COMENTARIO | Desafíos de la Ley Marco y la creación de la Agencia Nacional de Ciberseguridad

En diciembre de 2018, hackers afiliados al grupo Lazarus lanzaron un ataque mundial contra cajeros automáticos con el objetivo de manipular el software de los dispensadores y hacer retiros fraudulentos. En Chile, el grupo RedBank, víctima del ataque al igual que otros en Argentina, Brasil y Perú, alertó a la Superintendencia de Banco e Instituciones Financieras (SBIF), y a la Asociación de Banco e Instituciones Financieras (ABIF) del malware encontrado en sus sistemas. Por entonces, existían pocos puntos de intercambio de información sobre ciberataques y el Estado tenía pocas herramientas para prevenir, evaluar y responder a estos ataques. Solo un año antes, la presidenta Michelle Bachelet, junto a sus ministros de Interior y Defensa, daban pie inicial a un proceso nacional de creación de política pública para la ciberseguridad y ciberdefensa del país. Pacientemente, ese proceso sorteó obstáculos y permitió que el Congreso visara este mes la Ley Marco Sobre Ciberseguridad e Infraestructura Crítica de la Información y la creación de la Agencia Nacional de Ciberseguridad (ANCI).

Actualmente, los niveles de respuesta a incidentes, protección a la infraestructura critica, y manejo de crisis en ciberseguridad han crecido de la mano de un mayor consenso multisectorial entre empresas privadas y entes públicos. La tendencia en la región ha sido similar, pero hay un largo camino por recorrer para alcanzar una madurez consolidada en ciberseguridad, según la medición estándar del observatorio de ciberseguridad de la OEA.[1] En Argentina, Brasil, México, Colombia y Chile quizás el mayor logro ha sido la creación de equipos nacionales de respuesta a incidentes de seguridad informática (CSIRT) y de unidades de defensa militar en ciberseguridad.

Ahora, con un presupuesto anual de US$ 5 millones[2], la ANCI tendrá la labor de “invertir en trabajo preventivo; formar una cultura pública en materia de seguridad digital; enfrentar las contingencias en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio”.[3] El desafío es considerable y quien sea elegido por Alta Dirección Pública para liderarla tiene una labor titánica, pero gratificante.

La agencia seguirá un modelo similar al de otras entidades reguladoras del Estado, por ejemplo, la Unidad de Análisis Financiero (UAF), creada a comienzos de los 2000 cuando perseguir el lavado de dinero se hizo una prioridad mundial tras los ataques terroristas del 11-S. La ANCI tendrá la capacidad de sancionar a las entidades obligadas por ley y que formen parte del ámbito cibernético chileno. El desafío es doble, ya que son los mismos entes con quienes se intentará crear una red de conectividad segura, los llamados servicios esenciales públicos y los operadores de importancia vital en el ámbito privado, estos incluyen desde organismos estatales hasta prestadores de servicios concesionados. Al igual que en los años de formación de la UAF[4], la ANCI deberá sensibilizar y educar a una serie de entidades nacionales e internacionales operando en el país.

Diferencias regionales

Quizás el mayor estudio comparado en creación de capacidades en ciberseguridad estimó que una mayoría de los países a nivel global están en etapas tempranas de desarrollo de políticas e instituciones. Las diferencias entre marcos regulatorios y agencias son graduales y están asociados a la riqueza de los países y al nivel de penetración de internet. Las naciones pobres y con menos conectividad suelen tener peor preparación y capacidades en ciberseguridad.[5]

Para Chile, que cuenta con un 90% de la población conectada, el problema surge en que Latinoamérica y el Caribe tienen una conectividad del 73% y un PIB en promedio 50 veces menor que el chileno. En el vecindario, Chile está mejor preparado en su política de ciberseguridad y en ciberdefensa que Perú y Argentina, según el observatorio de la OEA.

En el corto plazo, la necesidad de crear ciberseguridad a nivel regional tomará un rol central tal como será un mejor manejo de los recursos estatales que indica la ley marco. Nuestros avances locales no son inmunes a un hemisferio en constante acecho de los cibercriminales.

Liderazgo y gobernanza

La ciberseguridad es un problema que trasciende desde lo individual hasta lo nacional y que necesita constante medición y evaluación de parte de organismos estatales, al menos en aquellos países de corte democrático liberal donde se espera que internet sea libre y sin censuras (salvo resguardos esenciales en áreas sensibles). La mayoría de las naciones industrializadas han acordado que se necesitan al menos cinco elementos para encauzar la gobernanza de la ciberseguridad: una estrategia, procesos estandarizados, cumplimiento normativo, liderazgo, y recursos.[6] En el caso chileno, inspirado en parte por actuales vínculos con agencias en Estados Unidos, Reino Unido, Europa continental, y Oceanía, se buscará crear un modelo de gobernanza sobre la base de la gestión de riesgos con una serie de estándares que busquen prevenir, contener y responder a incidentes y ciberataques. El modelo está delimitado a grandes rasgos por la ley que fomenta un sistema de colaboración público-privada.  Las obligaciones en ciberseguridad y sanciones regirán según riesgos establecidos y el tamaño de los servicios esenciales públicos y los operadores de importancia vital. Una entidad de gran tamaño que sea víctima de un ciberataque considerable, tendrá que pagar una multa mayor si es que se comprueba que no adhería a los estándares esperados por el Estado. El precio es alto, ya que tal entidad correrá con el costo del ataque para su organización, más la suma de la multa. Es de previsible que muchas entidades deban costear nuevas capacitaciones en buenas prácticas en ciberseguridad para sus empleados, además de buscar nuevos seguros complementarios a ciberataques tras anunciarse la ley y sus sanciones. 

El punto que llama a la intersectorialidad es la disposición de la ley a buscar colaboración con los organismos del sistema de inteligencia del Estado. La ANCI entra así a una intrincada red de actores en seguridad y defensa con amplio bagaje y extensa data en materias de ciberseguridad. Será importante definir cómo se identificarán las “amenazas” y “ciberataques” que representen “un riesgo para la seguridad nacional”, según dice la ley. Los sectores de la defensa y la seguridad pública deberán aunar prácticas, lenguajes y perspectivas en cuanto a las definiciones que entiende la ley. En esto, la relación de la ANCI con el Presidente de la República a través del Ministerio del Interior y Seguridad Pública debería considerar la nueva horizontalidad de esta red en formación la que incluirá a las policías y las fuerzas armadas.

En tiempos en que civiles y militares trabajan de la mano en la ciberseguridad de países como Brasil (ComDCiber), Estados Unidos (CyberCommand y NSA), Reino Unido (GCHQ), y Australia (ASD) entre otros[7], será menester amalgamar estrategias, recursos humanos y materiales, y un liderazgo comprensivo que facilite la integración ministerial y agencial.

Dr. Carlos Solar, Senior Research Fellow en el Royal United Services Institute (RUSI). Autor del libro “Cybersecurity governance in Latin America: States, threats and alliances” (2023)

15 de diciembre de 2023

Fotografía: France Presse

*Las opiniones expresadas en este artículo son las del autor y no reflejan necesariamente las opiniones de AthenaLab.

[1] Organización de Estados Americanos (2023). Observatorio de la Ciberseguridad

en América Latina Y El Caribe. Disponible en https://observatoriociberseguridad.org/#/home.

[2] Ministerio del Interior y Seguridad Publica (2023). Proyecto De Ley Marco Sobre

Ciberseguridad e Infraestructura Crítica de la Información (Boletín 14847). 25 de Abril. Disponible en https://www.senado.cl/appsenado/templates/tramitacion/index.php?boletin_ini=14847-06

[3] Senado de Chile (2023). A Ley Nuevo Marco Legal Sobre Ciberseguridad e Infraestructura Crítica de la Información. 12 de Diciembre. Disponible en https://www.senado.cl/a-ley-nuevo-marco-legal-sobre-ciberseguridad-e-infraestructura-critica

[4] Carlos Solar (2015). The inter-institutional governance of money laundering: An in-depth look at Chile following re-democratisation, Global Crime, 16(4): 328-350, DOI: 10.1080/17440572.2015.1078241

[5] Sadie Creese, Will H. Dutton, Patricia Esteve-González y Ruth Shillair (2021). Cybersecurity capacity-building: Cross-national benefits and international divides, Journal of Cyber Policy, 6(2): 214-235, DOI: 10.1080/23738871.2021.1979617.

[6] Salifu Yusif y Abdul Hafeez-Baig (2021). A Conceptual Model for Cybersecurity Governance, Journal of Applied Security Research, 16(4): 490-513, DOI: 10.1080/19361610.2021.1918995.

[7] Carlos Solar (2023). Cybersecurity Governance in Latin America: States, Threats, and Alliances (Albany: State University of New York Press)