Ciberseguridad y política pública en Chile: Avances recientes, ¿optimismo futuro?

Por: Dra. Carolina Sancho Hirane

“Ningún país, grande o pequeño, está inmune a los ataques cibernéticos, que provienen de actores estatales y no estales en un paisaje tecnológico en constante evolución” [1].

 

El Índice Mundial de Ciberseguridad 2015[2], elaborado por la Unión Internacional de Telecomunicaciones (UIT) junto a la empresa ABI Research, ofrece una manera de medir el grado de desarrollo de la ciberseguridad en los países y busca promover una cultura de ciberseguridad y su incorporación como factor clave de las tecnologías de la información y comunicación (TIC). Se orienta a la cuantificación del compromiso de los países con relación a cinco factores: medidas jurídicas; medidas técnicas; medidas organizativas; creación de capacidades y cooperación internacional. Su finalidad es dar cuenta sobre la presencia de estructuras nacionales para implementar y promover la ciberseguridad. En esta medición, Chile se sitúa en el lugar n°16 del ranking, ubicándose después de  varios países suramericanos como Argentina (n° 15), Colombia (n° 9), Uruguay (n° 8)  y Brasil (n° 5). Este resultado es reflejo de la carencia de una Política Nacional de Ciberseguridad (PNCS) que se ha postergado por demasiado tiempo y varios gobiernos.

No obstante, durante los últimos dos años se han dado importantes señales respecto a la voluntad  política de avanzar en la formulación de una PNCS. Esto permite afirmar con razonable nivel de confianza que este año (2016) tendremos difundida y en etapa de implementación la PNCS, resultado de un trabajo intersectorial y que ha contemplado la participación de la sociedad civil. En este escenario el principal desafío en la materia será cumplir con los objetivos estratégicos (2022) y medidas de corto plazo (2017) que se ha propuesto alcanzar.

Contar con una política pública de ciberseguridad se justifica porque el aumento en el uso del ciberespacio[3] a nivel internacional y nacional genera mayores riesgos, amenazas y vulnerabilidades para los usuarios, siendo necesario ofrecer mayores garantías de seguridad en este ambiente para que la legitimidad y confianza en sus beneficios no se vean mermadas. Revisemos algunos datos que ilustran lo indicado.

Con relación al aumento en el uso del ciberespacio a nivel internacional, se constata que la “proporción de la población mundial cubierta por las redes móviles y celulares es ahora de más del 95%, mientras que el número de abonados a telefonía móvil celular se ha incrementado de 2.200 millones en 2005 a unos 7.100 millones en 2015 (…). El número de usuarios de Internet también ha crecido rápidamente, y actualmente se estima en más del 40% de la población mundial”[4]. En Chile, se replica esta tendencia, al observar que el uso de internet se ha incrementado de 585.489 conexiones fijas en el año 2000 a 2.556.914 en el año 2015[5], según la Subsecretaría de Telecomunicaciones.

Respecto a los riesgos, amenazas y vulnerabilidades, es posible afirmar que un incremento de las amenazas en el ciberespacio, sumado a la carencia de medidas de seguridad de acuerdo a estándares internacionales produce una importante vulnerabilidad en los usuarios del ciberespacio, poniendo en riesgo su seguridad y la confianza de este ambiente de creciente interacción social y laboral. En efecto, puede considerarse como un tipo de amenaza en el ciberespacio el incremento de los ilícitos en éste, generando tanto pérdidas económicas como también dudas sobre sus ventajas, poniendo en riesgo la credibilidad de este ambiente como el más eficiente y eficaz para intercambiar información y efectuar transacciones.

En este sentido, hay estimaciones que consideran que “el cibercrimen le cuesta al mundo hasta US$ 575.000 millones al año, lo que representa el 0,5% del PIB global. Eso es casi cuatro veces más que el monto anual de las donaciones para el desarrollo internacional. En América Latina y el Caribe, este tipo de delitos nos cuestan alrededor de US$ 90.000 millones al año”[6]. En el caso chileno no hay estimaciones equivalentes, aun cuando se constata un aumento en las denuncias por ilícitos en el ciberespacio, “de acuerdo a datos del Ministerio Público, los casos ingresados por sabotaje informático han aumentado de 5 el año 2006 a 770 el año 2014, mientras el espionaje informático aumentó de 1 caso el año 2006 a 206 el año 2014”[7]. Complementa lo indicado el registro de conductas sospechosas y maliciosas detectadas en la Red de Conectividad del Estado (RCE) durante el año 2014 correspondientes a: relacionados con botnet y malware (30%);  alteración de protocolos y estándares (12%); intentos de acceso webs de gobierno (8%); intentos de acceso a equipos de gobierno (32%) y relacionados con SPAM (18%)[8].

Para enfrentar este tema y avanzar en la generación de estándares internacionales de seguridad en el ciberespacio, en 2014 se convocó a  la “Comisión de Trabajo Interministerial Conducente a la Adhesión de Chile a la Convención sobre Ciberdelitos del Consejo de Europa” (creada en 2009), con la finalidad de evaluar la pertinencia, identificar los requisitos y establecer los desafíos de la adhesión de Chile a este tratado internacional, sobre delitos realizados por medio de internet y de otros sistemas informáticos cuyo “principal objetivo (…) es el desarrollo de una política criminal común frente al ciberdelito, mediante la homologación de la legislación penal, sustantiva y procesal, y el establecimiento de un sistema rápido y eficaz de cooperación internacional”[9]. La Comisión recomendó adherir al Convenio de Budapest[10] y actualmente esta materia está siendo analizada en el Congreso Nacional[11].

Se adiciona a lo indicado el trabajo efectuado durante el bienio 2014-2015 entre el Ministerio de Defensa Nacional (MDN) y el Ministerio del Interior y Seguridad Pública (MISP), cuyo resultado fue la elaboración de un documento que establece las bases para una PNCS[12], documento que en su última parte contempla una aproximación conceptual mínima a nociones frecuentemente usadas a nivel nacional en materia de ciberseguridad, que han carecido de una comprensión compartida sobre su significado, como es el caso de incidente informático[13], ciberataque[14], ciberdefensa[15] e infraestructura crítica de la información[16].

Este texto fue un insumo clave para el trabajo realizado por el “Comité Interministerial sobre Ciberseguridad”[17] (CICS), entidad creada por el Decreto 533/2015 y concebida como una “comisión asesora del Presidente de la República (…) de carácter permanente, que tendrá una composición interministerial, cuya misión es proponer una política nacional de ciberseguridad, y asesorar en la coordinación de acciones, planes y programas de los distintos actores institucionales en la materia”[18]. Asimismo, este decreto define ciberseguridad como: “aquella condición caracterizada por un mínimo de riesgos y amenazas a las infraestructuras tecnológicas, los componentes lógicos de la información y las interacciones que se verifican en el ciberespacio, como también el conjunto de políticas y técnicas destinadas a lograr dicha condición”[19]. Esta aproximación conceptual facilitó la labor efectuada en el marco del CICS durante 2015 y orientó la elaboración de la propuesta de PNCS, difundida el primer trimestre de 2016 como borrador y en calidad de propuesta, con la finalidad de permitir la participación de la sociedad civil a través de una consulta pública del texto para que ésta entregara sus comentarios y sugerencias.

La propuesta de PNCS se enmarca en un conjunto de políticas nacionales en materia digital las cuales corresponden a: la Agenda Digital 2020; la Política Nacional de Ciberdefensa y la Política Internacional para el Ciberespacio. Asimismo, identifica “los lineamientos políticos del Estado de Chile en materia de ciberseguridad, con una mirada que apunta al año 2022, para alcanzar el objetivo de contar con un ciberespacio libre, democrático, abierto, seguro y resiliente”[20]. De esta manera se contribuye a: resguardar la seguridad de las personas en el ciberespacio; proteger la seguridad del país; promover la colaboración y coordinación entre instituciones y gestionar los riesgos del ciberespacio[21], a través de un enfoque de corto, mediano y largo plazo.

Especial mención requiere la política de ciberdefensa que requiere ser definida e iniciarse su implementación a la brevedad, dado que su formulación es complementaria e inclusive da soporte a otras políticas del sector Defensa. En efecto, el ciberespacio presenta características diferentes a otros ambientes en los cuales se desarrolla el conflicto bélico, debido a que “el ciberespacio no es un ámbito análogo al de la tierra, mar, aire o estratósfera, no tiene distancias, posiciones ni territorios que puedan ocuparse; el ciberespacio no puede ser conquistado”[22], lo cual obliga a identificar las características del  conflicto a enfrentar en el ciberespacio (¿ataques, crisis o guerra?), sus posibles consecuencias (¿Qué significaría desde una perspectiva estratégica una blackout energético?), el modo en que puede lograrse la disuasión, el tipo de capacidad deseada a desarrollar (¿ofensiva, defensiva o ambas?)  y los criterios que orientarán las decisiones en la materia.

Aunque el trabajo efectuado hasta la fecha, en el marco de la formulación de una PNCS, puede mirarse en forma optimista porque se ha logrado generar tres herramientas que guían la acción de la autoridad en materia de ciberseguridad, como son: la identificación de los principios orientadores de política pública; el establecimiento de objetivos estratégicos (mediano y largo plazo) a lograr el año 2022 y la elaboración de un plan de acción (corto plazo) para el 2017, todos ellos contenidos en la propuesta de PNCS que además ha considerado en diferentes etapas de su preparación la participación no solo del sector público, sino también, la del sector privado, el académico y la sociedad civil.

Sin embargo, momentos claves para su éxito se avecinan. En efecto, los desafíos que vienen son importantes y condicionarán el modo en que se evalúe el desempeño de la actual administración en la materia. Entre ellos destacan: la construcción e institucionalización de una arquitectura de ciberseguridad nacional; el envío y la aprobación de textos legales sobre el tema en el Congreso Nacional; el cumplimiento de las medidas contenidas en la propuesta de PNCS, pero ante todo, la promulgación de la actual propuesta de PNCS, actividad que se encuentra en el límite del plazo según lo establecido.

[1] Foro Económico Mundial. “Economía digital y seguridad cibernética en América Latina y el Caribe”. En: BID/OEA. Ciberseguridad ¿Estamos preparados en América Latina y el Caribe? Informe Ciberseguridad 2016. Observatorio de la Ciberseguridad en América Latina y el Caribe. p. 29. Disponible en https://publications.iadb.org/handle/11319/7449

[2] Unión Internacional de Telecomunicaciones y ABI research. “Indice mundial de ciberseguridad y perfiles de ciberbienestar” Suiza. 2015.  Disponible en http://www.itu.int/dms_pub/itu-d/opb/str/D-STR-SECU-2015-PDF-S.pdf

[3] Entendido como “un ambiente compuesto por las infraestructuras tecnológicas, los componentes lógicos de la información y las interacciones sociales que se verifican en su interior”. En: Bases para una Política Nacional de Ciberseguridad. MISP/MDN. Chile. 2015. p. 13.

[4] Unión Internacional de Telecomunicaciones. “Medición de la Sociedad de la Información 2015”. Resumen Ejecutivo. Suiza. 2016. pp. 1-2. Disponible en https://www.itu.int/en/ITU-D/Statistics/Documents/publications/misr2015/MISR2015-ES-S.pdf

[5] Mensaje N° 050 – 364 enviado el 6 de Mayo del 2016. p. 2.

[6] Moreno, Luis. En: BID/OEA. Ciberseguridad ¿Estamos preparados en América Latina y el Caribe? Informe Ciberseguridad 2016. Observatorio de la Ciberseguridad en América Latina y el Caribe. p. IX. Disponible en https://publications.iadb.org/handle/11319/7449

[7] Mensaje N° 050 – 364. Op. cit. p. 2.

[8] Propuesta de Política Nacional de Ciberseguridad. “Comité Interministerial sobre Ciberseguridad”. Chile. 2016. p. 29. Disponible en http://ciberseguridad.interior.gob.cl/media/2016/02/Borrador-Consulta-P%C3%BAblica-PNCS.pdf

[9] Mensaje N° 050 – 364. Loc. cit.

[10] Denominación homóloga que se da a la Convención sobre Ciberdelitos del Consejo de Europa. Disponible en https://www.coe.int/t/dghl/cooperation/economiccrime/Source/Cybercrime/TCY/ETS_185_spanish.PDF

[11] Boletín 10682 – 10.

[12] Bases para una Política Nacional de Ciberseguridad. MISP / MDN. Chile. 2015. Disponible en http://ciberseguridad.interior.gob.cl/media/2015/12/Documento-Bases-Pol%C3%ADtica-Nacional-sobre-Ciberseguridad.pdf

[13] Definido como “evento que afecta la confidencialidad, integridad o disponibilidad de la información, como también la continuidad del servicio proporcionado por los sistemas que la contienen”. En: Bases para una Política Nacional de Ciberseguridad. MISP / MDN. Chile. 2015. p.14.

[14] Definido como “una expresión del ciberconflicto consistente en acciones hostiles desarrolladas en el ciberespacio con el objetivo de irrumpir, explotar, denegar, degradar o destruir la infraestructura tecnológica, componente lógico o interacciones de éste y pueden tener distintos niveles según su duración, frecuencia y daño generado”. En:  Bases para una Política Nacional de Ciberseguridad. MISP / MDN. Chile. 2015. p. 14.

[15] En el texto se entiende que “el término posee dos acepciones. (A) En un sentido amplio, son acciones contempladas en el marco de una política nacional de ciberseguridad orientadas a proteger el ciberespacio ante cualquier acción que pueda dañarlo. (B) En un sentido restringido, es el conjunto de políticas y técnicas de la Defensa Nacional destinadas a enfrentar los riesgos y amenazas propias del ciberespacio, de acuerdo con sus atribuciones constitucionales y legales”. En:  Bases para una Política Nacional de Ciberseguridad. MISP / MDN. Chile. 2015. p. 14.

[16] Definida como “las instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya afectación, degradación, denegación, interrupción o destrucción pueden tener una repercusión importante en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de los gobiernos de los Estados”. En:  Bases para una Política Nacional de Ciberseguridad. MISP/MDN. Chile. 2015. p. 14. Esta definición se complementa con lo indicado en la Propuesta de PNCS donde se indica que en el “caso chileno, la infraestructura de la información de los siguientes sectores será considerada como crítica: energía, telecomunicaciones, agua, salud, servicios financieros, seguridad pública, transporte, administración pública, protección civil y defensa, entre otras”. En: Propuesta de Política Nacional de Ciberseguridad. “Comité Interministerial sobre Ciberseguridad”. Chile. 2016. p. 9. Disponible en http://ciberseguridad.interior.gob.cl/media/2016/02/Borrador-Consulta-P%C3%BAblica-PNCS.pdf

[17] Creado por medio del Decreto 533/2015.

[18] Decreto 533/2015. Artículo primero.

[19] Ibid. Artículo séptimo.

[20] Propuesta de Política Nacional de Ciberseguridad. “Comité Interministerial sobre Ciberseguridad”. Chile. 2016. p. 4. Disponible en http://ciberseguridad.interior.gob.cl/media/2016/02/Borrador-Consulta-P%C3%BAblica-PNCS.pdf

[21] Ibid. p. 5.

[22] Borg, Scott. No es una guerra fría. En: Vanguardia Dossier Nº 54. España. 2015. p. 65.