La necesidad de fortalecer la ciberseguridad en el sector de salud pública, así como de la pequeña y mediana empresa que lo abastece, se ejemplifica con la vulneración de las plataformas del Ministerio de Salud en 2016 y del Instituto de Salud Pública (ISP) este año, según indica Ricardo Seguel, director de DTC Cyber y profesor de la Facultad de Ingeniería y Ciencias de la Universidad Adolfo Ibáñez.
El especialista, Ph.D. en Information Systems de la Eindhoven University of Technology, Países Bajos, explica que el caso del ISP es un llamado de atención más del sector público. Ya sucedió en Estados Unidos, con el destructivo asalto en a Change Healthcare, en 2024, que evidenció que la protección de las pequeñas y medianas empresas en la red de suministro digital del ámbito de la salud es esencial. Al igual que el ataque al NHS en el Reino Unido, suceso que llevó a que las grandes empresas europeas exijan que sus proveedores adhieran a normativas de seguridad como ISO 27001, NIST y SOC 2, entre otras.
El pasado 16 de septiembre se publicó en el Diario Oficial la nómina preliminar de operadores de importancia vital de la Agencia Nacional de Ciberseguridad (ANCI). “En Chile, las nuevas leyes (21.663 y 21.719) reubican el riesgo de un ataque desde un problema técnico a una responsabilidad legal y financiera. Si ambas leyes hubieran estado en pleno vigor, el ISP habría tenido la obligación legal de haber estado registrado ante la ANCI y de notificar la filtración de datos. Esto habría forzado una respuesta más estructurada y transparente, posiblemente mitigando el impacto que se prolongó por varias semanas afectando a pacientes del sistema de salud público en la entrega de resultados de VIH y Hepatitis”, explica Seguel.
Las entidades, tanto públicas como privadas, necesitan transitar de una postura reactiva a una proactiva. En países como Estados Unidos, Europa y Australia, el cumplimiento de normativas se ha transformado en un aspecto fundamental y continuo de la ciberseguridad en las juntas directivas y un elemento esencial de las instituciones.
Los principales motivos, hasta hoy, de guardar silencio ante la experiencia de un ciberataque eran el miedo al daño reputacional, multas de los reguladores y a las demandas. Ahora, con la implementación de estas leyes, la opacidad dejó de ser una opción para los operadores de servicios esenciales. La ANCI podrá recibir las notificaciones conforme a la Ley 21.663, al mismo tiempo que la Agencia de Protección de Datos tendrá la autoridad correspondiente bajo la Ley 21.719, obligando a la revelación de incidentes y promoviendo la transparencia.
Esto resultará en un incremento considerable de los informes públicos de incidentes, similar a lo que se ha observado en naciones desarrolladas, lo cual contribuye a la defensa colectiva. No obstante, esta falta de claridad no ha sido completamente abordada, ya que la legislación no prohíbe el pago de un rescate por datos (o Ransomware), a diferencia de Estados Unidos, que penaliza dicha paga al considerarla una transacción entre dos entidades involucradas en actividades cibernéticas delictivas.
La Ley 21.663 posiciona a las instituciones de salud en la categoría de “servicios esenciales”, obligándolas a cumplir con los requisitos de la ANCI. Adicionalmente, la normativa 19.628 junto con la reciente normativa 21.719 sobre la protección de datos personales establece requerimientos rigurosos para salvaguardar los datos. Esto incrementa la responsabilidad en instituciones que gestionan datos médicos altamente delicados, como sucede con el ISP.
“La Ley agrega una capa adicional que es la obligación de notificar filtraciones de datos personales a la autoridad de protección de datos, lo cual puede ayudar a la detección temprana y la respuesta coordinada para disminuir la propagación de ataques entre diferentes instituciones públicas o privadas. Sin embargo, la debilidad está en la protección y prevención proactiva de ataques, antes que ocurran, debido a la falta de sistemas de ciberdefensa robustos y resilientes con capacidades de ciberinteligencia para anticipar y predecir amenazas”, complementa Seguel.
De acuerdo con el especialista, en Estados Unidos y Europa las Pymes han sido reconocidas como el eslabón débil de la cadena de suministro. De forma similar, el INCIBE en España, el NCSC en Reino Unido y el ACSC en Australia proporcionan recursos y herramientas sin costo para asistir a las pequeñas y medianas empresas en la adopción de medidas esenciales de protección cibernética. “Este tipo de apoyo será crucial en Chile para que la ley no se convierta en una carga insostenible”, sostiene.
Para que la normativa sea realmente efectiva, la capacidad de fiscalización de los órganos encargados de la efectividad de las leyes 21.663 y 21.719 (la ANCI y la Agencia de Protección de Datos) es clave. El doctor Ricardo Seguel asegura que, además de las multas, se necesita una buena coordinación entre ambas instituciones, puesto que una respuesta dividida entre dos entidades diferentes podría generar confusión y demoras, y es necesario que la supervisión sea un procedimiento cohesivo y sólido.
