Ingrid Inda.
Con la pandemia, ¿cómo cambió el escenario de la ciberseguridad?
La pandemia hizo más concreto y palpable lo crucial de lo digital. Nos convencimos de que podemos comprar, manejar nuestros recursos y activos, trabajar y producir en línea, y todo eso, por supuesto, también lo notaron los ciberdelincuentes. Por eso, esta situación global aumentó nuestra exposición a los riesgos digitales, especialmente debido a fenómenos como la masificación del teletrabajo, que hace que los trabajadores muchas veces, sin saberlo y por falta de una buena estrategia de ciberseguridad en sus empresas, puedan ser un vector de entrada a los actores maliciosos que buscan robar datos de dichas compañías, por ejemplo.
Por otra parte, quedó en evidencia la falta de educación cívica digital y carencia de hábitos de seguridad en la navegación que tenemos como ciudadanos, principalmente en el tratamiento de nuestras claves de acceso y actuar en el ciberespacio en que no se verifica la validez de los sitios web, entregamos información personal, y aceptamos todo correo y noticia sin cuestonamientos.
¿De qué manera el sector público hoy es blanco de los ciberdelincuentes y amenazas?
El sector público es tanto o más un blanco para los ciberdelincuentes que el mundo privado, ya que los organismos del Estado manejan mucha información de los ciudadanos. Y nosotros, que monitoreamos la Red de Conectividad del Estado, vía de conexión con Internet de los principales organismos y servicios públicos, efectivamente observamos un aumento del número de amenazas que tienen como objetivo entes del Estado, en la que alertamos vulnerabilidades y bloqueamos tráfico malicioso.
Claro que no podemos saber a ciencia cierta si se puede decir que lo público haya crecido más, ya que el mundo privado también ha vivido un tremendo aumento de los intentos de vulnerar sus sistemas. Es un fenómeno que parece ir al alza, y por eso es clave que tomemos conciencia de la ciberseguridad, la incorporemos en nuestras estrategias desde la base, y concienticemos a ciudadanos y trabajadores en las prácticas más seguras para la protección de los datos y de la vida privada, tanto nuestra como de otras personas.
¿Cuál es el principal tipo de amenazas que enfrenta el sector?
La principal amenaza sigue siendo el phishing, tanto por el volumen de intentos como por ser usado, además, como vector de entrada de malware (software malicioso), que se da cuando ciberdelincuentes engañan a su víctima enviando e-mails o SMS con algún mensaje engañoso que los insta a descargar un programa o visitar un sitio web. La persona cree que ganará un premio o realizará un trámite importante que le pide una jefatura, un banco u otro, en que entregará sus datos personales, como cuentas de redes sociales o claves bancarias, o descargará programas maliciosos que pueden incluir software que roba las claves guardadas en el navegador, registra lo que se teclea, o cifra todos los datos en los equipos infectados en la institución para exigir una recompensa a cambio de la clave para acceder a sus datos (esto último se conoce como ransomware o secuestrador de dato). Además, existen otras actividades maliciosas menos comunes y con altos impactos en la exposición de información sensible del país, como es el caso de la amenaza del tipo APT (Advanced Persistent Threat).
¿Qué se “ha hecho bien” en materia de ciberseguridad desde el sector público?
Tenemos muchos logros que destacar, si bien es importante recalcar que queda mucho por construir en la manera que vayamos madurando como sociedad. Por ejemplo, desde 2005, contamos con una normativa para la seguridad de la información, el Decreto Supremo N°83, que establece condiciones mínimas al aplicar seguridad en las instituciones públicas, íntimamente conectada con la transformación digital del Estado, impulsada por su ley respectiva (N°21.180).
No podemos dejar de mencionar también el instructivo presidencial N°8 de 2018, que instruye medidas prácticas para articular la ciberseguridad de las instituciones estableciendo el rol del encargado de ciberseguridad, y el despliegue de la Red de Conectividad del Estado, que mediante tecnología de red de última generación ha ido entregando alta disponibilidad y seguridad a las comunicaciones del Estado, junto a servicios que ha desplegado el CSIRT de Gobierno en cuando a control de seguridad, integrando las mejores prácticas de las normativas nacionales e internacionales, y la información intercambiada mediante sus múltiples redes de contacto regional e internacional. Esto, además de estar incorporando la componente de ciberseguridad en las normas de gobierno digital.
Por otra parte, ¿en qué líneas debería el Estado trabajar con mayor urgencia?
Es una tarea relevante definir los procesos críticos de la administración del Estado para, sobre estos, aplicar mayores resguardos respecto de su confidencialidad, integridad y disponibilidad. Este esfuerzo se debe integrar profundamente con la transformación digital de los servicios públicos, incluyendo la ciberseguridad desde la génesis de este esfuerzo modernizador.
Ciertamente que en este esfuerzo debemos considerar la educación cívica digital de los ciudadanos para que estos tengan las precauciones mínimas de ciberseguridad, razón por la cual es tarea prioritaria transmitir ese marco de medidas y conocimientos a las personas.
¿Se debe avanzar en materia legislativa?
Por supuesto, si bien logramos el año pasado finalmente aprobar una nueva Ley de Delitos Informáticos, que reemplaza la legislación de 1993 y nos pone al día con la Convención de Budapest, a la que adherimos el año 2017, quedan definiciones pendientes en término de la infraestructura crítica de la información que da soporte al ciberespacio y protección de datos, lo que cada día es más clave para el funcionamiento de una nación. Lo mismo: la protección digital de nuestros sectores productivos y humanos e industrias clave.
¿Cómo contribuye el CSIRT en aumentar el nivel de concientización respecto a la ciberseguridad?
En el CSIRT de Gobierno estamos permanentemente publicando nuevas campañas de concientización en nuestras redes sociales dirigidas a la ciudadanía en general (los invito a seguirnos en Instagram, Twitter y Linkedin), además de apoyar a las instituciones públicas que lo requieran en procesos de educación a través de campañas y charlas dirigidas a los empleados de los organismos públicos.
¿Qué avances destaca de lo realizado por el CSIRT?
Lo primero es el trabajo diario de bloqueo de amenazas y análisis de vulnerabilidades para mejorar la seguridad de las redes de gobierno, el que no tiene una visibilidad pública pero que nos significa reconocer 4.214.174 intentos de ataque a la red de gobierno desde enero a agosto de este año.
Desde la creación del CSIRT de Gobierno hemos logrado convenios de colaboración con decenas de organizaciones públicas y privadas, así como también con nuestros pares en España, Israel, Reino Unido, Colombia, Estonia, Ecuador, Argentina, la Alianza del Pacífico y la OEA, desarrollando numerosas actividades de colaboración y concientización e intercambiando información de amenazas.
Asimismo, hemos avanzado en la creación de una cultura para la prevención, gestión y mitigación de incidentes en nuestro país, donde el CSIRT de Gobierno participa además apoyando la respuesta a estos ataques para las organizaciones que así lo soliciten. Y a nivel de la ciudadanía en general, publicamos campañas de concientización todas las semanas, con consejos y datos sobre ciberseguridad y prácticas más seguras al enfrentarse a Internet.
También ayudamos a la capacitación de los funcionarios públicos con iniciativas como un diplomado que realizamos junto con la Usach y ejercicios de simulación de incidentes de ciberseguridad, con las que buscamos que los encargados de ciberseguridad de la administración pública tengan mejor capacidad de responder a un ataque.
Finalmente, quiero destacar el impulso que, gracias a nuestro trabajo con la OEA, hacemos a la incorporación de más mujeres a la fuerza laboral en ciberseguridad, con el Cyberwomen Challenge, desafío abierto exclusivamente para jóvenes mujeres y que tendrá lugar a fines del presente mes en su quinta edición.
¿Qué tecnologías se han implementado y son tendencia en protección?
En cualquier institución hoy en día es indispensable contar con protección antispam y antimalware, por supuesto, además de un buen firewall, claro que no basta con instalarlos, sino que es preciso mantenerlos actualizados y revisar continuamente las políticas implementadas. Se debe considerar que ya se implementan en muchos de estos sistemas mecanismos de Machine Learning, para aumentar la automatización de la defensa ante programas maliciosos, y así hacer más eficiente el uso del tiempo de los encargados de ciberseguridad.
Pero me interesa recalcar, sobre todo, que no basta con invertir en nuevas tecnologías si no se ha concientizado y entrenado a las personas que conforman nuestras organizaciones. Y para eso la ciberseguridad tiene que ser entendida desde los más altos rangos de la institución, idealmente con encargados de ciberseguridad que gocen de los recursos y facultades para hacer su trabajo con eficacia, reportando directamente a la alta gerencia o al directorio. Por otra parte, es básico que toda institución revise sus procesos y gestione los riesgos de seguridad y en base a ello se realicen las inversiones en reingeniería de procesos, inversiones tecnológicas y capacitación.
