Así está el país en materia de ciberseguridad. Leyes del siglo pasado; empresas ciberatacadas que no denuncian ni comparten información con las policías, las autoridades o sus pares; baja inversión en ciberseguridad y ciudadanos sobreestoqueados de tecnología y analfabetos sobre los riesgos de hacer clic.
Quinientos 41 días de pena. Y remitida. Si los autores del ciberataque al Banco de Chile -que le significó el robo de US$ 10 millones- fueran juzgados en nuestros tribunales, esta sería la máxima pena que el juez a cargo podría aplicar. ¿El motivo? En delitos de cibercrimen, Chile se rige por una ley del siglo pasado. Es verdad que fue promulgada en 1993, pero para efectos prácticos, no hay dos opiniones sobre lo “desactualizada” que puede llegar a estar la llamada Ley de Delitos Informáticos. “¿Quién estaba conectado a internet para esa fecha?”, se pregunta el comisario de la oficina de cibercrimen de la PDI, Danic Maldonado. Hablamos de una ley conformada por cuatro artículos y que en precisas 182 palabras describe los delitos cibernéticos que se sancionaban y se sancionan hoy en nuestro territorio. Fraude electrónico o abuso de dispositivos, por mencionar dos de los delitos más actuales, no están tipificados.
Confirman nuestro retraso legislativo el que la Ley de Protección de Datos Personales entró al Congreso para su discusión parlamentaria el primer trimestre del 2017 (la ley vigente que hay sobre este tema es de 1998), y que tanto el lanzamiento de la Política Nacional de Ciberseguridad como la incorporación de Chile al Convenio de Budapest -tratado internacional que desde el 2004 busca hacer frente a los delitos informáticos- fueron noticia recién el año pasado. Entrar al Convenio de Budapest requerirá ponerse al día en normas, legislaciones y procedimientos que conversen de igual a igual con el resto de los países miembros.
Sigamos. La Brigada de Cibercrimen de la Policía de Investigaciones nació el 2000 para combatir, fundamentalmente, los delitos del momento, sabotaje y espionaje informático. Hoy se trata de un equipo de 50 personas en Santiago, más dos unidades que acaban de crearse en Valparaíso y Concepción, con cerca de 10 personas cada una. Hasta ahora, sus esfuerzos mayoritarios han estado en el tráfico de pornografía infantil y, por cierto, abordar estos nuevos desafíos que, no hay que perder de vista, son transfronterizos.
Bajo nivel de denuncias
En números, sumando todo el 2017 y lo que va del 2018, la Brigada de Cibercrimen se ha hecho cargo de 13 denuncias por delitos informáticos cometidos contra empresas. De ellos, ocho son por ransomware, un secuestro de información por el que se pide un rescate en criptomonedas. Pero, como señala el comisario Danic Maldonado, estos 13 casos no representan ni el 1% del total de ciberdelitos cometidos en el país.
Eso saca a la luz el siguiente problema. No hay denuncias. La principal razón, comentan los expertos, es que, ante el temor del daño reputacional y la fuga de clientes que ello podría conllevar el reconocer públicamente haber sido víctimas de un ciberataque, las compañías prefieren callar. “Muchas, veces no saben que han sido atacadas, o se percatan del hecho meses después”, explica Rodolfo Labarca, country manager de Exceda, firma aliada de la Cámara de Comercio para velar por la seguridad de los ciberdays. El senador Felipe Harboe propone replicar lo que hacen otros países sobre el particular: multas. “Puede ser el equivalente al doble de las provisiones que debe realizar el banco según haya sido la magnitud del ataque”. Es que ya sea obligada o voluntariamente, lo más relevante al momento de hablar de cibercrimen es compartir la información. “Vital para protegerse”, precisa Labarca. “Aunque no presenten denuncia formal sería de gran ayuda que las empresas atacadas compartan antecedentes”, remarca el comisario Maldonado.
Los más atacados
Todas las estadísticas señalan que las tres industrias más atacadas en el mundo, en este orden, son la banca, el retail y los servicios. Tres industrias muy intensivas en inversiones en tecnología. Sin embargo, con poca preocupación por la ciberseguridad. Según The Boston Consulting Group, las empresas chilenas gastaron US$ 195,7 millones de dólares en ciberseguridad el 2017, equivalente al 0,07% del PIB, mientras que el promedio mundial es 0,12% del PIB. “Se ha detectado que la inversión en seguridad va en aumento. Algo diferente es dónde se realiza esta inversión. Hemos detectado que muchas veces se destina a tener más tecnologías y no en aspectos de educación o mejorar procesos que, al fin de cuentas, son los vulnerados”, explica Claudio Ordóñez, senior manager de Accenture Security en Chile.
Finalmente, el último eslabón débil de toda esta cadena son las personas. Los virus entran por un archivo que no debía abrirse, un computador que se trajo de la casa y se conectó a la red de la empresa, un programa desactualizado, todas ventanas que les permiten a los ciberatacantes actuar.
Centro Nacional de Ciberseguridad Policial
Si hay algo positivo tras el ataque al Banco de Chile fue mostrar la completa vulnerabilidad que tiene el país en ciberseguridad. Y, por lo mismo, empezaron a pasar cosas. El próximo 19 de junio, el director general de la PDI, Héctor Espinosa, anunciará la creación del Centro Nacional de Ciberseguridad Policial (Ciberpol), cuyo objetivo central será analizar las amenazas virtuales que afecten al país. Contempla la adquisición de equipos y capacitación de detectives en el extranjero.
A nivel parlamentario, el senador Felipe Harboe, junto a un grupo de parlamentarios, lidera la redacción de un anteproyecto de ley en materia de cibercrimen, el que espera presentar al Ejecutivo para su patrocinio en los próximos días. Además, buscará hacer nuevas indicaciones a la Ley General de Bancos, hoy en discusión en el Senado, con el objeto de aumentar las facultades de la Superintendencia de Bancos e Instituciones Financieras como, por ejemplo, su poder para fiscalizar las inversiones que se hagan en ciberseguridad.
En La Moneda se constituyó esta semana el Comité Interministerial de Ciberseguridad. Su lista de tareas es larga. En lo inmediato, y concreto, quedó en manos del Ministerio de Hacienda encontrar expertos internacionales que puedan asesorar al país en esta materia. La lista de posibles candidatos crece. Y la velocidad con la que un nuevo virus sale al “mercado”, también.
Comentarios