Actualizaciones pendientes: la carrera por poner al día los sistemas anticiberataques

En su apuesta por revertir la fragilidad demostrada frente a los episodios de las últimas semanas, el gobierno enviará al Congreso tres proyectos de ley con suma urgencia, los que, además de establecer nuevos delitos en materia de ciberseguridad, obligarán a los rubros y servicios definidos como "estructura crítica" -tanto públicos como privados- a entregar información sobre los incidentes que puedan haberlos afectado y a mejorar sus estándares de protección.


Más de 14 mil millones de ataques informáticos fueron detectados solo durante el año 2017 a la red de comunicaciones del gobierno. Una cifra que ha ido creciendo de manera exponencial en los últimos años. En 2015, por ejemplo, la unidad de seguridad informática del Ministerio del Interior, a la que está conectada toda la red computacional del Estado, descubrió poco más de 159 millones de "patrones maliciosos de ingreso", como se denomina en la jerga técnica a los intentos de hackers de vulnerar la red gubernamental.

Algunos de esos incidentes tuvieron consecuencias muy serias. El peor de todos ocurrió a comienzos de 2015, cuando se produjo un temido DDoS (ataque de denegación de servicios distribuido). Esa vez, en forma simultánea, desde millones de computadores en el mundo, hackers se metieron a las webs de las reparticiones del gobierno chileno para solicitar información, lo que provocó la saturación y caída de todos los sistemas. El ataque fue tan masivo, recuerda Ingrid Inda, quien entonces era la jefa de la división de Seguridad Informática del Ministerio del Interior del gobierno de Bachelet, que la única solución fue pedir a las empresas de telecomunicaciones que desconectaran todo el tráfico internacional de datos en Chile.

Pero los ataques a los sistemas informáticos del gobierno, aunque ya suman más de una decena de miles de millones al año, representan apenas una pequeña fracción de los hackeos que ocurren en Chile. La mayor parte afecta al sector privado.

A fines de mayo, ciberdelincuentes vulneraron los sistemas del Banco de Chile y sustrajeron 10 millones de dólares desde las cuentas de la entidad financiera en Hong Kong. El robo cibernético más grande reportado hasta la fecha en Chile.

El miércoles 25 de julio pasado hubo un nuevo "incidente" que provocó pánico entre los chilenos tenedores de tarjetas de crédito y de débito. A eso de las 17 horas, un tuit alertó de la filtración de 14 mil tarjetas de 12 bancos y tiendas de retail. La información que difundió Shadows Brocker -aunque no se sabe si es una persona o un grupo de ciberdelincuentes, ni tampoco si son los mismos que se adjudicaron el ataque a la Agencia de Seguridad Nacional de Estados Unidos en agosto de 2016- incluía los números de tarjeta, el nombre del titular, el código de verificación y la fecha de expiración de la misma, es decir, todos los elementos necesarios para que cualquier persona pudiera comprar por internet en cualquier parte del mundo. Los ciberdelincuentes exigían a los bancos el pago de 200 bitcoins, casi un millón y medio de dólares, para no propagar la información.

La alarma y el desconcierto cundieron entre los chilenos, que se apresuraron en bloquear sus tarjetas o cambiar sus claves, sin saber si esas medidas eran suficientes. Solo varias horas después, la Superinten-dencia de Bancos e Instituciones Financie-ras (SBIF) informó que del cúmulo de tarjetas filtradas, solo 1.600 estaban activas y que habían sido bloqueadas por las entidades emisoras.

Chile vulnerable

"Con estos dos últimos episodios hemos demostrado debilidad", reconoció a Reportajes el subsecretario del Interior, Rodrigo Ubilla, quien preside el Comité Interministerial de Ciberseguridad, instancia creada en el gobierno de Bachelet e impulsada por el entonces subsecretario Mahmud Aleuy para hacer frente a la vulnerabilidad de Chile a los ataques cibernéticos. La administración pasada dejó a mediados de 2017, por primera vez, una hoja de ruta con definiciones y responsables específicos para llevar adelante 41 medidas antes del término de 2018, con lo que se esperaba poner al día a Chile en materia de ciberseguridad y sacarlo de los últimos lugares en los rankings internacionales en esta materia. Es lo que se conoció como Política Nacional de Ciberseguridad.

Solo nueve de esas medidas fueron ejecutadas antes del cambio de gobierno. Desde entonces, poco más se ha hecho.

Las iniciativas iban de la mano de otro paso clave en el combate de la cibercriminalidad. En 2017, también, Chile adhirió al Convenio de Budapest, el instrumento internacional más serio de cooperación entre Estados para investigar y perseguir estos delitos que no tienen fronteras. Chile fue el primer país sudamericano en ratificar esta convención.

A partir de ese momento, la fiscalía, a través de la Unidad de Cooperación Internacional y Extradiciones, puede solicitar ayuda directamente a sus pares de los 54 Estados miembros del Convenio de Budapest.

Es precisamente lo que hará el fiscal Felipe Sepúlveda, jefe de Alta Complejidad Oriente, luego de que el jueves 26 de julio abriera una investigación por la filtración de la información de 14 mil tarjetas de crédito. Sepúlveda actuó de oficio, porque lo usual es que los bancos no presenten denuncias en Chile -no lo hizo el Banco de Chile frente al robo de 10 millones de dólares-. Quién sí denunció esta vez, aunque un día después de que se abriera la causa, fue la Superintendencia de Bancos.

Pero más allá de la cooperación que pueda tener del extranjero, los fiscales en Chile se enfrentan hasta ahora con serios obstáculos para llevar adelante estos casos.

"Chile está hace un año al debe en realizar modificaciones al Código Penal y Código Procesal Penal en esta materia. El problema con que nos encontramos es que no se ha aterrizado la normativa interna, no se ha tomado ninguna iniciativa de parte de quién tiene que tomarla, que es el Ejecutivo y el Legislativo en términos de incorporar normas de cibercrimen a la legislación", dice Mauricio Fernández, jefe de la Unidad Especializada en Lavado de dinero, Delitos Económicos y Crimen Organizado del Ministerio Público.

En el gobierno reconocen este déficit.

"Me preocupa que hoy no tengamos una legislación que nos permita saber cuáles son los delitos informáticos, cuáles son las penas asociadas, cuál es el marco de ciberseguridad", reconoció Ubilla.

El 26 de junio pasado, tras el robo de US$ 10 millones del Banco de Chile, Piñera se reunió con Ubilla. El Mandatario le pidió acelerar algunas iniciativas contempladas en el Plan Nacional de Ciberseguridad de Bachelet y sobre las cuales apenas había algunos borradores.

Proyectos con suma urgencia

Esta semana, tras la masiva filtración de datos de tarjetas de crédito, el tema volvió a tomar fuerza.

Ubilla adelantó a Reportajes que el gobierno enviará al Congreso en los próximos días tres proyectos de leyes, los que deberán ser tramitados con carácter de suma urgencia.

Antes del 26 de agosto, aseguró el subsecretario del Interior, se enviará al Parlamento el proyecto de ley de modernización de delitos informáticos, que modificará la ley vigente desde 1993, cuando en Chile no existía internet. El proyecto establecerá nuevos delitos, como el introducir un virus en el sistema informático de un banco para robar dinero, o la vulneración de los correos electrónicos. También incluye cambios al Código Procesal penal, para facilitar la persecución de estas nuevas figuras penales. "Es muy diferente hacer un peritaje a una bala que se utilizó en un delito que hacer un peritaje a un servidor o computador de un hacker, por eso es necesario también actualizar la legislación", señala Ubilla.

Para el Ministerio Público se trata de un cambio fundamental. "En la actualidad, se deben usar tipos penales antiguos para poder condenar conductas actuales de cibercriminalidad, estirando harto las alegaciones para lograr condenas en los tribunales", afirma el jefe de la Unidad Especializada en Lavado de Dinero, Delitos Económicos y Crimen Organizado del Ministerio Público, Mauricio Fernández.

Ejemplos de lo anterior, dice Fernández, son las defraudaciones que hoy se buscan sancionar como delitos de estafa y cuyo comisivo es la web. O la filtración de información personal se busca sancionar por la vía del delito de usurpación de identidad. En otros casos, el fiscal debe darse una vuelta más larga, sostiene Fernández, y apelar a la voluntad de los jueces para aplicar normas tradicionales. "Si un hacker me pide que pague bitcoins a cambio de no publicar datos privados, la fiscalía debe recurrir a la figura tradicional de la amenaza, forzando el tipo penal, y esa es una tarea difícil", recalca.

Eso es precisamente lo que ocurrió el miércoles pasado, cuando Shadows Brocker exigió el pago de 200 bitcoins (cerca de US$ 1,5 millón) para no filtrar los datos de las 14 mil tarjetas de crédito.

La modernización de los delitos de cibercrimen serán la primera medida. Ubilla anunció, además, que antes del 26 de septiembre, con suma urgencia, ingresará al Parlamento el proyecto de ley de infraestructura crítica.

Este proyecto es considerado parte angular de la Política Nacional de Ciberseguridad, pues definirá los servicios y áreas productivas estratégicas, tanto públicas como privadas, a las que se les exigirán estándares más altos de seguridad. El sistema financiero, los servicios de telecomunicaciones, de energía, transporte, agua potable y sanitarias, clínicas y hospitales y hasta la gran minería podrían quedar incluidos dentro de la ley de infraestructura crítica.

El proyecto también contemplará penas más altas para los hackers que ataquen servicios de infraestructura crítica para el país.

Subsana, además, uno de los principales escollos que tenía hasta ahora el gobierno para articularse con el mundo privado en materia de ciberseguridad y en particular con la banca privada, la que era reticente a informar y denunciar los hackeos. Una exautoridad de gobierno de Bachelet recuerda que en 2015, cuando se formaron las mesas de trabajo para diseñar la Política Nacional de Ciberseguridad, Aleuy convocó a los representantes de los bancos.

En la cita, en La Moneda, el entonces subsecretario de Interior les preguntó cuántos "incidentes" habían tenido ese año. "Ninguno", le respondieron los representantes de la banca privada, provocando la molestia del Ejecutivo.

Recién esta semana, el jueves 26 de julio, durante la reunión del Comité de Estabilidad Financiera, que encabeza el ministro de Hacienda, en la que se analizó la filtración de los datos de 14 mil tarjetas de crédito, el gobierno y los bancos firmaron un acuerdo en que se obligan a compartir información "de todos los incidentes que pudieran haber afectado el normal funcionamiento bajo su vigilancia".

El acuerdo se selló, además, luego de que a principios de julio, de manera unánime, los parlamentarios de la Comisión de Economía del Senado presentaran un proyecto de ley para modificar la Ley General de Bancos, incluyendo una sanción de hasta 15 mil UF a las instituciones financieras que no incorporen medidas de ciberseguridad adecuadas.

La iniciativa, impulsada por los senadores Ximena Rincón, Felipe Harboe, José Miguel Durana, Álvaro Elizalde y Rodrigo Galilea, tomó fuerza luego de que los miembros de la comisión tuvieran un encontrón con el superintendente de Bancos, Mario Farren.

El 6 de junio pasado, Farren fue citado a la Comisión de Economía para explicar el robo de 10 millones de dólares sufrido por el Banco de Chile. Cuando los senadores le preguntaron si se había constituido en el banco, el superintendente les habría respondido "que no lo había hecho para no estorbar", lo que provocó una dura réplica de los parlamentarios por no fiscalizar un hecho de esta gravedad.

Farren, hasta 15 días antes de asumir como superintendente de Bancos, se había desempeñado por 27 años como ejecutivo del Citibank, ligado al Banco de Chile.

"Chile tiene características que lo hacen más vulnerable. Porque somos un país que innova todo el tiempo en tecnología, pero se hace con poca responsabilidad. No se hacen a tiempo las inversiones necesarias en seguridad", advierte Ingrid Inda, exjefa de la división de seguridad informática del Ministerio del Interior durante el gobierno de Bachelet y quien fuera responsable de resguardar la red de conectividad del Estado.

Ley de Ciberseguridad

Tipificar los nuevos delitos informáticos, definir las áreas y los servicios de infraestructura crítica, estableciendo estándares más rigurosos y deberes tanto para las empresas públicas como privadas, no son los únicos proyectos que pondrá en marcha el gobierno en los próximos días para hacer un actualización de la normativa sobre cibercrimen.

Antes del próximo 26 de septiembre, dice el subsecretario del Interior, Rodrigo Ubilla, el gobierno enviará al Congreso con carácter de suma urgencia la ley marco de ciberseguridad. Este proyecto no solo definirá lo que es ciberseguridad, también establecerá la forma de combatirlo.

Esta ley creará un Equipo de Respuesta Computacional a la Emergencia, Cert (en su sigla en inglés). Será una unidad multidisciplinaria que tendrá facultades para exigir a las empresas privadas que entreguen información sobre los incidentes que los han afectado y proponer medidas de solución. Estará compuesto por 40 personas y estará radicado en el Ministerio del Interior.

Según fuentes de La Moneda, el Presidente Piñera al momento de decidir que seguiría adelante con el Plan Nacional de Ciberseguridad propuesto por Bachelet también cerró la puerta a la ofensiva que sectores de la Defensa, y en particular de la Armada, venían haciendo para traspasar el Cert al Ministerio de Defensa.

El miércoles 25 de julio, el mismo día de la filtración masiva de datos de tarjetas de crédito, los diputados UDI Guillermo Ramírez y Jorge Alessandri pidieron al gobierno radicar en Defensa la lucha contra la ciberdelincuencia y crear una Agencia de Ciberseguridad dependiente de esa cartera.

Esta iniciativa no es nueva. Durante el gobierno de Bachelet, el diseño de la Política Nacional de Ciberseguridad estuvo entrampado por casi un año por quién quedaba al mando de este tema.

En esa época, el subsecretario de Defensa Marco Robledo se enfrentó a Aleuy y presentó una propuesta, que habían elaborado las ramas de la Fuerzas Armadas, para crear el Cesid, un centro de respuesta rápida ante los ataques, que costaba más de 2,5 millones de dólares y que integraba las áreas de ciberinteligencia, ciberdefensa y ciberseguridad.

Aunque la propuesta se basaba en conceptos de respeto a la privacidad y de libre acceso a internet, generó reparos, por el temor de dejar en manos de las Fuerzas Armadas un control absoluto a la información de las personas.

Finalmente, el diseño de la política nacional en esta materia contempló la creación de dos centros separados, uno dedicado a la ciberseguridad bajo la dependencia de la autoridad civil en Interior, y otro de ciberdefensa, en la cartera de Defensa, y que considera a internet como un nuevo teatro de operaciones bélicas.

Chile ya definió que la ciberdefensa será acorde a la política de defensa nacional, la que tiene un carácter defensivo y disuasivo, señala el exsubsecretario de la cartera en la época de Bachelet, Marcos Robledo. Algo así como si nos pegan, pegamos, añade la exautoridad.

No es lo único que se ha zanjado en el gobierno para apresurar las medidas de prevención en materia de ciberseguridad. A la espera del envío y tramitación de los proyectos de ley, el Presidente Piñera instruyó al comité interministerial de ciberseguridad la creación de protocolos especiales para la administración pública.

"Se establecerán normas como no conectar pendrives en ningún computador que esté conectado a un servidor de la administración pública, y procedimientos que establecerán reglas claras de navegación en internet", dijo Ubilla.

Todo esto con miras a ponerse al día con la actualización pendiente de Chile en ciberseguridad.

Comenta

Por favor, inicia sesión en La Tercera para acceder a los comentarios.