senado, y el Ejecutivo ingresó modificaciones en noviembre pasado. Desde entonces, el gobierno renovó seis veces la urgencia suma sobre el proyecto.
Moller remarca que la Comisión para el Mercado Financiero (CMF) mandata a los organismos que regula, como los bancos, a resolver rápidamente las vulnerabilidades críticas y altas, pero que en el resto de los sectores “depende mucho de las políticas que tenga cada organización”.
En ese sentido, advierte de la falta de capacitación a nivel general en las empresas y ve que como país “nos falta harto” para mejorar la protección en ciberseguridad.
“Nos falta harto como país. Si bien a nivel sudamericano estamos bien posicionados, hoy no somos los mejores. Hay países como República Dominicana y Costa Rica que invierten mucho más dinero que nosotros en estos temas, a pesar que la legislación no es tan fuerte como la que podemos tener nosotros. Si nos comparamos con EE.UU., estamos en pañales. Allá el tema está muy maduro y a las organizaciones se les exige que tienen que responder y transparentar cuando hay incidentes, porque todo esto sirve para que otras organizaciones se puedan proteger en el futuro. Aquí es muy difícil que una organización cuente que tuvo un incidente, cómo fue y qué hicieron para solucionarlo, porque se transparentan las debilidades que pueda tener. Y a nivel de imagen es malo. Entonces, en la medida que esas cosas no cambien (...) vamos a seguir avanzando, pero lento”, subraya Moller.
En su visión, hay instituciones y empresas que “todavía no dimensionan que los datos son críticos; muchas veces dicen que no tienen nada que ocultar, y así muchas veces esa información después se vende en internet, se hacen fraudes con eso y pasa que, muchas veces, hay gente que dice ‘me clonaron la tarjeta y no tengo idea cómo, porque no la he usado’. Pasa justamente porque hubo algún incidente en algún banco, se filtró información, se terminó vendiendo y alguien la compró y la utilizó. Eso todavía no se dimensiona aquí en Chile”, concluye.
Comenta
Por favor, inicia sesión en La Tercera para acceder a los comentarios.