Mario Micucci de ESET: Cómo las nuevas leyes de ciberseguridad en Chile buscan robustecer su seguridad digital.

Por Mario Micucci, especialista en seguridad informática del Laboratorio de ESET Latinoamérica.

Chile ha marcado varios hitos en los últimos días en cuanto seguridad digital se refiere. El 5 de diciembre entró en vigencia la Política Nacional de Ciberseguridad 2023-2028 tras ser publicada en el Diario Oficial, con la que el país busca hacer frente a la creciente vulnerabilidad de los datos.

La nueva Política Nacional de Ciberseguridad ya es oficial

Esta semana se publicó en el Diario Oficial la Política Nacional de Ciberseguridad para el período 2023-2028, un conjunto de directrices que apuntan a robustecer la arquitectura de seguridad del país.

TabuladoAgustina Solinas

Posteriormente, el 12 de diciembre, el Senado despachó para que sea promulgada la Ley Marco sobre Ciberseguridad e Infraestructura Crítica, que, además, creará la Agencia Nacional de Ciberseguridad para que opere como el órgano rector de seguridad digital en el país.

La Ley Marco de Ciberseguridad está lista para ser promulgada

Hace algunas semanas, el proyecto fue despachado a ley con amplia mayoría. Una vez que entre en vigencia se creará la Agencia Nacional de Ciberseguridad y otros organismos de respuesta.

TabuladoAgustina Solinas

Es importante tener claro que la ciberdelincuencia es catalogada como un crimen organizado trasnacional. De hecho, recientemente la Organización Internacional de la Policía Criminal (Interpol) alertó que en todo el mundo los grupos delictivos están utilizando la web oscura y otras herramientas para crear un nuevo modelo de negocio.

Chile no es la excepción a esta tendencia. En los últimos años, se han producido varios ataques de ransomware que afectaron a sectores privados y públicos. Sin ir más lejos, a mediados de este año fuimos testigos de uno de ellos, el cual atacó al grupo GTD y afectó a más de 3.000 clientes de la compañía.

GTD es afectado por un incidente de ciberseguridad

El hecho ocurrió hace varias horas, y una gran cantidad de clientes se han visto perjudicados parcialmente en diversos servicios de GTD.

PisapapelesRoberto Mera Velásquez

 En resumen, con estas leyes el país busca hacerle frente al cibercrimen. En esa línea, las claves de estas normativas son:

• Lograr una infraestructura resiliente bajo una perspectiva de gestión de riesgo que permita a las organizaciones estar preparada para hacer frente y recuperarse de incidentes.
• Proteger los derechos de las personas promoviendo la protección de los derechos de Internet.
• Desarrollar una cultura de la ciberseguridad a través de la educación y promoción de buenas prácticas en el manejo de tecnología.
• Coordinación nacional e internacional para que se creen instancias de cooperación entre el sector público y privado para comunicar y difundir actividades en la materia.
• Asimismo, busca incentivar a la industria y la investigación científica aplicada a temas de ciberseguridad.
• Una colaboración público-privada, con obligaciones de ciberseguridad y sanciones diferenciadas por riesgos y tamaño.
• Establecer requisitos para prevenir, contener, resolver y dar respuesta a incidentes asociados a ciberseguridad e indica las atribuciones y obligaciones de los organismos del Estado. Además, define los deberes y obligaciones de las instituciones privadas y los mecanismos de control, supervisión y de responsabilidad ante infracciones.
• La ley Marco busca crear un Comité Multisectorial sobre Ciberseguridad y el Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional (Csirt Nacional).

¿Qué es el Equipo de Respuesta ante Incidentes de Seguridad Informática CSIRT?

Cuál es la importancia del CSIRT en Chile y las grandes organizaciones o empresas ¿Qué hace realmente el CSIRT?

PisapapelesJudith Ovando

 Un resumen de los ataques en Chile en alza

Tras el ataque a la compañía GTD antes mencionado, diversas empresas vieron afectados sus servicios, entre ellos el Servicio de Impuestos Internos (SII), Fonasa, Correos de Chile, la Comisión Ingresa (vinculada al pago de créditos CAE) y la Firma Electrónica Avanzada (FEA).

Este tipo de ataques por ransomware es una prueba de que la ciberseguridad es un asunto que nos convoca a todos e insta la colaboración entre personas, empresas, organizaciones, academia y Estado. Vulnerar los sistemas de empresas o instituciones conforman un gran riesgo ante la cantidad de información que administran.

El caso de GTD es solo una minúscula parte del iceberg. Recordemos que en 2022 se experimentó una situación similar con los ataques que afectaron al Poder Judicial y al SERNAC. Y este año las víctimas han sido el Servicio de Aduana de Chile y la plataforma de Mercado Público, luego de que IFX Networks, compañía proveedora de servicios digitales a órganos estatales y empresas privadas, fuese víctima de un ransomware por parte de los hackers de RansomHouse.

Nuevo malware impacta ahora a equipos con Windows 10 en el Poder Judicial

Nuevamente el Poder Judicial es víctima de malware, pero en esta ocasión, hay todavía más sistemas y equipos que se ven afectados.

PisapapelesJudith Ovando

 Año tras año, vemos como las amenazas son más sofisticadas y aumentan en cantidad. Y es que la región ha sido objetivo en muchas oportunidades de ataques que han llegado a paralizar las labores de muchas empresas. A raíz de esto, es que, no solo Chile, sino que las demás naciones y compañías han tenido que activar diversos mecanismos de seguridad para resguardar la información y datos que manejan.